forum.opennet.ru - "OpenNews: Представлен релиз HTTP-сервера Apache 2.2.10" (28)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"OpenNews: Представлен релиз HTTP-сервера Apache 2.2.10"

Форумы Разговоры, обсуждение новостей (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"OpenNews: Представлен релиз HTTP-сервера Apache 2.2.10"
Сообщение от opennews (??) on 15-Окт-08, 19:22
Анонсирован (http://www.apache.org/dist/httpd/Announcement2.2.html) выход релиза Apache 2.2.10. В новой версии устранена неопасная XSS (межсайтовый скриптинг) уязвимость (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2939) в модуле mod_proxy_ftp, внесено 18 изменений (http://www.apache.org/dist/httpd/CHANGES_2.2.10), затрагивающих такие модули как mod_proxy_http, mod_ssl, mod_authn_alias, mod_charset_lite, mod_dav_fs, mod_cgid, mod_headers, mod_rewrite. Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС, при старте apache будет выполнен переход в изолированное окружение, корневая директория которого задана через директиву ChrootDir. Новшество совместимо с MPM модулями prefork и worker. В mod_proxy_balancer добавлен метод балансировки 'bybusyness', учитывающий загруженность бэкенда. В mod_rewrite появились 2 новые опции, управляющие отправкой Cookie: secure (cookie отправляется только по https) и HttpOnly (для активации возможности некоторых браузеров по блокированию передачи cookie в JavaScript код). URL: http://www.apache.org/dist/httpd/Announcement2.2.html Новость: https://www.opennet.ru/opennews/art.shtml?num=18426
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Представлен релиз HTTP-сервера Apache 2.2.10, Аноним, 19:22 , 15-Окт-08, (1)

Представлен релиз HTTP-сервера Apache 2.2.10, darkk, 19:35 , 15-Окт-08, (2)
Представлен релиз HTTP-сервера Apache 2.2.10, User294, 20:11 , 15-Окт-08, (3)
Представлен релиз HTTP-сервера Apache 2.2.10, Аноним, 00:04 , 16-Окт-08, (13)

Представлен релиз HTTP-сервера Apache 2.2.10, PereresusNeVlezaetBuggy, 03:55 , 16-Окт-08, (18)

OpenNews: Представлен релиз HTTP-сервера Apache 2.2.10, Аноним, 20:23 , 15-Окт-08, (4)
Представлен релиз HTTP-сервера Apache 2.2.10, PereresusNeVlezaetBuggy, 20:33 , 15-Окт-08, (5)

Представлен релиз HTTP-сервера Apache 2.2.10, openwork, 21:18 , 15-Окт-08, (6)

Представлен релиз HTTP-сервера Apache 2.2.10, PereresusNeVlezaetBuggy, 23:56 , 15-Окт-08, (10)
Представлен релиз HTTP-сервера Apache 2.2.10, User294, 17:34 , 17-Окт-08, (27)

Представлен релиз HTTP-сервера Apache 2.2.10, Guest, 21:33 , 15-Окт-08, (7)

Представлен релиз HTTP-сервера Apache 2.2.10, rav123, 21:45 , 15-Окт-08, (8)

Представлен релиз HTTP-сервера Apache 2.2.10, PereresusNeVlezaetBuggy, 23:42 , 15-Окт-08, (9)

Представлен релиз HTTP-сервера Apache 2.2.10, Аноним, 23:57 , 15-Окт-08, (11)

Представлен релиз HTTP-сервера Apache 2.2.10, PereresusNeVlezaetBuggy, 00:01 , 16-Окт-08, (12)

Представлен релиз HTTP-сервера Apache 2.2.10, Dvorkin, 01:19 , 16-Окт-08, (14)

Представлен релиз HTTP-сервера Apache 2.2.10, PereresusNeVlezaetBuggy, 03:52 , 16-Окт-08, (16)

Представлен релиз HTTP-сервера Apache 2.2.10, Dvorkin, 12:16 , 17-Окт-08, (21)

Представлен релиз HTTP-сервера Apache 2.2.10, PereresusNeVlezaetBuggy, 20:06 , 20-Окт-08, (29)

Представлен релиз HTTP-сервера Apache 2.2.10, Dvorkin, 23:20 , 20-Окт-08, (30)

Представлен релиз HTTP-сервера Apache 2.2.10, PereresusNeVlezaetBuggy, 01:53 , 21-Окт-08, (31)

Представлен релиз HTTP-сервера Apache 2.2.10, Dvorkin, 10:23 , 21-Окт-08, (32)
Представлен релиз HTTP-сервера Apache 2.2.10, PereresusNeVlezaetBuggy, 11:13 , 21-Окт-08, (33)
Представлен релиз HTTP-сервера Apache 2.2.10, Dvorkin, 12:12 , 21-Окт-08, (34)

Представлен релиз HTTP-сервера Apache 2.2.10, Andrey, 03:48 , 16-Окт-08, (15)

Представлен релиз HTTP-сервера Apache 2.2.10, PereresusNeVlezaetBuggy, 03:54 , 16-Окт-08, (17)

Представлен релиз HTTP-сервера Apache 2.2.10, rav123, 08:58 , 17-Окт-08, (20)

Представлен релиз HTTP-сервера Apache 2.2.10, PereresusNeVlezaetBuggy, 19:02 , 20-Окт-08, (28)

Сообщения по теме [Сортировка по времени | RSS]

1. "Представлен релиз HTTP-сервера Apache 2.2.10"

Сообщение от Аноним (??) on 15-Окт-08, 19:22

>Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС,
>при старте apache будет выполнен переход в изолированное окружение, корневая
>директория которого задана через директиву ChrootDir. Новшество совместимо с
>MPM модулями prefork и worker.
хм .. и чем это отличаетца от chroot /bla/bla bla

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Представлен релиз HTTP-сервера Apache 2.2.10"

Сообщение от darkk on 15-Окт-08, 19:35

>хм .. и чем это отличаетца от chroot /bla/bla bla
Тем, что демон чрутится после старта и, соответственно, не надо копировать нужные библиотеки и проч в /bla/bla

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Представлен релиз HTTP-сервера Apache 2.2.10"

Сообщение от User294 (??) on 15-Окт-08, 20:11

>хм .. и чем это отличаетца от chroot /bla/bla bla
Количеством файлов которое надо закопировать в чрутовый каталог.Если чрут сделает сама программа - в каталог не надо будет копировать ворох потребных программе для старта библиотек...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Представлен релиз HTTP-сервера Apache 2.2.10"

Сообщение от Аноним (??) on 16-Окт-08, 00:04

>>Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС,
>>при старте apache будет выполнен переход в изолированное окружение, корневая
>>директория которого задана через директиву ChrootDir. Новшество совместимо с
>>MPM модулями prefork и worker.
>
>хм .. и чем это отличаетца от chroot /bla/bla bla
У меня другой вопрос: чем это отличается от mod_chroot ?
Ведь сто лет как существует и используется mod_chroot.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Представлен релиз HTTP-сервера Apache 2.2.10"

Сообщение от PereresusNeVlezaetBuggy (ok) on 16-Окт-08, 03:55

>>>Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС,
>>>при старте apache будет выполнен переход в изолированное окружение, корневая
>>>директория которого задана через директиву ChrootDir. Новшество совместимо с
>>>MPM модулями prefork и worker.
>>
>>хм .. и чем это отличаетца от chroot /bla/bla bla
>
>У меня другой вопрос: чем это отличается от mod_chroot ?
>Ведь сто лет как существует и используется mod_chroot.
Могу ошибаться, но, похоже, это и есть интеграция mod_chroot — вместе с решением проблем, связанных с оным.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "OpenNews: Представлен релиз HTTP-сервера Apache 2.2.10"

Сообщение от Аноним (??) on 15-Окт-08, 20:23

Ждем ебилдов.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Представлен релиз HTTP-сервера Apache 2.2.10"

Сообщение от PereresusNeVlezaetBuggy (ok) on 15-Окт-08, 20:33

>Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС, при старте apache будет выполнен переход в изолированное окружение, корневая директория которого задана через директиву ChrootDir. Новшество совместимо с MPM модулями prefork и worker.
Не прошло и 10 лет…
http://www.openbsd.org/cgi-bin/cvsweb/src/usr.sbin/httpd/src...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Представлен релиз HTTP-сервера Apache 2.2.10"

Сообщение от openwork on 15-Окт-08, 21:18

да в век OpenVZ и XEN chroot очень важная фича...
>>Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС, при старте apache будет выполнен переход в изолированное окружение, корневая директория которого задана через директиву ChrootDir. Новшество совместимо с MPM модулями prefork и worker.
>
>Не прошло и 10 лет…
>
>http://www.openbsd.org/cgi-bin/cvsweb/src/usr.sbin/httpd/src...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Представлен релиз HTTP-сервера Apache 2.2.10"

Сообщение от PereresusNeVlezaetBuggy (ok) on 15-Окт-08, 23:56

>да в век OpenVZ и XEN chroot очень важная фича...
Вообще chroot очень полезная фича. Например, SFTP с чрутом в хомяк пользователя - очень удобно. Опять же, так как сторонние эффекты минимальны, то бывает очень удобно использовать chroot при обновлении системы и тому подобных действиях.
К тому же, в отличие от Xen/OpenVZ/etc, chroot прост и надёжен. Примерно как Unix shell против Konqueror. :) Одно другого не отменяет.
... А 6 лет назад Xen был ещё той экзотикой:).
>>>Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС, при старте apache будет выполнен переход в изолированное окружение, корневая директория которого задана через директиву ChrootDir. Новшество совместимо с MPM модулями prefork и worker.
>>
>>Не прошло и 10 лет…
>>
>>http://www.openbsd.org/cgi-bin/cvsweb/src/usr.sbin/httpd/src...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Представлен релиз HTTP-сервера Apache 2.2.10"

Сообщение от User294 (??) on 17-Окт-08, 17:34

>да в век OpenVZ и XEN chroot очень важная фича...
Апач в век OpenVZ и XEN - выглядит слегка overbloated зачастую =).Например на VDS юзать оный достаточно дорого (RAM дофига надо).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Представлен релиз HTTP-сервера Apache 2.2.10"

Сообщение от Guest (??) on 15-Окт-08, 21:33

> Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС
Апач этого до сих пор не умел?!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Представлен релиз HTTP-сервера Apache 2.2.10"

Сообщение от rav123 on 15-Окт-08, 21:45

Ему это не нужно. Это нужно параноидальным сисадминам.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Представлен релиз HTTP-сервера Apache 2.2.10"

Сообщение от PereresusNeVlezaetBuggy (ok) on 15-Окт-08, 23:42

>Ему это не нужно. Это нужно параноидальным сисадминам.
Простите, когда ваш апач последний раз ломали (через mod_php, например)?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Представлен релиз HTTP-сервера Apache 2.2.10"

Сообщение от Аноним (??) on 15-Окт-08, 23:57

никогда, тра-ла-ла :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Представлен релиз HTTP-сервера Apache 2.2.10"

Сообщение от PereresusNeVlezaetBuggy (ok) on 16-Окт-08, 00:01

>никогда, тра-ла-ла :)
Вот кого не ломали, те и не парятся. Ну а кто раз наступил на грабли, второй раз уже обычно не хочет. :) ИМХО, это уже не паранойя.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Представлен релиз HTTP-сервера Apache 2.2.10"

Сообщение от Dvorkin (??) on 16-Окт-08, 01:19

chroot - это настолько маленькое и кривенькое спасение, что им можно пренебречь. значительно важнее поставить _правильные_ права на процессы апач, а не www или apache или nobody как у большинства

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Представлен релиз HTTP-сервера Apache 2.2.10"

Сообщение от PereresusNeVlezaetBuggy (ok) on 16-Окт-08, 03:52

>chroot - это настолько маленькое и кривенькое спасение, что им можно пренебречь.
>значительно важнее поставить _правильные_ права на процессы апач, а не www
>или apache или nobody как у большинства
1. chroot как средство обеспечения безопасности — это не спасение, а лишь средство уменьшения последствий успешной атаки.
2. Права на процессы не ставят. Их ставят на исполняемые файлы.
3. www/apache/nobody — это не права.
4. www/apache/nobody — это прогресс по сравнению с root.
5. И что же вы называете «правильными правами»?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Представлен релиз HTTP-сервера Apache 2.2.10"

Сообщение от Dvorkin (??) on 17-Окт-08, 12:16

> 1. chroot как средство обеспечения безопасности — это не спасение, а лишь средство уменьшения последствий успешной атаки.
да. и в то же время обрезание всяких приятных возможностей типа вызова программ ОС
кому-то оно, может, и не нужно... я ничего не имею против. но на большинстве моих апачей мне chroot бы только мешал.
а на серверах, где у меня действительно www для всех я предпочитаю второе (см ниже)
> 2. Права на процессы не ставят. Их ставят на исполняемые файлы.
вы сами не осознаете глубину своего морального падения :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Представлен релиз HTTP-сервера Apache 2.2.10"

Сообщение от PereresusNeVlezaetBuggy (ok) on 20-Окт-08, 20:06

>> 1. chroot как средство обеспечения безопасности — это не спасение, а лишь средство уменьшения последствий успешной атаки.
>
>да. и в то же время обрезание всяких приятных возможностей типа вызова
>программ ОС
>кому-то оно, может, и не нужно... я ничего не имею против. но
>на большинстве моих апачей мне chroot бы только мешал.
Вполне вас понимаю, кое-где мне тоже приходится его отключать. Просто возможности, приятные для вас, будут точно также приятны для взломщиков. Особенно вызов программ ОС. :)
>а на серверах, где у меня действительно www для всех я предпочитаю
>второе (см ниже)
>
>> 2. Права на процессы не ставят. Их ставят на исполняемые файлы.
>
>вы сами не осознаете глубину своего морального падения :)
Если вы про всякие SELinux'ы и прочие systrace, то не волнуйтесь, я в курсе. И ещё про многое другое тоже в курсе. Зато вы, видимо, забыли, что все эти средства осложняют конфигурирование, сопровождение - и взлом сервера, но отнюдь не гарантированно спасают от последнего.
И расскажите-ка, всё-таки, широкой общественности, что такое, по-вашему, «_правильные_ права на процессы апач, а не www или apache или nobody как у большинства». suexec?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Представлен релиз HTTP-сервера Apache 2.2.10"

Сообщение от Dvorkin (??) on 20-Окт-08, 23:20

>Если вы про всякие SELinux'ы и прочие systrace, то не волнуйтесь, я
>в курсе. И ещё про многое другое тоже в курсе. Зато
>вы, видимо, забыли, что все эти средства осложняют конфигурирование, сопровождение -
>и взлом сервера, но отнюдь не гарантированно спасают от последнего.
очевидно да. боже упаси от SELinux
>...что такое, по-вашему, «_правильные_ права на процессы
mod_ruid
потому что если в www-директории пользователя лежит файл с чужими правами, смысла защищаться уже нет

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "Представлен релиз HTTP-сервера Apache 2.2.10"

Сообщение от PereresusNeVlezaetBuggy (ok) on 21-Окт-08, 01:53

>>Если вы про всякие SELinux'ы и прочие systrace, то не волнуйтесь, я
>>в курсе. И ещё про многое другое тоже в курсе. Зато
>>вы, видимо, забыли, что все эти средства осложняют конфигурирование, сопровождение -
>>и взлом сервера, но отнюдь не гарантированно спасают от последнего.
>
>очевидно да. боже упаси от SELinux
>
>>...что такое, по-вашему, «_правильные_ права на процессы
>
>mod_ruid
Угу, Костыль v2.0 :) При MaxRequestsPerChild равном единице проще сразу пользоваться CGI…
>потому что если в www-директории пользователя лежит файл с чужими правами, смысла
>защищаться уже нет
Никто не спорит:). Правда, suexec придумали задолго до появления Apache 2.0… Кстати, помните, сколько было в том костыле ошибок, при, казалось бы, простой постановке задачи?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "Представлен релиз HTTP-сервера Apache 2.2.10"

Сообщение от Dvorkin (??) on 21-Окт-08, 10:23

>Угу, Костыль v2.0 :)
это замечательный костыль
>Никто не спорит:). Правда, suexec придумали задолго до появления Apache 2.0… Кстати,
>помните, сколько было в том костыле ошибок, при, казалось бы, простой
>постановке задачи?
вы, видимо, не пробовали.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "Представлен релиз HTTP-сервера Apache 2.2.10"

Сообщение от PereresusNeVlezaetBuggy (ok) on 21-Окт-08, 11:13

>>Угу, Костыль v2.0 :)
>
>это замечательный костыль
Охотно верю.
>>Никто не спорит:). Правда, suexec придумали задолго до появления Apache 2.0… Кстати,
>>помните, сколько было в том костыле ошибок, при, казалось бы, простой
>>постановке задачи?
>
>вы, видимо, не пробовали.
Пока что нет — пока что все сервера, где ставил Apache 2, были сугубо однозадачные, и поэтому не нуждались в suexec и ему подобных. Собсно, я бы и Apache 2 не ставил, но разработчикам надо mod_perl2… :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. "Представлен релиз HTTP-сервера Apache 2.2.10"

Сообщение от Dvorkin (??) on 21-Окт-08, 12:12

>Пока что нет — пока что все сервера, где ставил Apache 2,
по моему скромному ИМХО эта вещь заслуживает быть награждена как лучший модуль для Apache. :)
>были сугубо однозадачные, и поэтому не нуждались в suexec и ему
>подобных. Собсно, я бы и Apache 2 не ставил, но разработчикам
>надо mod_perl2… :)
а теперь представьте, что perl,что php, что любой cgi работает именно под тем пользовтелем, под которым он был создан и ничего для этого делать не надо.
автор маааленького модуля трахнул всех создателей suexec'ов вместе взятых
работает, правда, только под Линукс. но в этом ничего плохого нет

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Представлен релиз HTTP-сервера Apache 2.2.10"

Сообщение от Andrey (??) on 16-Окт-08, 03:48

>>Ему это не нужно. Это нужно параноидальным сисадминам.
>
>Простите, когда ваш апач последний раз ломали (через mod_php, например)?
Полный бред, а чем chroot спасет вас от взлома mod_php?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Представлен релиз HTTP-сервера Apache 2.2.10"

Сообщение от PereresusNeVlezaetBuggy (ok) on 16-Окт-08, 03:54

>>>Ему это не нужно. Это нужно параноидальным сисадминам.
>>
>>Простите, когда ваш апач последний раз ломали (через mod_php, например)?
>
>Полный бред, а чем chroot спасет вас от взлома mod_php?
А он и не должен спасать. Равно как и виртуализация. Он нужен чтобы минимизировать ущерб _после_ успешно проведённой атаки на сервер. Секурности собственно программе он не добавляет ни на грамм.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Представлен релиз HTTP-сервера Apache 2.2.10"

Сообщение от rav123 on 17-Окт-08, 08:58

>>Ему это не нужно. Это нужно параноидальным сисадминам.
>
>Простите, когда ваш апач последний раз ломали (через mod_php, например)?
Никогда.
При грамотной настройке, отключении всего ненужного и постоянного отслеживания уязвимостей и обновлении вероятность сломать апач по причине ошибки в самом апаче очень мала. Ломают чаще всего через дурно написанные скрипты.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Представлен релиз HTTP-сервера Apache 2.2.10"

Сообщение от PereresusNeVlezaetBuggy (ok) on 20-Окт-08, 19:02

>>>Ему это не нужно. Это нужно параноидальным сисадминам.
>>
>>Простите, когда ваш апач последний раз ломали (через mod_php, например)?
>
>Никогда.
>При грамотной настройке, отключении всего ненужного и постоянного отслеживания уязвимостей и обновлении
>вероятность сломать апач по причине ошибки в самом апаче очень мала.
>Ломают чаще всего через дурно написанные скрипты.
Видите ли, то, что не нужно вам, вполне может быть нужно разработчикам, или ещё кому-то. Так что приходится балансировать. Ну а мудрость «знать где упасть — можно и соломку подстелить» ещё никто не отменял. :)
К слову, меня тоже пока что не ломали через Апач. Но это не значит, что не стоит пренебрегать дополнительными мерами защиты.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Представлен релиз HTTP-сервера Apache 2.2.10"
Сообщение от Аноним (??) on 15-Окт-08, 19:22
>Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС, >при старте apache будет выполнен переход в изолированное окружение, корневая >директория которого задана через директиву ChrootDir. Новшество совместимо с >MPM модулями prefork и worker. хм .. и чем это отличаетца от chroot /bla/bla bla
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Представлен релиз HTTP-сервера Apache 2.2.10"
	Сообщение от darkk on 15-Окт-08, 19:35
	>хм .. и чем это отличаетца от chroot /bla/bla bla Тем, что демон чрутится после старта и, соответственно, не надо копировать нужные библиотеки и проч в /bla/bla
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Представлен релиз HTTP-сервера Apache 2.2.10"
	Сообщение от User294 (??) on 15-Окт-08, 20:11
	>хм .. и чем это отличаетца от chroot /bla/bla bla Количеством файлов которое надо закопировать в чрутовый каталог.Если чрут сделает сама программа - в каталог не надо будет копировать ворох потребных программе для старта библиотек...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Представлен релиз HTTP-сервера Apache 2.2.10"
	Сообщение от Аноним (??) on 16-Окт-08, 00:04
	>>Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС, >>при старте apache будет выполнен переход в изолированное окружение, корневая >>директория которого задана через директиву ChrootDir. Новшество совместимо с >>MPM модулями prefork и worker. > >хм .. и чем это отличаетца от chroot /bla/bla bla У меня другой вопрос: чем это отличается от mod_chroot ? Ведь сто лет как существует и используется mod_chroot.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Представлен релиз HTTP-сервера Apache 2.2.10"
	Сообщение от PereresusNeVlezaetBuggy (ok) on 16-Окт-08, 03:55
	>>>Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС, >>>при старте apache будет выполнен переход в изолированное окружение, корневая >>>директория которого задана через директиву ChrootDir. Новшество совместимо с >>>MPM модулями prefork и worker. >> >>хм .. и чем это отличаетца от chroot /bla/bla bla > >У меня другой вопрос: чем это отличается от mod_chroot ? >Ведь сто лет как существует и используется mod_chroot. Могу ошибаться, но, похоже, это и есть интеграция mod_chroot — вместе с решением проблем, связанных с оным.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

4. "OpenNews: Представлен релиз HTTP-сервера Apache 2.2.10"
Сообщение от Аноним (??) on 15-Окт-08, 20:23
Ждем ебилдов.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Представлен релиз HTTP-сервера Apache 2.2.10"
Сообщение от PereresusNeVlezaetBuggy (ok) on 15-Окт-08, 20:33
>Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС, при старте apache будет выполнен переход в изолированное окружение, корневая директория которого задана через директиву ChrootDir. Новшество совместимо с MPM модулями prefork и worker. Не прошло и 10 лет… http://www.openbsd.org/cgi-bin/cvsweb/src/usr.sbin/httpd/src...
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Представлен релиз HTTP-сервера Apache 2.2.10"
	Сообщение от openwork on 15-Окт-08, 21:18
	да в век OpenVZ и XEN chroot очень важная фича... >>Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС, при старте apache будет выполнен переход в изолированное окружение, корневая директория которого задана через директиву ChrootDir. Новшество совместимо с MPM модулями prefork и worker. > >Не прошло и 10 лет… > >http://www.openbsd.org/cgi-bin/cvsweb/src/usr.sbin/httpd/src...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Представлен релиз HTTP-сервера Apache 2.2.10"
	Сообщение от PereresusNeVlezaetBuggy (ok) on 15-Окт-08, 23:56
	>да в век OpenVZ и XEN chroot очень важная фича... Вообще chroot очень полезная фича. Например, SFTP с чрутом в хомяк пользователя - очень удобно. Опять же, так как сторонние эффекты минимальны, то бывает очень удобно использовать chroot при обновлении системы и тому подобных действиях. К тому же, в отличие от Xen/OpenVZ/etc, chroot прост и надёжен. Примерно как Unix shell против Konqueror. :) Одно другого не отменяет. ... А 6 лет назад Xen был ещё той экзотикой:). >>>Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС, при старте apache будет выполнен переход в изолированное окружение, корневая директория которого задана через директиву ChrootDir. Новшество совместимо с MPM модулями prefork и worker. >> >>Не прошло и 10 лет… >> >>http://www.openbsd.org/cgi-bin/cvsweb/src/usr.sbin/httpd/src...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Представлен релиз HTTP-сервера Apache 2.2.10"
	Сообщение от User294 (??) on 17-Окт-08, 17:34
	>да в век OpenVZ и XEN chroot очень важная фича... Апач в век OpenVZ и XEN - выглядит слегка overbloated зачастую =).Например на VDS юзать оный достаточно дорого (RAM дофига надо).
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

7. "Представлен релиз HTTP-сервера Apache 2.2.10"
Сообщение от Guest (??) on 15-Окт-08, 21:33
> Отдельно стоит отметить, появление поддержки chroot для Unix-совместимых ОС Апач этого до сих пор не умел?!
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Представлен релиз HTTP-сервера Apache 2.2.10"
	Сообщение от rav123 on 15-Окт-08, 21:45
	Ему это не нужно. Это нужно параноидальным сисадминам.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Представлен релиз HTTP-сервера Apache 2.2.10"
	Сообщение от PereresusNeVlezaetBuggy (ok) on 15-Окт-08, 23:42
	>Ему это не нужно. Это нужно параноидальным сисадминам. Простите, когда ваш апач последний раз ломали (через mod_php, например)?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Представлен релиз HTTP-сервера Apache 2.2.10"
	Сообщение от Аноним (??) on 15-Окт-08, 23:57
	никогда, тра-ла-ла :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Представлен релиз HTTP-сервера Apache 2.2.10"
	Сообщение от PereresusNeVlezaetBuggy (ok) on 16-Окт-08, 00:01
	>никогда, тра-ла-ла :) Вот кого не ломали, те и не парятся. Ну а кто раз наступил на грабли, второй раз уже обычно не хочет. :) ИМХО, это уже не паранойя.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Представлен релиз HTTP-сервера Apache 2.2.10"
	Сообщение от Dvorkin (??) on 16-Окт-08, 01:19
	chroot - это настолько маленькое и кривенькое спасение, что им можно пренебречь. значительно важнее поставить _правильные_ права на процессы апач, а не www или apache или nobody как у большинства
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Представлен релиз HTTP-сервера Apache 2.2.10"
	Сообщение от PereresusNeVlezaetBuggy (ok) on 16-Окт-08, 03:52
	>chroot - это настолько маленькое и кривенькое спасение, что им можно пренебречь. >значительно важнее поставить _правильные_ права на процессы апач, а не www >или apache или nobody как у большинства 1. chroot как средство обеспечения безопасности — это не спасение, а лишь средство уменьшения последствий успешной атаки. 2. Права на процессы не ставят. Их ставят на исполняемые файлы. 3. www/apache/nobody — это не права. 4. www/apache/nobody — это прогресс по сравнению с root. 5. И что же вы называете «правильными правами»?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Представлен релиз HTTP-сервера Apache 2.2.10"
	Сообщение от Dvorkin (??) on 17-Окт-08, 12:16
	> 1. chroot как средство обеспечения безопасности — это не спасение, а лишь средство уменьшения последствий успешной атаки. да. и в то же время обрезание всяких приятных возможностей типа вызова программ ОС кому-то оно, может, и не нужно... я ничего не имею против. но на большинстве моих апачей мне chroot бы только мешал. а на серверах, где у меня действительно www для всех я предпочитаю второе (см ниже) > 2. Права на процессы не ставят. Их ставят на исполняемые файлы. вы сами не осознаете глубину своего морального падения :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Представлен релиз HTTP-сервера Apache 2.2.10"
	Сообщение от PereresusNeVlezaetBuggy (ok) on 20-Окт-08, 20:06
	>> 1. chroot как средство обеспечения безопасности — это не спасение, а лишь средство уменьшения последствий успешной атаки. > >да. и в то же время обрезание всяких приятных возможностей типа вызова >программ ОС >кому-то оно, может, и не нужно... я ничего не имею против. но >на большинстве моих апачей мне chroot бы только мешал. Вполне вас понимаю, кое-где мне тоже приходится его отключать. Просто возможности, приятные для вас, будут точно также приятны для взломщиков. Особенно вызов программ ОС. :) >а на серверах, где у меня действительно www для всех я предпочитаю >второе (см ниже) > >> 2. Права на процессы не ставят. Их ставят на исполняемые файлы. > >вы сами не осознаете глубину своего морального падения :) Если вы про всякие SELinux'ы и прочие systrace, то не волнуйтесь, я в курсе. И ещё про многое другое тоже в курсе. Зато вы, видимо, забыли, что все эти средства осложняют конфигурирование, сопровождение - и взлом сервера, но отнюдь не гарантированно спасают от последнего. И расскажите-ка, всё-таки, широкой общественности, что такое, по-вашему, «_правильные_ права на процессы апач, а не www или apache или nobody как у большинства». suexec?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "Представлен релиз HTTP-сервера Apache 2.2.10"
	Сообщение от Dvorkin (??) on 20-Окт-08, 23:20
	>Если вы про всякие SELinux'ы и прочие systrace, то не волнуйтесь, я >в курсе. И ещё про многое другое тоже в курсе. Зато >вы, видимо, забыли, что все эти средства осложняют конфигурирование, сопровождение - >и взлом сервера, но отнюдь не гарантированно спасают от последнего. очевидно да. боже упаси от SELinux >...что такое, по-вашему, «_правильные_ права на процессы mod_ruid потому что если в www-директории пользователя лежит файл с чужими правами, смысла защищаться уже нет
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Представлен релиз HTTP-сервера Apache 2.2.10"
	Сообщение от PereresusNeVlezaetBuggy (ok) on 21-Окт-08, 01:53
	>>Если вы про всякие SELinux'ы и прочие systrace, то не волнуйтесь, я >>в курсе. И ещё про многое другое тоже в курсе. Зато >>вы, видимо, забыли, что все эти средства осложняют конфигурирование, сопровождение - >>и взлом сервера, но отнюдь не гарантированно спасают от последнего. > >очевидно да. боже упаси от SELinux > >>...что такое, по-вашему, «_правильные_ права на процессы > >mod_ruid Угу, Костыль v2.0 :) При MaxRequestsPerChild равном единице проще сразу пользоваться CGI… >потому что если в www-директории пользователя лежит файл с чужими правами, смысла >защищаться уже нет Никто не спорит:). Правда, suexec придумали задолго до появления Apache 2.0… Кстати, помните, сколько было в том костыле ошибок, при, казалось бы, простой постановке задачи?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Представлен релиз HTTP-сервера Apache 2.2.10"
	Сообщение от Dvorkin (??) on 21-Окт-08, 10:23
	>Угу, Костыль v2.0 :) это замечательный костыль >Никто не спорит:). Правда, suexec придумали задолго до появления Apache 2.0… Кстати, >помните, сколько было в том костыле ошибок, при, казалось бы, простой >постановке задачи? вы, видимо, не пробовали.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Представлен релиз HTTP-сервера Apache 2.2.10"
	Сообщение от PereresusNeVlezaetBuggy (ok) on 21-Окт-08, 11:13
	>>Угу, Костыль v2.0 :) > >это замечательный костыль Охотно верю. >>Никто не спорит:). Правда, suexec придумали задолго до появления Apache 2.0… Кстати, >>помните, сколько было в том костыле ошибок, при, казалось бы, простой >>постановке задачи? > >вы, видимо, не пробовали. Пока что нет — пока что все сервера, где ставил Apache 2, были сугубо однозадачные, и поэтому не нуждались в suexec и ему подобных. Собсно, я бы и Apache 2 не ставил, но разработчикам надо mod_perl2… :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Представлен релиз HTTP-сервера Apache 2.2.10"
	Сообщение от Dvorkin (??) on 21-Окт-08, 12:12
	>Пока что нет — пока что все сервера, где ставил Apache 2, по моему скромному ИМХО эта вещь заслуживает быть награждена как лучший модуль для Apache. :) >были сугубо однозадачные, и поэтому не нуждались в suexec и ему >подобных. Собсно, я бы и Apache 2 не ставил, но разработчикам >надо mod_perl2… :) а теперь представьте, что perl,что php, что любой cgi работает именно под тем пользовтелем, под которым он был создан и ничего для этого делать не надо. автор маааленького модуля трахнул всех создателей suexec'ов вместе взятых работает, правда, только под Линукс. но в этом ничего плохого нет
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Представлен релиз HTTP-сервера Apache 2.2.10"
	Сообщение от Andrey (??) on 16-Окт-08, 03:48
	>>Ему это не нужно. Это нужно параноидальным сисадминам. > >Простите, когда ваш апач последний раз ломали (через mod_php, например)? Полный бред, а чем chroot спасет вас от взлома mod_php?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Представлен релиз HTTP-сервера Apache 2.2.10"
	Сообщение от PereresusNeVlezaetBuggy (ok) on 16-Окт-08, 03:54
	>>>Ему это не нужно. Это нужно параноидальным сисадминам. >> >>Простите, когда ваш апач последний раз ломали (через mod_php, например)? > >Полный бред, а чем chroot спасет вас от взлома mod_php? А он и не должен спасать. Равно как и виртуализация. Он нужен чтобы минимизировать ущерб _после_ успешно проведённой атаки на сервер. Секурности собственно программе он не добавляет ни на грамм.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Представлен релиз HTTP-сервера Apache 2.2.10"
	Сообщение от rav123 on 17-Окт-08, 08:58
	>>Ему это не нужно. Это нужно параноидальным сисадминам. > >Простите, когда ваш апач последний раз ломали (через mod_php, например)? Никогда. При грамотной настройке, отключении всего ненужного и постоянного отслеживания уязвимостей и обновлении вероятность сломать апач по причине ошибки в самом апаче очень мала. Ломают чаще всего через дурно написанные скрипты.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Представлен релиз HTTP-сервера Apache 2.2.10"
	Сообщение от PereresusNeVlezaetBuggy (ok) on 20-Окт-08, 19:02
	>>>Ему это не нужно. Это нужно параноидальным сисадминам. >> >>Простите, когда ваш апач последний раз ломали (через mod_php, например)? > >Никогда. >При грамотной настройке, отключении всего ненужного и постоянного отслеживания уязвимостей и обновлении >вероятность сломать апач по причине ошибки в самом апаче очень мала. >Ломают чаще всего через дурно написанные скрипты. Видите ли, то, что не нужно вам, вполне может быть нужно разработчикам, или ещё кому-то. Так что приходится балансировать. Ну а мудрость «знать где упасть — можно и соломку подстелить» ещё никто не отменял. :) К слову, меня тоже пока что не ломали через Апач. Но это не значит, что не стоит пренебрегать дополнительными мерами защиты.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]