PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Apache mod-security einsetzen?



Tomek
25.12.04, 20:16
Hallöle,

setzt jemand von euch mod-security für Apache ein? Und wenn ja, welche Erfahrungen habt ihr damit gemacht und welche Konfiguration verwendet ihr?

Danke.

derRichard
26.12.04, 11:40
hallo!

das teil geht recht gut.
das dumme ist nur, dass die chroot-funktion noch beta ist.
aber man kann damit sonst fein filtern :)

//richard

cane
26.12.04, 14:36
Hallo!

Damit wollte ich mich eigentlich über die Feiertage beschäftigen weil zwischen den Tagen die Webserver auf neue Kisten verlagert werden und gleichzeitig die PHP-Umgebung abgesichert werden soll.

Bin aber leider noch nicht dazu gekommen...

Schade das die chroot-Funktionalität noch beta ist - die hätte mich sehr interessiert.

Betreibt jemand von euch das mod im produktiven Einsatz?

mfg
cane

derRichard
26.12.04, 14:38
hallo!

wenn du php sichern willst, dann patche php mit hardened-php.net und bau dem apache selber ein chroot, das ist nicht viel arbeit.

//richard

cane
26.12.04, 15:14
THX - Schau ich mir mal an...

Momentan arbeite ich mit open_basedir und anderen Restriktionen - ein chroot wäre natürlich noch besser.

Zu dem hardened PHP - wie ist die Performance?
Ich hffe nicht wesentlich schlechter da auf den Servern schon eine Menge Präsenzen liegen die auch munteren Gebrauch von PHP & MYSQL machen...

mfg
cane

cane
26.12.04, 15:18
----[ 3.3 - Speed impact ]----------------------------------------------

It is believed that the few additional clock cycles spent on the extra
sanity checks are marginal in comparison to the overhead which is caused
by the protected functions within the memory management and filesystem
access functions.

A complete benchmark will be added to this section once it is achieved.

----[ 3.4 - Memory usage ]----------------------------------------------

Hardened-PHP adds canary protection to every allocated block of memory,
to every linked list and to every linked list element. Additional every
request remembers the triggering IP address. Combined this means an
increased of used memory.

This section will be filled with a memory usage benchmark in the future.

Hmm jetzt müsste ich nur noch wissen wieviel mehr Memory gebraucht wird...

mfg
cane