В сообщении от 23 Октябрь 2004 16:32 Sergey V. Burchu написал: > Sat, Oct 23, 2004 at 03:54:57PM +0600, Вы(Ilya) написали: > > День добрый! > > Возникла необходимость создания своего web-сервера. > > Платформа - debian woody. Просто установить из коробки > > апач, настроить, запустить - как-то все очень просто... > > Решил сделать дополнительные усилия по защите web-сервера: > > - использовать chroot для апача; > > - на стандартное ядро наложить какой-нибудь security-патч. > > И если с chroot все более или менее понятно, то вот со вторым > > пунктом не все очевидно. Сначало я было хотел использовать grSecurity, > > но после прочтения их мануалов, понял, что вещь хоть и хорошая, > > но очень сложная - не потяну. Далее - знаменитый owl. Если я > > правильно понял авторов, они разрабатывают не только патч к > > ядру, но и целых набор пакетов. Но мне не хотелось бы отходить > > от Debian, поэтому вопрос - возможно ли использование только > > самого owl-патча без owl-пакетов и будет ли от него в таком виде > > польза? Что посоветуете сделать еще?
> GrSec -- нормальная вещь для установки. Вообще это набор небольших по > своей сути патчей для ядра. UserSpace утилита там нужна только для > управления acl, все остальное можно спокойно зашить при компиляции или > включить через sysctl. И ничего сложного я там не заметил. Правда я не > использовал ACL вообще :) т.е. использование acl в общем случае не обязательно? Вообще, как оно в эксплуатации - насколько оперативно выходят grsec-патчи к ядру? Добавляет ли помимо улучшений какие-нибудь проблемы/баги? Вроде бы летом автор grsecurity хотел забросить свою работу из-за отсутствия спонсора. Все обошлось? > Так что мой совет -- попробуй с начала, если не получится, то будешь > искать еще что-то. Хотя другие системы в этом смысле на мой взгляд > посложнее будут... RSBAC? С уважением, Илья г. Челябинск.
