CentOS 5.6 sice přináší nové PHP verze 5.3.3 v balíku php53, ale některá rozšíření bohužel chybí. To se naštěstí dá celkem snadno napravit dokompilováním pouze potřebných modulů se zachováním zbytku distribučních balíků.
Při testování PHP 5.2.15 před nasazením na naše servery jsem narazil na dost závažný problém který se ve starších verzích nevyskytoval – nefunkční open_basedir nastavovaný pomocí konfigurace Apache v sekci VirtualHost. Problém se mi podařilo najít celkem rychle – nějakej idiot kterejch je mezi autorama PHP spousta se učil pracovat se stringama a vážně mu to moc nešlo, takže to rozbil. Nicméně oprava je poměrně jednoduchá. Číst více …
Jedním ze základních požadavků na bezpečnost bývá rozdělení běžících služeb pod různá UID a GID. Bohužel webový server Apache je schopen běžet pouze pod jedním UID/GID, čož při použití na obsluhu pouze jedné webové aplikace od jednoho živatele není vůbec žádný problém. Situace se ale z hlediska bezpečnosti výrazne zhorší pokud na serveru bude více webových aplikací od více uživatelů, kdy jejich webové aplikace sdílí společná práva. Ačkoliv často zatracovaný server IIS obsahuje funkcionalitu pro obsluhu jednotlivých virtuálních serverů pod různými oprávněními je toto chování do „úžasného“ apache nutné doplnit externím patchem.
Tento článek vzniknul na základě dotazu jednoho mého kamaráda – admina, který řešil problém s blokováním Referrer spamu. Referrer SPAM je zaplavovani webu (nejčastěji diskusního fora) relativne nesmyslnými dotazy s nastavenou konkrétní adresou referrer. Proc tohle ale nekdo dělá a co z toho má? Obvykle lepší pozici ve vyhledánání. Spoléhá se totiž na to, že statistiky (access_log) je někde veřejně přístupný a vyhledávač si ho najde, zaindexuje, a tím získá velké množství zpětných odkazů.
Modul mod_loadavg je velice málo známým, ale poměrně zajímavým, modulem doplňujcí druhou bariéru webserveru (první bariéra je např. firewall, druhá bariéra se obvykle používá až po průniku přez první a má pomoci administrátorovi problém řešit). V Případě DoS nebo DDoS útoku na server je obvykle problém v tom že na serveru není dostatek systémových zdrojů k tomu aby se administrátor přihlásil nebo situaci nějak řešil…
V dalším pokračování o modulech pro Apache webserver bych rád ukázal alespoň některé ze zajímavých vlastností bezpečnostního modulu mod_security (http://www.modsecurity.org/projects/modsecurity/apache/index.html). Tento modul umožňuje na základě pravidel popisujících HTTP požadavky filtrovat přístup k webovým aplikacím. Vzhledem k tomu že v současnosti je 70% úpsěšných útoků na servery realizováno právě průnikem přez webové aplikace není třeba důležitost tohoto modulu dále popisovat. Číst více …
Nainstalovat apache a spustit web s HTTPS pomocí mod_ssl většina administrátorů zvládne. Ale nedávno, když jsem řešil úpravy na SSL z důvodu nalezení chyby v protokolu (problém s renegotiation), a zároveň zkoumal i jiné servery které nemám pod správou no a tak jsem s hrůzou zjistil kolik HTTPS serverů v mém okolí je chybně nastaveno a z bezpečí pak už zůstává jen a jen iluze.
Další série článků bude o modulech pro webserver Apache, které rozšiřují jeho funkcionalitu a o kterých si myslím, že nejsou dostatečně známé i když by mnohdy měly být použity. Pro první díl jsem vybral modul mod_evasive (http://www.zdziarski.com/projects/mod_evasive/), který zajišťuje ochranu před útoky DoS a DDoS. Samozřejmě jako žádná takováto ochrana není dokonalá a nevydrží extrémně silný útok, ale i tak samozřejmě má smysl tento modul používat, protože odolnost webserveru posouvá výrazně kupředu. Číst více …
