Lamp serveris un drošības jautājumi.

[Maris-S]

Sāku mazliet nopietnāk pētīt web serverus. Kā jau mūsdienās ir pierasts, ļoti liela laika daļa aiziet uz drošības jautājumiem. Tātad doma ir pētīt jau daudz maz pazīstamo apache serveri. Par pašām servera konfigurācijām ir tā diezgan vienkārši atrast informāciju, bet sarežģītāk ir tieši ar vairāk advancētām lietām. Viens no jautājumiem, ko man nesanāca tā uzreiz atrast ir, kā nepieļaut, lai hostinga izmantotājs (shared hostinga gadījumā) varētu ielīst kādu citu lietotāju direktorijās ar php skriptu palīdzību, nu un arī pa pašu serveri, lai nesāk ložņāt? Pa google diezgan daudz reklāmu atrod ar hostinga kompāniju piedāvājumiem un parasto virtual hostu (neanalizējot drošību) aprakstiem, kas sarežģī meklēšanu.

 

Gribēju aizsākt tēmu, kas būtu saistīta tieši ar apache servera drošības jautājumiem.

 

Sākumam daži linki uz ko uzgāju meklējot drošības risinājumus shared hosting ziņā:

http://en.wikipedia.org/wiki/Chroot

http://suphp.org/Home.html

 

Vēl izskatās diezgan sakarīga grāmata par apache drošību:

Preventing Web Attacks with Apache

 

Ja kādam ir labi materiāli par šiem jautājumiem (serveru kopējā konfigurācija, apache moduļi, firewalls un tml.), lūdzu iepostējiet linkus, iespējams, ka kādam noder.

[Roze]

Rodas gan jautājums kāpēc gan kādam pēc būtības būtu jādalās ar know-how par "drošības risinājumiem shared hosting" gadijumā?

Proti tā gluži nav tēma/sfēra ar ko nodarbojas ikdienas php programmētājs vai personāla servera turētājs. Ja ir doma pievērsties biznesam tad izpētes darbus korektāk būtu veikt pašam / vai vismaz mēģināt atrast konkrētus materiālus (kas ir gana) par tēmu.

 

Bet vispārīgi atbildot uz jautājumiem (kas, manuprāt, ir nekonkrēti - "pastāstiet man kaut kor par xxxxx drošību") tad idejiski tendence ir shared risinājumiem ir nodrošināt atdalītas vides jau zemākā līmenī, proti virtualizācija.

Jo vēsturiski ir gana gadijumi kur aplikācijas līmeņa izolācija nav bijusi pietiekama un apejama - kā piemēru var minēt to pašu PHP, kur izstrādātāji ir atteikušies no savas implementācijas - Safe mode ( http://lv.php.net/safe_mode ). Analogi varētu būt arī ar suphp (vai fastcgi php risinājumiem) lai arī iespējams procesus darbināt zem dažādiem lietotājiem, tad neveiksmīgas/nekorektas failu permisijas no lietotāja vai administratora puses tikuntā veido "caurumu(s)". Protams, viss atkarīgs no piedāvātā servisa līmeņa (mass-virtualhosting) un nosacījumiem - veidot katram lietotājam, kas varbūt samaksā 1Ls mēnesī, virtuālu serveri neatmaksājas, taču drošvien atbildība (SLA) pret konkrētiem klientiem arī nav visai augsta un pietiek kautvai tikai ar regulārām rezerves kopijām.

 

Bez tam ir arī pieeja no otras puses - ja arī kādam ir radusies nesankcionēta piekļuve datiem tad tie izrādas nelietojami. PHP gadijumā tā ir sources kriptēšana (daļēji pasargā arī no servisa sniedzējiem :) ).

 

 

 

Bet tā keywordi - 'linux xen', 'freebsd jail'.

[Mr.Key]

Ļoti apsveicami, ka ir cilvēki ar atvērtu domāšanu un dalās ar informāciju!

[Roze]

Dalīties ir viena lieta (ja tev ir ar ko) taču prasīt ir pavisam kas cits..

Pat atvērtā koda ideoloģijā, ko visi mēdz piesaukt par etalonu, idejiski nepastāv šāds princips - proti, ja tev kaut ko vajag vai nu meklē/radi/saproti pats vai arī algo cilvēkus kas to dara tavā vietā t.i. tavam ieguldījumam konkrētās lietas bīdīšanā ir jābūt līdzvērtīgam ;)

[Mr.Key]

Nevēlos ieslīgt offtopikā, bet ko teikt - būtu.

[Maris-S]

Ilgi cietos, bet tomēr nesanāca palikt klusu..

 

Roze, es īsti nesaprotu par ko Jūs tieši protestējat? Ja 100% piekrīt Jūsu vārdiem, tad kāda jēga vispār ir no forumiem kā šis? Komentārus ko Jūs atstājāt šai tēmai varat tikpat labi sakopēt pilnīgi visos pārējo tēmu rakstos. Vai tad visi pārējie jautājumi, kas saistīti gan ar php, gan ar citām web lietām, ko lietotāji šeit ir uzdevuši un uzdos, nav attiecināmi uz 'pievēršanos biznesam'? Varbūt šeit es tāds vienīgais muļķis, kas web izstrādi izmanto kā darbu un ar to cenšas nopelnīt? Es nemaz nevienam neprasu tagad par velti sakonfigurēt web serveri, es palūdzu apmainīties ar informācijas avotiem šai sakarā, lai var tieši mācīties un pētīt šo problēmu, nevis dabūt visu gatavu un arī iedevu linkus uz daudz maz jēdzīgiem materiāliem, ko man sanāca atrast. Ja priekš Jums šie materiāli ir jau sen labi pārzināmi, tas nenozīmē ka pārējie to visu jau arī tik pat labi zin un ka nevienam tas neinteresēs. Arī ja negribat dalīties un palīdzēt citiem, tad var jau vienkārši neatbildēt, savādāk sanāk ka cilvēks uzdod pavisam normālu jautājumu un viņam brauc virsū: "Ko Tu te tagad prasi, ej pats meklē!".

 

Forums arī ir domāts priekš tam, lai varētu palūgt padomu gadījumos, kad rodas sarežģījumi ar konkrētas problēmas risināšanu, ja atbildē uz to sāk braukt virsū, tad forums vienkārši pazaudē jēgu.

Edited January 7, 2009 by Maris-S

[Maris-S]

Uzgāju uz vēl vienu grāmatu par apache drošību, paveca, bet izskatās ka samērā sakarīga:

 

Apache Security

[Roze]

Es "protestēju" pret šādām lietām:

 

1. Nekonkrētas tēmas - "drošības jautājumu" / tas ir analogi kā uzsākt tēmas par "PHP vs Python" (pavīdēja vienā nesenā topicā). Protams, drošivien būs cilvēki, kas kaut ko atbildēs, bet lielākā daļa, kas tiešām būs darbojusies abās vidēs drīzāk būs nogurusi, lai uzsāktu kārtējos "flame" karus..

 

Forums arī ir domāts priekš tam, lai varētu palūgt padomu gadījumos, kad rodas sarežģījumi ar konkrētas problēmas risināšanu

Kāda ir konkrētā problēma? :)

 

2. Ja kaut ko iesaki tad būtu vēlams, lai par to esi pārliecināts/esi izmēģinājis/pārbaudījis ... Pretēji "izskatās diezgan sakarīga" ir kaut kā ne visai. IT ir gana daudz grāmatu, kas ja nu galīgi nav buļļa kakas tad ir gana nejēdzīgās - neapskata aktuālas problēmas, piedāvātie risinājumi ir nekorekti vai vispār nav par tēmu :) Ir arī konkrēts piemērs latviešu valodā izdotajai literatūrai.. Attiecīgi turpinot veidot atsauces tikai vairo "ķesku".

 

Vai tad visi pārējie jautājumi, kas saistīti gan ar php, gan ar citām web lietām, ko lietotāji šeit ir uzdevuši un uzdos, nav attiecināmi uz 'pievēršanos biznesam'?

Jā un nē.. Taču starp parastas mājaslapas uzkodēšanu un hostinga servisa veidošana pastāv zināmas atšķirības :)

 

 

Arī ja negribat dalīties un palīdzēt citiem, tad var jau vienkārši neatbildēt, savādāk sanāk ka cilvēks uzdod pavisam normālu jautājumu un viņam brauc virsū: "Ko Tu te tagad prasi, ej pats meklē!".

Jā, protams, arī ar to forumā ir jārēķinās (jautājuma uzdevējam). Liela daļa (es pieņemu) foruma iemītnieku redz kad palīdzība tiešām ir vajadzīga un kad nē ("davaj pasakiet kā man uz phpnukes uzlikt cs-monitoru.... no KO NEVIENS NEVAR?!!!"), kad cilvēks ir reāli padarbojies pie konkrētas lietas un viņam tiešām kaut kas nesanāk..

 

 

 

Rezumē - to apachi vajag uzstādīt un paskatīties kā tā strādā multi-lietotāju vidē.. Tīri metot teorētiskus linkus uz wikipēdiju ne vienmēr ir labākais veids :) To protams var darīt bet tam mums ir cits threads -> http://php.lv/f/index.php?showtopic=2935

[JanisZ]

Njā tie programmētāji izstās pēc vienas nervozas, skaudīgas un skopas publikas.

Vai visi tādi? :)

Nu jā visiem bail, ka uzradīsies kāds ģēnijs, kas nebūs veltīgi laiku iztērējis uz visādas informācijas pārfiltrēšanu, pirms nonāk līdz kaut cik sakarīgam rezultātam.

Beehh riebīgi brīžiem metas.