Хочется большей секьюрности.

Посканил свой апач на наличие вкусностей и обнаружил, что сей фрукт выдаёт про себя всё и всем, а именно версию и модулы:
Server: Apache/2.2.3 (Debian) PHP/4.4.4-8+etch6 ну и т.п.
Пробовал избавиться при помощи:
#ServerTokens Prod
#ServerSignature Off
но это как мёртвому припарка.

On 2009.11.05 at 16:03:17 +0300, alex tarasov wrote:

>    Посканил свой апач на наличие вкусностей и обнаружил, что сей фрукт
>    выдаёт про себя всё и всем, а именно версию и модулы:
>    Server: Apache/2.2.3 (Debian) PHP/4.4.4-8+etch6 ну и т.п.
>    Пробовал избавиться при помощи:
>    #ServerTokens Prod
>    #ServerSignature Off
>    но это как мёртвому припарка.

Ну если # в начале строки - то это, естественно, как мертвому припарки.
Потому что в конфиге апача # - знак комментария. Вот если эту решетку
убрать...


--
To UNSUBSCRIBE, email to debian-russian-REQUEST@...
with a subject of "unsubscribe". Trouble? Contact listmaster@...

Hello!

On Thursday 05 November 2009 16:03:17 alex tarasov wrote:
> Посканил свой апач на наличие вкусностей и обнаружил, что сей фрукт выдаёт
> про себя всё и всем, а именно версию и модулы:
> *Server: Apache/2.2.3 (Debian) PHP/4.4.4-8+etch6 ну и т.п.*
> Пробовал избавиться при помощи:
> #ServerTokens Prod
> #ServerSignature Off
> но это как мёртвому припарка.

Про закомментированные строки Витус уже сказал, а вам стоит задуматься вот
над чем - апач широко распространен и многие сканеры могут и без строки
идентификации опробовать имеющиеся эксплойты на вашем хосте. Так что лучше
использовать менее распространенный и притом более безопасный веб-сервер,
выдавая его как раз-таки за апач, чтоб не выделяться, плюс к тому поставить
реверс-прокси, который будет валидировать запрос. Разумеется, еще следовало
бы забыть про php и непроверенный код, найденный в дебрях сети...

Best regards, Alexey Pechnikov.
http://pechnikov.tel/

> Разумеется, еще следовало
> бы забыть про php и непроверенный код, найденный в дебрях сети...
>
>  
А как же быть пользователям друпала и phpbb ?
Тоже забыть?
Это не для флуда и войн. Прсто действительно очень интересно - везде
пишется про несекюрность пхп, но почему-то наиболее распространены и
популярны приложения именно на пхп. Просветите. (И не ругайтесь только )) )


--
To UNSUBSCRIBE, email to debian-russian-REQUEST@...
with a subject of "unsubscribe". Trouble? Contact listmaster@...

Twas brillig at 16:33:22 05.11.2009 UTC+02 when ra@... did gyre and gimble:

 ASR> Это не для флуда и войн. Прсто действительно очень интересно - везде пишется про
 ASR> несекюрность пхп, но почему-то наиболее распространены и популярны приложения
 ASR> именно на пхп. Просветите.

Всё очень просто: Те, кто пишут про несекурность - не используют
PHP. Те, кто используют - ничего не читают (не хотят, не умеют или не
знают, что это имеет смысл).

--
  http://fossarchy.blogspot.com/

Hello!

On Thursday 05 November 2009 17:33:22 Andrey S. Rybak wrote:
> А как же быть пользователям друпала и phpbb ?
> Тоже забыть?
> Это не для флуда и войн. Прсто действительно очень интересно - везде
> пишется про несекюрность пхп, но почему-то наиболее распространены и
> популярны приложения именно на пхп. Просветите. (И не ругайтесь только )) )

Все знают, что курение вредно, но одного знания мало. Так и с php.

Best regards, Alexey Pechnikov.
http://pechnikov.tel/

5 ноября 2009 17:57:03 Mikhail Gusarov писали: А уже из этого и вытекает все остальное - тонны некачественного кода, так
вообще не только с PHP, такая-же ситуация была например с бейсиком (который
VB) и до сих пор с делфи - она все никак не помрет.

А есть еще и те кто не верят всему что пишут первые, а проверяют это, но они
обычно работают и писать про всякие секьюрности и несекьюрности не любят.

По поводу первого поста:
>Server: Apache/2.2.3 (Debian) PHP/4.4.4-8+etch6 ну и т.п.
Некрофил.

Ставьте последние версии и не используйте кривые движки, а если уж
пользуетесь, то обновляйте своевременно.

---
Иван Борзенков <ivan1986@...>

I am the "ILOVEGNU" signature virus. Just copy me to your signature.
This email was infected under the terms of the GNU General Public
License.

alex tarasov wrote:
> Посканил свой апач на наличие вкусностей и обнаружил, что сей фрукт
> выдаёт про себя всё и всем, а именно версию и модулы:
> *Server: Apache/2.2.3 (Debian) PHP/4.4.4-8+etch6 ну и т.п.*
> Пробовал избавиться при помощи:
> #ServerTokens Prod
> #ServerSignature Off
> но это как мёртвому припарка.
mod_chroot для большей секьюрности , suphp для php , и т.д.
а то , что апач выдает версии , то это не проблема , подпишитесь на
security-debian  и обновляйтесь когда надо.
Regards ,
Alex


--
To UNSUBSCRIBE, email to debian-russian-REQUEST@...
with a subject of "unsubscribe". Trouble? Contact listmaster@...

Hello!

On Thursday 05 November 2009 22:56:26 you wrote:
> > апач широко распространен и многие сканеры могут и без строки
> > идентификации опробовать имеющиеся эксплойты на вашем хосте.
> >
> То есть Вы хотите сказать что никакие манипуляции с конфигом не скроют эту
> информацию?

Повторяю - нет особого смысла ее скрывать, поскольку атакующий все равно опробует
имеющиеся у него эксплойты. Вот если указан некий другой веб-сервер и по каким-либо
особенностям атакующему не удастся убедиться в обмане, то есть шанс, что будут
использованы только эксплойты для того другого сервера... Кроме того, у апача есть свои
особенности - версии 1.3.х, к примеру, обрабатывали абсолютный URL, в то время как
другие сервера действовали по стандарту. Наверняка есть и другие нюансы, которые
может проверить сканер.

P.S. А почему в приват?

Best regards, Alexey Pechnikov.
http://pechnikov.tel/

On Thu, Nov 05, 2009 at 04:46:46PM +0300, Alexey Pechnikov wrote:
> Так что лучше использовать менее распространенный и притом
> более безопасный веб-сервер, выдавая его как раз-таки за апач,
> чтоб не выделяться, плюс к тому поставить реверс-прокси,
> который будет валидировать запрос.

Кстати, а кто таким занимается, кроме apache с mod_security?

--
 ---- WBR, Michael Shigorin <mike@...>
  ------ Linux.Kiev http://www.linux.kiev.ua/


--
To UNSUBSCRIBE, email to debian-russian-REQUEST@...
with a subject of "unsubscribe". Trouble? Contact listmaster@...

On Thu, 05 Nov 2009 21:17:20 +0100
Alexander Mestiashvili <alexander.mestiashvili@...>
wrote:
PHP не менее и не более бозопасен по сравнению с например Perl, C++,
Python или Ruby. Купил книгу по методам взлома и тестирования систем на
уязвимость. Много узнал нового. Ну какие методы тут можно
предложить... ;-} Есть же семиуровневая модель сетевых ОС, там типо
входят канальный уровень, сетевой, прикладной и т.д. И задача
специалиста по компьютерной безопасности - обеспечить безопасность на
всех этих уровнях. Ну например для apache и PHP - в chroot песочницу
затолкать. ;-} Убрать информацию о версии апача и версии PHP. Закрыть
внешние сетевые порты для сервисов которые не используются. А где
гарантия что сервер не подвергнется сканированию на уязвимость
PHP_including, или SQL_injecting? Сервер будет взломан в песочнице, но
взломан. А чо хорошего будет если тот же apache не обработает запросы
одновременно от 500 DDoS серверов (клиентов)? ;-} Можно и обновиться не
успеть. А следить постоянно за debian-security надоедает... Какие еще
методы можно предложить: сокрытие данных о сервере, маскировка
виртуального домена, VPN, SSL, SSH, просканировать сервер nessus'ом а
затем удалить nessus, многие серверные сканеры уязвимостей могут
послужить дырой в системе. Короче, надо обеспечить машинку безопасносью
всеми возможными средствами. ;-} Но и дядьку Билла взламывали... :-D


--
To UNSUBSCRIBE, email to debian-russian-REQUEST@...
with a subject of "unsubscribe". Trouble? Contact listmaster@...

6 ноября 2009 г. 5:16 пользователь sms <debsnake@...> написал:
>А следить постоянно за debian-security надоедает...

Вам зубы чистить не надоедает? Или вы их не чистите?

On Fri, 6 Nov 2009 09:07:22 +0500
Владимир Ступин <wheelof@...> wrote:

> 6 ноября 2009 г. 5:16 пользователь sms <debsnake@...> написал:
> >А следить постоянно за debian-security надоедает...
>
> Вам зубы чистить не надоедает? Или вы их не чистите?
чищю, но редко. ;-} поэтому у мну многа денек уходит на стоматолога.


--
To UNSUBSCRIBE, email to debian-russian-REQUEST@...
with a subject of "unsubscribe". Trouble? Contact listmaster@...

On Fri, 6 Nov 2009 07:44:42 +0300
alex tarasov <strog2@...> wrote:

> Озвучьте пожалуйста , что это за книга?
> Купил книгу по методам взлома и тестирования систем на
>
> > уязвимость.
> >
автор Эд Скудис. "Противостояние хакерам.", Москва, 2003 г.
Пошаговое руководство по компьютерным атакам и эффективной защите.
-Наиболее уязвимые места Interner-протоколов и ОС
-Защита систем от проникновения извне
-Теория, инструменты, практические советы.

Кто хочет закачать ее в электронном виде, то бегом на сайт
www.samouchka.net

;-}


--
To UNSUBSCRIBE, email to debian-russian-REQUEST@...
with a subject of "unsubscribe". Trouble? Contact listmaster@...

> чищю, но редко. ;-} поэтому у мну многа денек уходит на стоматолога.
Скажите, а вы специально так коверкаете слова?

--
С уважением,
Константин Матюхин

6 ноября 2009 г. 10:07 пользователь sms <debsnake@...> написал:
> On Fri, 6 Nov 2009 09:07:22 +0500
> Владимир Ступин <wheelof@...> wrote:
>
>> 6 ноября 2009 г. 5:16 пользователь sms <debsnake@...> написал:
>> >А следить постоянно за debian-security надоедает...
>>
>> Вам зубы чистить не надоедает? Или вы их не чистите?
> чищю, но редко. ;-} поэтому у мну многа денек уходит на стоматолога.

Вот-вот. "Секьюрность", как и здоровье, требует денег и дисциплины.

On Fri, 6 Nov 2009 09:36:18 +0300
Konstantin Matyukhin <kmatyukhin@...> wrote:

> > чищю, но редко. ;-} поэтому у мну многа денек уходит на стоматолога.
> Скажите, а вы специально так коверкаете слова?
>
да, специально. ;-} те, кто хочет влиться в хакерский коллектив, должны
понимать хакерский юмор. ;-} это им свойственно. Да и прикольно, для
души полезно. Тем более что кроме компьютеров, у них ничего больше не
доставляет удовольствия. ;-} (ну-у-у-у...за исключением секса конечно
же, и еды) ;-D


--
To UNSUBSCRIBE, email to debian-russian-REQUEST@...
with a subject of "unsubscribe". Trouble? Contact listmaster@...

6 ноября 2009 г. 12:34 пользователь sms <debsnake@...> написал:
Писец как остроумно. Валяюсь на полу в истерике. Хакерский юмор меня
порвал. Не шутите больше так, а то я буду бояться читать рассылку.
Вдруг от смеха лопну?

Секс, еда, компьютеры и юмор, построенный на орфографических ошибках
как-бы похоже больше на "падонкаф", а не на хакеров.

On Fri, 6 Nov 2009 12:43:45 +0500
Владимир Ступин <wheelof@...> wrote:
да, похоже на падонкаф. А я вот пишу, и мну смешно. ;-} Ибо этот язык
позволяет переформулировать слова, так чтобы было необычно звучало, с
долей иронии... Отличие лишь в том, что мой таким образом созданый юмор
- это только положительные эмоции и никакого вреда никому. А
падонкаффффский язык - приносит только вред, протому что в основном
направлен на пошлость, маты, и всякую тухлятину. ;-} Я вот написал
вроде текст обычным русским языком, а грустно чо то на душе
становится. ;-{ хну Надо себя веселить чуток иногда, никто ж не
развеселит больше. Правда, креведко? :-D


--
To UNSUBSCRIBE, email to debian-russian-REQUEST@...
with a subject of "unsubscribe". Trouble? Contact listmaster@...

sms пишет:
 > автор Эд Скудис. "Противостояние хакерам.", Москва, 2003 г.
 >
 > Кто хочет закачать ее в электронном виде, то бегом на сайт
 > www.samouchka.net
 >
А я думал что хакеры должны начать с:

http://www.gnu.org/manual/manual.html
http://tldp.org/
http://www.debian.org/doc/ddp

т.е. немедленно нужно все забыть и бежать на samouchka.net ))

--
С уважением, Александр Гавенко.


--
To UNSUBSCRIBE, email to debian-russian-REQUEST@...
with a subject of "unsubscribe". Trouble? Contact listmaster@...