"Peter" <pa.its@cbs.dk> writes:
>Hvordan beskytter man apache bedst mod at blive hacket og er der et
>godt "virusprogram"
Apache: Man lader være med at installere det...
Nej seriøst. De fleste distributioner lader ikke apache køre som root(*),
da det kan give sikkerhedsproblemer. Så sandsynligheden for at der
kommer root adgang ud af at cracke apache er uhyre lille. Derimod er
der stadig mulighed for at den bliver brudt via et dårligt cgi script
en eller anden har lavet (dig?) og får adgang til maskinen som den
bruger apache kører som... Men oftest vil denne bruger ingen
skrive rettigheder have til filsystemet (udover
/tmp). Derfor... Medmindre du har noget at gemme (dvs. noget de ikke
må læse) eller du har lavet noget skrivbart til apache brugeren
(normalt www eller www-data) så har du ingen problemer!
Virusprogram: Jeg håber selvfølgelig du mener ANTI-virusprogram. For
at en virus kan "leve" kræves det at antallet af gange den dør skal
være mindre end antallet af gange den spreder sig. På et windows
system er dette trivielt for virus'en da der er adgang til hele hd'en
og alle programmerne. Men i unix/linux køres alle programmer der får
fremmede data oftest som en normal bruger, der oftest kun har adgang
til sine egne data. Af disse data vil der sjældent være programmer der
er eksekverbare, hvis brugeren er i høj risiko gruppen (de dumme
brugere der klikker på attachments). Dette gør at vira'en kun kan
sprede sig til den lille mængde filer brugeren har installeret,
dvs. den spreder sig ikke til andre der bruger systemet! Alt i alt
giver det MEGET hårde vilkår for forskellige vira.
(*) apache starter som root så den kan få lov til at åbne porte og
logfiler, men skrifter så den den bruger jeg snakker om. (Der kører
dog hele tiden en hoved tråd som root, der sørger for at spawne nye
processor når det er nødvendigt)
--
--
Dennis
Mother said that there would be days like this,
but she never said there would be so many!