Moduly pro Apache V – mpm_itk
23.05.2010
1 komentář
Jedním ze základních požadavků na bezpečnost bývá rozdělení běžících služeb pod různá UID a GID. Bohužel webový server Apache je schopen běžet pouze pod jedním UID/GID, čož při použití na obsluhu pouze jedné webové aplikace od jednoho živatele není vůbec žádný problém. Situace se ale z hlediska bezpečnosti výrazne zhorší pokud na serveru bude více webových aplikací od více uživatelů, kdy jejich webové aplikace sdílí společná práva. Ačkoliv často zatracovaný server IIS obsahuje funkcionalitu pro obsluhu jednotlivých virtuálních serverů pod různými oprávněními je toto chování do „úžasného“ apache nutné doplnit externím patchem.
FTP server 
S rozvojem IPv6 začínají zastarávat funkce v PHP pro práci s IP adresami, proto pokud potřebujete někde v PHP pracovat se šestkovou adresou, nezbývá než si pomoct vlastními funkcemi. Ale i zabudované funkce pro IPv4 nejsou zdaleka všemocné, takže si myslím že se bude spoustě programátorů hodit následující knihovna pro práci a výpočty s IP adresami, zejména funkce pro výpočty adresy sítě, broadcast adresy a masky sítě, které nativní PHP knihovna postrádá.
Dnes jsem náhodou potřeboval řešit přístup k MySQL serveru na kterém bylo špatně uloženo root heslo. Aby to nebylo tak jednoduché, jednalo se o produkční server kde se odstávka nedá řešit na delší dobu než 1 – 2 vteřiny, takže klasický postup s přidáním parametru –skip-grant-tables tak jak je popisován ve spoustě návodů nejde použít, protože server by byl vystven veřejně na Internetu s vypnutou autorizací. 
Nejčastější způsob přihlašování uživatelů k webovým službám je pomocí hesla. Implementace je jednoduchá a bezpečnost obvykle dostačující, ale slabým článkem je uživatel. Sice je dnes běžné že uživatelé používají nějakou klíčenku na hesla a to ať už přímo integrovanou v prohlížeči nebo v operačním sysstému (Mac OS X, Linux+KDE/Gnome, …), takže i hesla nemusí pamatovat a v případě zapomenutí je možnost jak heslo získat jinak, nebo heslo změnit (například potvrzení e-mailem, přednastavená otázka a tak podobně). Co je tedy tím slabým článkem u uživatele? No přeci jeho vlastní fantazie a problém sám vymyslet heslo které nebude stejné na všechny jím používané služby.
Nejprve musím vysvětlit, co to ten „adaptivní gerylisting“ vlastně je a čím se od normálního greylistingu liší. Tradičně greylisting předstírá dočasnou chybu SMTP a nutí odesílající mailserver spojení po nějakém čase zopakovat. To celkem dobře funguje na odchycení spambotů, které potřebují co nejrychleji chrlit e-maily a nemají čas ze zdržovat opakovanými pokusy o doručení.