1.0Чудо{вищные} заметкиhttps://miracle.rpz.nameMiRacLehttps://miracle.rpz.name/author/miracle/<p>на <a title="The OpenNET Project" href="http://opennet.ru/">opennet-e</a> новость и ссылка на <a title="20 ways to Secure your Apache Configuration" href="http://www.petefreitag.com/item/505.cfm">статью</a>…<br /><br />Буквально в двух словах – предлагают отключить <strong>ВСЁ </strong>(забыли только в crontab добавить каждую минуту apachectl stop делать)<br />Не спорю – будет секурно,а кому будет нужен такой apache ?<br />Из реальных советов только mod_security советуют поставить ( и не пишут где набрать для него <a title="got root mod_security rules" href="http://www.gotroot.com/mod_security+rules">хороших правил</a> – без них это просто ещё один «unnecessary module», которые советую вырубать), в chroot загнать – тоже спорно(на мой взгляд) для статических сайтов (на которые по сути и рассчитаны видимо эти «советы») это решение №1, а «динамический» вогнать в chroot довольно трудоёмкая задача(почти полсистемы копировать чтобы работали php,perl и т.п.) – проще сделать jail ( а проще ли? – удобнее точно), ну и собственно рекомендуют отключать «нафикненужные» модули, что я думаю подразумевается любым  вменяемым администратором.<br /><br />Из совершенно непонятных мне советов:<br />(в вольном переводе)<br />Отключить .htaccess (правильно – если у Вас один сайт – один сервер, а если это публичный хостинг тогда писать «рулесы» по требованию клиента? а не <strike>зае</strike>замучаешься?)<br />но это не главное – дальше говорят – «а если всё-таки нужны .htaccess – сделайте, но назовите это файл как-нибудь по-другому, например <font face="Courier New">.httpdoverride</font>», дальше приводят правило, которое итак есть в httpd.conf… – а смысл в переименовании ? что измениться ? чтоб никто не догадался ?<br />страусиная философия –  прячем череп в песок, чтоб не так страшно было, когда будут убивать….<br /><br /><em>Lower the Timeout value</em> - крайне спорно!!! , хотя может для буржуев это и актуально, у нас же пока большая часть пользователей пользуются убогими модемами(или убогими ATC) и уменьшив таймаут, мы рискуем кинуть их всех через известный орган…<br /><br /><strong>P.S.<br /></strong>плевать на «вредные советы»<br />я хочу нормальное решение(без ugly hack-ов) для хостинга web-проектов (в данном случае php+any_webServer), такое чтобы было «шустрое» как mod_php (этим я подразумеваю что php as cgi или fastcgi конечно рабочее, но в скорости многократно проигрывает) и «секурное» – чтобы каждый VirtualHost был под своим юзером….<br />мечты-мечты…<br /><br />Мечты подкрепились недавним очередным релизом <a title="This requires you to use multithreaded versions of PHP" href="http://www.telana.com/peruser.php">Peruser MPM for apache 2</a> – хорошее начало, но имеет ряд <u>существенных</u> ограничений – надо отключать KeepAlive – а это неминуемое падение прозводительности (которое в принципе я решил путём отдачи статики через <a title="[engine x]" href="http://sysoev.ru/nginx/">ngnix</a> ) и ряд офигенных глюков PHP, в частности проблемы с GD и MSSQL которые я получил, попробовав настроить такую конструкцию на dev-сервере, оно понятно, об этом предупреждают создатели PHP, <strike>но до слёз обидно</strike>…<br /></p> <p><strong>P.P.S.<br /><br /></strong>ещё пару советов в общую коллекцию:<br />Порежьте сетевой кабель на куски и сожгите его в безлунную ночь под ржание сивой кобылы.<br />Разъбейте все внешние (и внутренние тоже) накопители об стенку, осколки закопайте на Поле Чудес<br />Спите в презервативе – <strong>БЕЗОПАСТНОСТЬ ПРЕВЫШЕ ВСЕГО</strong></p>rich