на opennet-e новость и ссылка на статью…
Буквально в двух словах – предлагают отключить ВСЁ (забыли только в crontab добавить каждую минуту apachectl stop делать)
Не спорю – будет секурно,а кому будет нужен такой apache ?
Из реальных советов только mod_security советуют поставить ( и не пишут где набрать для него хороших правил – без них это просто ещё один «unnecessary module», которые советую вырубать), в chroot загнать – тоже спорно(на мой взгляд) для статических сайтов (на которые по сути и рассчитаны видимо эти «советы») это решение №1, а «динамический» вогнать в chroot довольно трудоёмкая задача(почти полсистемы копировать чтобы работали php,perl и т.п.) – проще сделать jail ( а проще ли? – удобнее точно), ну и собственно рекомендуют отключать «нафикненужные» модули, что я думаю подразумевается любым вменяемым администратором.
Из совершенно непонятных мне советов:
(в вольном переводе)
Отключить .htaccess (правильно – если у Вас один сайт – один сервер, а если это публичный хостинг тогда писать «рулесы» по требованию клиента? а не заезамучаешься?)
но это не главное – дальше говорят – «а если всё-таки нужны .htaccess – сделайте, но назовите это файл как-нибудь по-другому, например .httpdoverride», дальше приводят правило, которое итак есть в httpd.conf… – а смысл в переименовании ? что измениться ? чтоб никто не догадался ?
страусиная философия – прячем череп в песок, чтоб не так страшно было, когда будут убивать….
Lower the Timeout value – крайне спорно!!! , хотя может для буржуев это и актуально, у нас же пока большая часть пользователей пользуются убогими модемами(или убогими ATC) и уменьшив таймаут, мы рискуем кинуть их всех через известный орган…
P.S.
плевать на «вредные советы»
я хочу нормальное решение(без ugly hack-ов) для хостинга web-проектов (в данном случае php+any_webServer), такое чтобы было «шустрое» как mod_php (этим я подразумеваю что php as cgi или fastcgi конечно рабочее, но в скорости многократно проигрывает) и «секурное» – чтобы каждый VirtualHost был под своим юзером….
мечты-мечты…
Мечты подкрепились недавним очередным релизом Peruser MPM for apache 2 – хорошее начало, но имеет ряд существенных ограничений – надо отключать KeepAlive – а это неминуемое падение прозводительности (которое в принципе я решил путём отдачи статики через ngnix ) и ряд офигенных глюков PHP, в частности проблемы с GD и MSSQL которые я получил, попробовав настроить такую конструкцию на dev-сервере, оно понятно, об этом предупреждают создатели PHP, но до слёз обидно…
P.P.S.
ещё пару советов в общую коллекцию:
Порежьте сетевой кабель на куски и сожгите его в безлунную ночь под ржание сивой кобылы.
Разъбейте все внешние (и внутренние тоже) накопители об стенку, осколки закопайте на Поле Чудес
Спите в презервативе – БЕЗОПАСТНОСТЬ ПРЕВЫШЕ ВСЕГО
нашёл ещё один “костыль” для решения проблемы запуска скриптов под различными пользователями – suPHP – сижу, думаю а зачем ставить какой-то “малознакомый” (читай – “нетестированный годами”) модуль к апачу, если результат его работы в точности повторяет фунциональность suexec, который всё-таки тестирован и т.д. и т.п. Т.е. php в итоге работает как cgi, а этот модуль “вынужден” работать под рутом, чтобы в нужный момент setuid-нуться (и setgid-нуться).
Возможно я не прочувствовал всю “соль” этого модуля(могли бы хоть в FAQ у себя на сайте написать разъяснения по поводу того что “наш велосипед обгонит все ваши другие велосипеды, потому что мы – БАНДА” ;o) )