Re: [ml] strane righe in error.log di apache

Alessio Cecchi ha scritto:
> Io adotto varie tecniche tra cui una delle più efficace è una robusta 
> configurazione sul firewall in uscita del tipo niente è permesso tranne poche 
> cose (collegamento verso dns fidati, niente web, smtp solo verso un relay e 
> simili).
>
> in più per php impongo l'attivazione dei vari open_basedir safe_mode e così 
> via. Con tutte queste restrizioni in uso si riesce a limitare abbastanza il 
> fenomeno.
>
> Sarebbe interessante conoscere esperienze di altri su come arginare tale 
> fenomeno.

Firewall e chroot sono d'obbligo.

Disabilitare da php alcune funzioni quali 
readfile,system,exec,shell_exec,passthru,exec,proc_open,symlink per esempio.

Utilizzare una versione hardened del php che pero' puo' creare non pochi 
problemi di compatibilita' con script codati male.. anche se 
implementandolo si potrebbe spingere un po tutti a codare meglio :)

Sicuramente mod-security e' nostro amico, poiche' ci permette di 
filtrare determinate url, parole(es. wget), parti di codice e in piu 
sono a disposizione di tutti numerose e aggiornate regole, per bloccare 
sql injection e bug relativi ai piu' cms e/o forum e/o blog.

Per altri script basati su cgi invece, sbox mi sembra valido e di facile 
implementazione per chrootare le singole dir dei virtualhost degli utenti.

Chrootare l'intero server web e' sempre ben accetto.

Installare grsecurity per massimizzare l'audit e le operazioni di chroot 
e' gradito anch'esso.

Ovviamente, come sapete tutti, con questi provvedimenti si possono 
limitare i danni, ma mai rendere il server completamente sicuro.

In ogni caso, io disinstallo il mio wget, lynx, links and so on, 
tagliando non tutta la testa ma almeno le corna del toro e riesco a 
dormire qualche ora per notte(grazie anche al potere retroattivo della 
birra.. ^_^ ) :P


Saluti