| 1.1, Аноним (1), 19:22, 15/10/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС,
>при старте apache будет выполнен переход в изолированное окружение, корневая
>директория которого задана через директиву ChrootDir. Новшество совместимо с
>MPM модулями prefork и worker.
хм .. и чем это отличаетца от chroot /bla/bla bla
| | |
| |
| 2.2, darkk (?), 19:35, 15/10/2008 [^] [^^] [^^^] [ответить]
| +/– |
 >хм .. и чем это отличаетца от chroot /bla/bla bla
Тем, что демон чрутится после старта и, соответственно, не надо копировать нужные библиотеки и проч в /bla/bla
| | |
| 2.3, User294 (??), 20:11, 15/10/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>хм .. и чем это отличаетца от chroot /bla/bla bla
Количеством файлов которое надо закопировать в чрутовый каталог.Если чрут сделает сама программа - в каталог не надо будет копировать ворох потребных программе для старта библиотек...
| | |
| 2.13, Аноним (-), 00:04, 16/10/2008 [^] [^^] [^^^] [ответить]
| +/– |
>>Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС,
>>при старте apache будет выполнен переход в изолированное окружение, корневая
>>директория которого задана через директиву ChrootDir. Новшество совместимо с
>>MPM модулями prefork и worker.
>
>хм .. и чем это отличаетца от chroot /bla/bla bla
У меня другой вопрос: чем это отличается от mod_chroot ?
Ведь сто лет как существует и используется mod_chroot.
| | |
| |
| 3.18, PereresusNeVlezaetBuggy (ok), 03:55, 16/10/2008 [^] [^^] [^^^] [ответить]
| +/– |
 >>>Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС,
>>>при старте apache будет выполнен переход в изолированное окружение, корневая
>>>директория которого задана через директиву ChrootDir. Новшество совместимо с
>>>MPM модулями prefork и worker.
>>
>>хм .. и чем это отличаетца от chroot /bla/bla bla
>
>У меня другой вопрос: чем это отличается от mod_chroot ?
>Ведь сто лет как существует и используется mod_chroot.
Могу ошибаться, но, похоже, это и есть интеграция mod_chroot — вместе с решением проблем, связанных с оным.
| | |
|
|
| |
| 2.6, openwork (?), 21:18, 15/10/2008 [^] [^^] [^^^] [ответить]
| +/– |
 да в век OpenVZ и XEN chroot очень важная фича...
>>Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС, при старте apache будет выполнен переход в изолированное окружение, корневая директория которого задана через директиву ChrootDir. Новшество совместимо с MPM модулями prefork и worker.
>
>Не прошло и 10 лет…
>
>http://www.openbsd.org/cgi-bin/cvsweb/src/usr.sbin/httpd/src/main/http_core.c?rev=1.10;content-type=text%2Fx-cvsweb-markup | | |
| |
| 3.10, PereresusNeVlezaetBuggy (ok), 23:56, 15/10/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>да в век OpenVZ и XEN chroot очень важная фича...
Вообще chroot очень полезная фича. Например, SFTP с чрутом в хомяк пользователя - очень удобно. Опять же, так как сторонние эффекты минимальны, то бывает очень удобно использовать chroot при обновлении системы и тому подобных действиях.
К тому же, в отличие от Xen/OpenVZ/etc, chroot прост и надёжен. Примерно как Unix shell против Konqueror. :) Одно другого не отменяет.
... А 6 лет назад Xen был ещё той экзотикой:).
>>>Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС, при старте apache будет выполнен переход в изолированное окружение, корневая директория которого задана через директиву ChrootDir. Новшество совместимо с MPM модулями prefork и worker.
>>
>>Не прошло и 10 лет…
>>
>>http://www.openbsd.org/cgi-bin/cvsweb/src/usr.sbin/httpd/src/main/http_core.c?rev=1.10;content-type=text%2Fx-cvsweb-markup | | |
| 3.27, User294 (??), 17:34, 17/10/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>да в век OpenVZ и XEN chroot очень важная фича...
Апач в век OpenVZ и XEN - выглядит слегка overbloated зачастую =).Например на VDS юзать оный достаточно дорого (RAM дофига надо).
| | |
|
|
| 1.7, Guest (??), 21:33, 15/10/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС
Апач этого до сих пор не умел?!
| | |
| |
| |
| 3.9, PereresusNeVlezaetBuggy (ok), 23:42, 15/10/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>Ему это не нужно. Это нужно параноидальным сисадминам.
Простите, когда ваш апач последний раз ломали (через mod_php, например)?
| | |
| |
| |
| 5.12, PereresusNeVlezaetBuggy (ok), 00:01, 16/10/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>никогда, тра-ла-ла :)
Вот кого не ломали, те и не парятся. Ну а кто раз наступил на грабли, второй раз уже обычно не хочет. :) ИМХО, это уже не паранойя.
| | |
| |
| 6.14, Dvorkin (??), 01:19, 16/10/2008 [^] [^^] [^^^] [ответить]
| +/– |
 chroot - это настолько маленькое и кривенькое спасение, что им можно пренебречь. значительно важнее поставить _правильные_ права на процессы апач, а не www или apache или nobody как у большинства
| | |
| |
| 7.16, PereresusNeVlezaetBuggy (ok), 03:52, 16/10/2008 [^] [^^] [^^^] [ответить]
| +/– |
>chroot - это настолько маленькое и кривенькое спасение, что им можно пренебречь.
>значительно важнее поставить _правильные_ права на процессы апач, а не www
>или apache или nobody как у большинства
1. chroot как средство обеспечения безопасности — это не спасение, а лишь средство уменьшения последствий успешной атаки.
2. Права на процессы не ставят. Их ставят на исполняемые файлы.
3. www/apache/nobody — это не права.
4. www/apache/nobody — это прогресс по сравнению с root.
5. И что же вы называете «правильными правами»?
| | |
|
|
|
| 4.15, Andrey (??), 03:48, 16/10/2008 [^] [^^] [^^^] [ответить]
| +/– |
>>Ему это не нужно. Это нужно параноидальным сисадминам.
>
>Простите, когда ваш апач последний раз ломали (через mod_php, например)?
Полный бред, а чем chroot спасет вас от взлома mod_php?
| | |
| |
| 5.17, PereresusNeVlezaetBuggy (ok), 03:54, 16/10/2008 [^] [^^] [^^^] [ответить]
| +/– |
>>>Ему это не нужно. Это нужно параноидальным сисадминам.
>>
>>Простите, когда ваш апач последний раз ломали (через mod_php, например)?
>
>Полный бред, а чем chroot спасет вас от взлома mod_php?
А он и не должен спасать. Равно как и виртуализация. Он нужен чтобы минимизировать ущерб _после_ успешно проведённой атаки на сервер. Секурности собственно программе он не добавляет ни на грамм.
| | |
|
| 4.20, rav123 (?), 08:58, 17/10/2008 [^] [^^] [^^^] [ответить]
| +/– |
 >>Ему это не нужно. Это нужно параноидальным сисадминам.
>
>Простите, когда ваш апач последний раз ломали (через mod_php, например)?
Никогда.
При грамотной настройке, отключении всего ненужного и постоянного отслеживания уязвимостей и обновлении вероятность сломать апач по причине ошибки в самом апаче очень мала. Ломают чаще всего через дурно написанные скрипты.
| | |
| |
| 5.28, PereresusNeVlezaetBuggy (ok), 19:02, 20/10/2008 [^] [^^] [^^^] [ответить]
| +/– |
>>>Ему это не нужно. Это нужно параноидальным сисадминам.
>>
>>Простите, когда ваш апач последний раз ломали (через mod_php, например)?
>
>Никогда.
>При грамотной настройке, отключении всего ненужного и постоянного отслеживания уязвимостей и обновлении
>вероятность сломать апач по причине ошибки в самом апаче очень мала.
>Ломают чаще всего через дурно написанные скрипты.
Видите ли, то, что не нужно вам, вполне может быть нужно разработчикам, или ещё кому-то. Так что приходится балансировать. Ну а мудрость «знать где упасть — можно и соломку подстелить» ещё никто не отменял. :)
К слову, меня тоже пока что не ломали через Апач. Но это не значит, что не стоит пренебрегать дополнительными мерами защиты.
| | |
|
|
|
|
|
