[EMAIL PROTECTED] wrote:
Radu Oprisan wrote:
Mihai Voica wrote:
Sorry pt wrap dar am dat paste. Imi poate da cineva o ideea de unde e
chestia asta si cum o pot remedia fara reinstall ? Serverul a fost
instalat de altcineva, teoretic doar httpd e serviciu public, se pare
ca pe acolo e o buba. Distro centOS 4.6
.......
Incearca pe variantele date de Radu Oprisan, mie mi s-au parut de bun
simt. Daca ce zice el nu i-ti rezolva problema, poti incerca sa REDUCI
suparafata de ATAC:
1.
-daca ai partitie separata pt. /tmp, incearaca so montezi cu
nodev,noexec,nosuid(asata depinde si ce programe ai pe sistem, unele e
posibil sa nu "inghita" asa ceva.);
logwatch in configuratia implicita vrea sa poata executa scripturi
scrise de el insusi in /tmp
2.
-poti incerca modulul de apache, libapache2-mod-security2(e si pt. apache
vers. 1.x);
din cite stiu eu, in centos nu exista
3.
a.daca instalarea care o ai la apache, nu depinde de alte
programe/aplicatii(baze de date customizate, aplicatii customizate, in
care nu stii cum se leaga de apache), poti pune openvz(masina virtula, are
pachete/kernel pt. centOS), cu obs. de mai jos:
-refaci instalarea de apache in masina virtula-nu cred ca e nici un risc
daca instalezi un kernel nou, in cel mai rau caz, revii la kernelul vechi,
evident, trebuie si back-up inainte;
-dupa refacerea instalarii de apache in masina virtuala, poti testa cat
vrei(practic nu depinde de instalarea initiala de apache), si daca
consideri ca e ok, atunci opresti apache-ul initial, si faci accesibil
apace-ul din masina virtuala;
sau in loc sa te scremi cu virtualizari nesuportate de distributie,
folosesti xen sau kvm.
oricum nu o sa iti foloseasca absolut la nimic atita timp cit problemele
provin din content-ul site-ului web
-inainte de asta, poti face(chiar recomandat) un firewall in masina gazda,
cat si in masina virtuala care sa impiedice propagarea atacurilor din
masima virtuala catre masina gazda si catre LAN-ul din care face parte.
incepind cu niste reguli de bun simt, de genul
#accepti conexiuni initiate de altii catre serverul tau
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
#raspunzi la conexiunile de mai sus, dar nu initiezi
iptables -A OUTPUT -p tcp --sport 80 -j RELATED, ESTABLISHED -j ACCEPT
#urmeaza apoi niste DROP-uri bine alese (care sa includa si toate
porturile unde nu ar trebui sa fie nimic pornit)
--
"A computer will not make a good manager out of a bad manager.
It makes a good manager better faster and a bad manager worse faster."
Ed Esber, president, Ashton-Tate, 1986
_______________________________________________
RLUG mailing list
[email protected]
http://lists.lug.ro/mailman/listinfo/rlug
