On 2003.07.28 at 00:12:56 +0400, Andrey Nekrasov wrote: > > > публично будет торчать apache 1.3 + php. плюс локальный mysql. Debian > > > - Woody. > > > > > > вопрос такой: что обычно принято делать, так что-бы обезопасить > > > сервер более-менее? желательно именно для Woody. > > > > > iptables > > глупая шутка. тогда совсем уж не включать сервер.
Это не шутка, это рекомендация заткнуть все сервесы кроме www и ssh, особвенно mysql. Чтобы сервисы работали, но доступ был только с локальной машины. Файрволл на отдельно стоящем хостинговом сервере НУЖЕН. > а вот если есть опыт запихивания apache & php & нужного им в chroot (или > обоснование ненужности этого) или еще какие ценные советы - пиши. Вопрос номер раз - а что есть на этой машине ценного, кроме www-сервера? Ответ "ничего" является обоснованием того, что chroot не нужен. Поскольку получив доступ ко всей файловой системе сервера сломать ничего кроме того, что можно сломать, получив доступ в chroot будет нельзя. Заметь, что mysql-ная база данных обязана быть из этого chroot доступна, ведь с ней тоже www-сервер работает. Так что следует в первую очередь читать документацию по php, на предмет обеспечения безопасности оного, оторвать от mysql желание слушать по tcp-ip, пусть общаяется только через unix-domain сокет, запретить нафиг неанонимный ftp, использовать для обновления контента rsync или cvs over ssh, или уж по крайней мере завести две непересекающиеся группы аккаунтов - одним можно ssh, а другим можно ftp. Если используется какие-то web-based средства редактирования сайта (DAV, какая-нибудь CMS) то пользователей с правами редактора пускать только по https. > -- > И это тоже пройдет. > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] >
