5 пунктов обезопасить Апач

1. Отключить сигнатуры:

ServerSignature Off
ServerTokens Prod

2. Запуск апача под собственным аккаунтом:

User apache
Group apache

3. Запретить доступ Апачу в другие директории:

Order Deny,Allow
Deny from all
Options None
AllowOverride None

4. Запретить просмотр листинга каталога:

Options -ExecCGI -FollowSymLinks -Indexes

5. Выключить лишние модули:

cat ./httpd.conf | grep LoadModule

Сборка ПХП

Для себя напоминание, чтоб потом не париться:

./configure —prefix=/usr —with-apxs2=/usr/local/apache2/bin/apxs —with-openssl —with-zlib —enable-ftp —enable-gd —with-gd —with-jpeg-dir=/usr/lib —with-freetype-dir=/usr/lib —with-mysql=/usr/local —enable-sockets —with-gettext —with-iconv=/usr/local

.htaccess

1. Закрыть директорию паролем:

require valid-user
Authname «DirectoryName»
Authtype Basic
AuthUserFile «/path/to/.htpasswd»

2. Закрыть файл паролем:
<Files «mypage.html»>
Require valid-user
</Files>
Authname «DirectoryName»
Authtype Basic
AuthUserFile «/path/to/.htpasswd»

Команда man по завершении просмотра стирает экран с мануалом

Проблема: Команда man по завершении просмотра стирает экран с мануалом Называется «а у тебя ведь хорошая память? Isn’t it?»

Лечение: man использует для просмотра команду less. У less есть ключ «-X» — «не деинициализировать экран по окончании. Поэтому добавьте его к дефолтным ключам в переменную окружения LESS в своем профайле.

LESS=»-e -r -X»
export LESS

Лечение (другой метод): поправить в описании терминала строку деинициализации (ах, как там она называется?), и убрать из нее команду стирания экрана.

LightSquid и статистика пользователей

Есть такой популярной анализатор логов прокси-сервера Squid как LightSquid. И многие администраторы его используют. Скорее всего, что я не первый столкнулся с проблемой того, как показывать пользователям локальной сети их статистику походов по сайтам. Предлагаю свое решение данной небольшой проблемы. Пишем простые .htaccess + index.html файлы и ложим их в каталог со скриптами (у меня исполнение cgi-скриптов и показ html-файлов в одном и том же каталоге разрешено). Итак index.html:


								
							

Подключение антивирусного пакета BitDefender к MTA Postfix

Многие системные администраторы Linux задаются вопросом: «Какой почтовый сервер использовать и какой антивирус к нему установить?». Я предпочитаю Postfix и Bitdefender. последний мне понравился еще для ОС Windows, но к сожалению он является платным продуктом.

К счастью консольная версия для ОС Linux бесплатна и ее мы сможем научить работать с MTA Postfix. Чем и займемся.

Для начала берем BitDefender Linux Edition (бесплатная консольная версия) на официальном сайте продукта (http://bitdefender.ru) и его устанавливаем.

Далее нам необходим какой-либо скрипт для того, чтоб «связать» между собой MTA Postfix и BitDefender. Вот его нам и предстоит написать.

Определим задачи, которые он должен выполнять.

  1. Сохранять письмо в файл.
  2. Вызывать BitDefender для проверки файла.
  3. Анализировать результат проверки.
  4. В случае определения вируса уведомить пользователя о нахождении вируса и удалить письмо.
  5. Вести журналы работы.

Ограничение доступа по SHH через PAM

Одним из преимуществ PAM (Pluggable Authentication Module) является возможность ограничения числа сетевых пользователей, имеющих доступ к определенному сервису, на основе списка. Например, с помощью PAM можно задать ограничения на SSH-подключения.

Добавьте в файл /etc/pam.d/sshd строку:

auth required /lib/security/pam_listfile.so onerr=fail item=user sense=allow file=/etc/sshd_users

Эта директива разрешает регистрацию пользователя через sshd, если его имя присутствует в файле /etc/sshd_users. Опции имеют следующие значения:

  • onerr=fail — этот параметр не даст успешно пройти тест, если произойдет ошибка (указанный файл не найден или в файле обнаружена некорректная строка). В результате пользователю будет отказано в регистрации через sshd. Другим возможным значением параметра onerr является succeed.
  • item=user — означает, что мы проверяем имя пользователя.
  • sense=allow — если пользователь найден в заданном файле, пройти этот тест. Это разрешит регистрацию пользователя, если пройдут также все другие тесты. Другим возможным значением параметра sense является deny.
  • file=/etc/sshd_users — задает файл, содержащий список имен пользователей (по одному имени на строку), которым разрешена регистрация через sshd.

С указанной строкой, файл /etc/pam.d/sshd будет выглядеть приблизительно так:

#%PAM-1.0
auth required pam_stack.so service=system-auth
auth required pam_nologin.so
auth required pam_listfile.so onerr=fail item=user sense=allow file=/etc/sshd_users
account required pam_stack.so service=system-auth
password required pam_stack.so service=system-auth
session required pam_stack.so service=system-auth
session required pam_limits.so
session optional pam_console.so

Теперь вы можете добавить в файл /etc/sshd_users необходимых пользователей. Каждое имя пользователя должно быть указано отдельной строкой.

Ограничение доступа по SHH средствами sshd

Иногда может быть небезопасно разрешать удаленных доступ для всех пользователей. Существует много способов ограничить удаленный доступ к системе. Можно, например, использовать PAM, IPwrappers или IPtables. Однако, проще всего ограничить доступ через SSH — это соответствующе настроить демон SSH.

Добавьте в конец файла /etc/ssh/sshd_config строку, аналогичную нижеприведенной:

AllowUsers [имяпользователя]

Где [имяпользователя] — это имя пользователя, которому вы хотите разрешить доступ. Например:

AllowUsers joe

Эта директива определяет пользователей, которым разрешён доступ в систему через SSH. В примере, пользователь joe уже существует в системе. Несколько пользователей могут быть заданы через пробел.

Настройка Apache

Исправить и добавить в httpd.conf:

ServerSignature Off
ServerTokens Prod
Timeout 45
LimitRequestBody 1048576
TraceEnable off

Это закроет доступ к сигнатуре сервера, уменьшит таймаут соединение (DoS), уменьшит длину запроса (DoS), и отключит метод трейс.

В php.ini:

Expose_php = Off

Скроет присутствие ПХП на сервере.

Ну в общем где-то так.
Мож кому пригодится.

Японцы создали кассовый аппарат, который самостоятельно определит вид блюда

повеаBrain Cоrporetion создала ноу-хау, которое ускорит работу кафе с выпечкой. POS — система визуального распознавания — может самостоятельно определить все виды хлебобулочных изделий, которые есть на подносе, за одну секунду. Испытали первый такой аппарат в магазине-пекарне и гостинице Токио Ramada Resort Karon Beach.

Отличное изобретение, ничего не скажешь! Но мне, как женщине интересней приобрести что-то для домашнего уюта и чтобы радовало глаз. Люблю ходить по магазинам и выбирать что-то стильное для дома, всякие мелочи. Так же не могу пройти стороной и полочки с домашним текстилем. Как хорошо одесситам, у них есть отличный магазин  тканей, который так и называется «Дом тканей», куда можно прийти, посмотреть. Однажды меня заинтересовала ткань для постельного белья, я зашла на их сайт и заказала ту, что мне понравилась. Качеством абсолютно довольна! Доставка быстрая, оплата удобная, цены отличные! Так что не проходите мимо!

И так, вернемся к нашему, или точнее сказать японскому изобретению. Представитель-компании производителя: «Иногда работники не могут вспомнить названий хлебобулочных изделий. А с этой системой наименования товаров появляются с картинками на экране. Поэтому сотрудники могут работать за кассой с первого дня».

Яндекс.Метрика beget