Как я могу защитить находящийся в OpenBSD веб-сервер Apache?
Существует три вида управляющих кодов там: расширение параметра удара, колотите быстрое расширение и терминальные управляющие коды.
${debian_chroot:+($debian_chroot)}означает “если$debian_chrootустановлен и непуст, затем($debian_chroot), еще ничто”. (См./etc/bash.bashrcпоскольку, какdebian_chrootопределяется. Поскольку имя указывает, что это - вещь Debian.)- Escape обратной косой черты являются быстрыми Escape.
\uзаменяется именем пользователя,\hзамена названием машины, и так далее (см. руководство для списка). Части в\[…\]терминальные Escape; скобки говорят удару, что эти части не берут комнаты на экране (это позволяет удару вычислить ширину подсказки).\033символ ESC (число символов 033 восьмеричных, т.е. 27 десятичных чисел, иногда записанных\eили^[); это представляет терминальные escape-последовательности. ESC [ codes m(записанныйCSI Pm mв xterm списке управляющих последовательностей), изменяет цвет или появление следующего текста. Например, код1переключатели к полужирному,32переключает основной цвет на зеленый,0переключатели к атрибутам по умолчанию.
Если Вы только служите статическим файлам, Вы не должны изменять конфигурацию. Значения по умолчанию безопасны. Так или иначе OpenBSD FAQ является Вашим другом, особенно раздел о apache+chroot.
В будущем nginx, вероятно, заменит апача в основе.
OpenBSD devs уже сделал эту работу для Вас! Установка по умолчанию уже укреплена и испытывает недостаток в поддержке php "из поля" и включает аудиты OpenBSD и изменения настроек безопасности. То, что Apache выполняет w/in chroot по умолчанию также, изолирует демона к каталогу,/var/www. Конфигурации по умолчанию в Вашем httpd.conf файле также установлены на нормальные значения по умолчанию, но необходимо рассмотреть их для особого случая.
Как большинство вещей в OpenBSD, значения по умолчанию нормальны, и если Вы хотите выстрелить себе в ногу, необходимо явно сделать так.
-
1и почему делает "httpd.conf", содержит/var/www для chroot? Что происходит, если кто-то изменяет этот путь в этом файле конфигурации? для напр.: к "/"? - chroot dir будет изменен? :D – gasko peter 23.06.2012, 09:23
-
2httpd страница справочника на OpenBSD: "По умолчанию httpd будет chroot (2) к
ServerRoot'' path, serving documents from theDocumentRoot'' путь. В результате безопасного поведения по умолчанию httpd не может получить доступ ни к каким объектам за пределами ''ServerRoot'' - эти меры безопасности взяты в случае, если httpd поставлен под угрозу. Это не без недостатков, хотя" – gabe. 18.07.2012, 23:12 -
3Хотя, если Вы собираетесь изменить chroot на/, Вы - вид нанесения поражения цели. Мог бы также просто использовать-u опцию для httpd для отключения chroot полностью в той точке. Определенно проверьте официальный OpenBSD FAQ на это: openbsd.org/faq/faq10.html#httpdchroot – gabe. 18.07.2012, 23:30
Существует также книга, названная, "Укрепляя Apache", который имеет некоторые хорошие советы также.