Re: Хочется большей секьюрности.
On Thu, 05 Nov 2009 21:17:20 +0100
Alexander Mestiashvili <alexander.mestiashvili@biotec.tu-dresden.de>
wrote:
> alex tarasov wrote:
> > Посканил свой апач на наличие вкусностей и обнаружил, что сей фрукт
> > выдаёт про себя всё и всем, а именно версию и модулы:
> > *Server: Apache/2.2.3 (Debian) PHP/4.4.4-8+etch6 ну и т.п.*
> > Пробовал избавиться при помощи:
> > #ServerTokens Prod
> > #ServerSignature Off
> > но это как мёртвому припарка.
> mod_chroot для большей секьюрности , suphp для php , и т.д.
> а то , что апач выдает версии , то это не проблема , подпишитесь на
> security-debian и обновляйтесь когда надо.
> Regards ,
> Alex
>
>
PHP не менее и не более бозопасен по сравнению с например Perl, C++,
Python или Ruby. Купил книгу по методам взлома и тестирования систем на
уязвимость. Много узнал нового. Ну какие методы тут можно
предложить... ;-} Есть же семиуровневая модель сетевых ОС, там типо
входят канальный уровень, сетевой, прикладной и т.д. И задача
специалиста по компьютерной безопасности - обеспечить безопасность на
всех этих уровнях. Ну например для apache и PHP - в chroot песочницу
затолкать. ;-} Убрать информацию о версии апача и версии PHP. Закрыть
внешние сетевые порты для сервисов которые не используются. А где
гарантия что сервер не подвергнется сканированию на уязвимость
PHP_including, или SQL_injecting? Сервер будет взломан в песочнице, но
взломан. А чо хорошего будет если тот же apache не обработает запросы
одновременно от 500 DDoS серверов (клиентов)? ;-} Можно и обновиться не
успеть. А следить постоянно за debian-security надоедает... Какие еще
методы можно предложить: сокрытие данных о сервере, маскировка
виртуального домена, VPN, SSL, SSH, просканировать сервер nessus'ом а
затем удалить nessus, многие серверные сканеры уязвимостей могут
послужить дырой в системе. Короче, надо обеспечить машинку безопасносью
всеми возможными средствами. ;-} Но и дядьку Билла взламывали... :-D
Reply to: