lonely wolf wrote: > [EMAIL PROTECTED] wrote: >> Radu Oprisan wrote: >> >>> Mihai Voica wrote: >>> >>>> Sorry pt wrap dar am dat paste. Imi poate da cineva o ideea de unde e >>>> chestia asta si cum o pot remedia fara reinstall ? Serverul a fost >>>> instalat de altcineva, teoretic doar httpd e serviciu public, se pare >>>> ca pe acolo e o buba. Distro centOS 4.6 >>>> ....... >>>> >> >> Incearca pe variantele date de Radu Oprisan, mie mi s-au parut de bun >> simt. Daca ce zice el nu i-ti rezolva problema, poti incerca sa REDUCI >> suparafata de ATAC: >> >> 1. >> -daca ai partitie separata pt. /tmp, incearaca so montezi cu >> nodev,noexec,nosuid(asata depinde si ce programe ai pe sistem, unele e >> posibil sa nu "inghita" asa ceva.); >> > logwatch in configuratia implicita vrea sa poata executa scripturi > scrise de el insusi in /tmp
si nu se poate schimba sa scrie in alta parte ? > >> 2. >> -poti incerca modulul de apache, libapache2-mod-security2(e si pt. >> apache >> vers. 1.x); >> > din cite stiu eu, in centos nu exista > > >> 3. >> >> a.daca instalarea care o ai la apache, nu depinde de alte >> programe/aplicatii(baze de date customizate, aplicatii customizate, in >> care nu stii cum se leaga de apache), poti pune openvz(masina virtula, >> are >> pachete/kernel pt. centOS), cu obs. de mai jos: >> -refaci instalarea de apache in masina virtula-nu cred ca e nici un risc >> daca instalezi un kernel nou, in cel mai rau caz, revii la kernelul >> vechi, >> evident, trebuie si back-up inainte; >> -dupa refacerea instalarii de apache in masina virtuala, poti testa cat >> vrei(practic nu depinde de instalarea initiala de apache), si daca >> consideri ca e ok, atunci opresti apache-ul initial, si faci accesibil >> apace-ul din masina virtuala; >> > sau in loc sa te scremi cu virtualizari nesuportate de distributie, > folosesti xen sau kvm. si daca face cu kvm sau xen, poate limita consumul de cpu/ram(ca omul are procese care manca o gramada de CPU) per masina virtuala in 5 minute cat dureaza in openvz, chiar daca scrie cu o singura mana(sau trebe sa stea 3 zile ca sa puna pe picioare un xen?) > oricum nu o sa iti foloseasca absolut la nimic atita timp cit problemele > provin din content-ul site-ului web Totusi nu e mai bine sa ai in cel mai rau caz, o masina virtuala compromisa(si un serviciu care nu-ti functionaza), decat sa ai o masina complet compromisa, care daca nu e intr-un DMZ iti poate introduce "mizerii" si in LAN-le in care e conectata? >> -inainte de asta, poti face(chiar recomandat) un firewall in masina >> gazda, >> cat si in masina virtuala care sa impiedice propagarea atacurilor din >> masima virtuala catre masina gazda si catre LAN-ul din care face parte. >> > incepind cu niste reguli de bun simt, de genul > #accepti conexiuni initiate de altii catre serverul tau > iptables -I INPUT -p tcp --dport 80 -j ACCEPT > #raspunzi la conexiunile de mai sus, dar nu initiezi > iptables -A OUTPUT -p tcp --sport 80 -j RELATED, ESTABLISHED -j ACCEPT > #urmeaza apoi niste DROP-uri bine alese (care sa includa si toate > porturile unde nu ar trebui sa fie nimic pornit) > > -- > "A computer will not make a good manager out of a bad manager. > It makes a good manager better faster and a bad manager worse faster." > Ed Esber, president, Ashton-Tate, 1986 > > > _______________________________________________ > RLUG mailing list > [email protected] > http://lists.lug.ro/mailman/listinfo/rlug > _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
