начать с засекьюривания самой машины (на дырявой машине засекьюриный
апач сломают через что-нибудь другое). подразумевается что web server
будет dedicated и ничего другого на нем не будет.
а потом заняться правильными настроеками апача (на сайте апача есть
статья про секьюрити, но очень кратко-поверхностая), повыключать все
ненужные модули (или точнее выключить все и потом включить только те
которые нужно) и т.д. и т.п.
т.е. засекьюрить его максимально в стандартной установке, прежде чем
ставить патчи на ядро.
а потом поставить grsec и в его усилиный chroot этот апач перенести.
потом добавить проверялку изменений файлов checksum какой-нибудь.
потом понести машину и поставить ее в dmz за натом (на внутренний ip),
файрволом и IDSом.
и я думаю это будет безопасно ;)
Ilya wrote:
День добрый!
Возникла необходимость создания своего web-сервера.
Платформа - debian woody. Просто установить из коробки
апач, настроить, запустить - как-то все очень просто...
Решил сделать дополнительные усилия по защите web-сервера:
- использовать chroot для апача;
- на стандартное ядро наложить какой-нибудь security-патч.
И если с chroot все более или менее понятно, то вот со вторым
пунктом не все очевидно. Сначало я было хотел использовать grSecurity,
но после прочтения их мануалов, понял, что вещь хоть и хорошая,
но очень сложная - не потяну. Далее - знаменитый owl. Если я
правильно понял авторов, они разрабатывают не только патч к
ядру, но и целых набор пакетов. Но мне не хотелось бы отходить
от Debian, поэтому вопрос - возможно ли использование только
самого owl-патча без owl-пакетов и будет ли от него в таком виде
польза? Что посоветуете сделать еще?
С уважением,
Илья.
г. Челябинск.
