[tanya-jawab] Konfig Apache Minimalis (Was Re: [tanya-jawab] nge-root dengan apache)
On Fri, Dec 17, 2004 at 09:11:58AM +0700, Rizky Prasetya wrote: Yang jadi pertanyaan, apa yang hendak dicapai dengan design tersebut? Apakah tidak ada workaround sehingga harus root? mungkin workaround inilah yang sebaiknya didiskusikan/ditanyakan daripada menjalankan httpd sebagai root. UID root untuk httpd relatif aman apabila 0. seluruh halaman web yang dilayani adalah statis 1. tidak ada virtual domain 2. seluruh fungsi dynamic page processing (cgi, ssi, scripting) dimatikan. 3. tidak ada celah (known atau zero-day) yang memungkinkan eksekusi shellcode Tapi, apabila semua syarat tersebut terpenuhi maka httpd yang running sebagai nobody pun sudah mencukupi. Apabila memang harus root untuk melayani dynamic page, maka ada beberapa alternatif: 0. suid untuk script cgi 1. sudoers untuk specific user/httpd user 2. compile apache dengan env BIG_SECURITY_HOLE, dan set httpd untuk running dengan user root. Baca src/main/http_core.c. Saya berencana untuk membuat apachenya menjadi minimalis seperti yg disebutkan Mas Rizky di atas (no. 0 - 3). Kegunaannya sih hanya untuk menyimpan halaman adzap, banner removal untuk squid, shg saya pikir tidak perlu konfigurasi apache default untuk ini. Menurut anda atau rekan milis lain, apakah cukup merekonfig httpd.conf atau saya kudu install apache dr source code atau cari mini web server untuk memenuhi kebutuhan saya ini ? Saya tulis lagi kebutuhannya sbb: 0. seluruh halaman web yang dilayani adalah statis 1. tidak ada virtual domain 2. seluruh fungsi dynamic page processing (cgi, ssi, scripting) dimatikan. 3. tidak ada celah (known atau zero-day) yang memungkinkan eksekusi shellcode 4. tidak ada script php/cgi/ssi 5. tidak ada suexec 6. tidak ada ssl TIA ~yudi -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis
Re: [tanya-jawab] Konfig Apache Minimalis (Was Re: [tanya-jawab] nge-root dengan apache)
Arief Yudhawarman wrote: 0. seluruh halaman web yang dilayani adalah statis 1. tidak ada virtual domain 2. seluruh fungsi dynamic page processing (cgi, ssi, scripting) dimatikan. 3. tidak ada celah (known atau zero-day) yang memungkinkan eksekusi shellcode 4. tidak ada script php/cgi/ssi 5. tidak ada suexec 6. tidak ada ssl pakai thttpd . sol. -- --beast -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis
Re: [tanya-jawab] Konfig Apache Minimalis (Was Re: [tanya-jawab] nge-root dengan apache)
Saya berencana untuk membuat apachenya menjadi minimalis seperti yg disebutkan Mas Rizky di atas (no. 0 - 3). Kegunaannya sih hanya untuk menyimpan halaman adzap, banner removal untuk squid, shg saya pikir tidak perlu konfigurasi apache default untuk ini. Menurut anda atau rekan milis lain, apakah cukup merekonfig httpd.conf atau saya kudu install apache dr source code atau cari mini web server untuk memenuhi kebutuhan saya ini ? Saya tulis lagi kebutuhannya sbb: 0. seluruh halaman web yang dilayani adalah statis 1. tidak ada virtual domain 2. seluruh fungsi dynamic page processing (cgi, ssi, scripting) dimatikan. 3. tidak ada celah (known atau zero-day) yang memungkinkan eksekusi shellcode 4. tidak ada script php/cgi/ssi 5. tidak ada suexec 6. tidak ada ssl Pilihan mudah dan nyaman tentu saja adalah dengan memainkan file direktif/konfigurasi: 0. Mudah untuk upgrade via yum, apt atau rpm 1. Support lebih luas, standar sistem lebih banyak pemakainya 2. Mudah untuk di-extend apabila di waktu nanti berubah pikiran :-) Beberapa keuntungan compile-ulang: 0. Membuat binary apache menjadi non-modular sehingga tidak ada kemungkinan memasukkan module tambahan yang sengaja disisipkan untuk menaklukan sistem. Perhatikan fungsi LoadModule dikombinasikan dengan .htaccess. CMIIW. 1. chrooted httpd server dengan static linking ke semua C library yang dipakai 2. Security by Obscurity technique, misalnya dengan --prefix=/usr/lib/analysis dan --target=bash ;-). Script kiddies will hate you. Tapi kalau memang benar yang diharapkan adalah seperti point 0 s/d 6 di atas, saya akan mempertimbangkan untuk menggunakan publicfile. http://cr.yp.to/publicfile.html. CMIIW. Coba dicari cari artikelnya SH atau MDAMT yang membahas apache. Sangat bagus. Rgds, Rizky Prasetya -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis
[tanya-jawab] nge-root dengan apache
dear millist, saya ingin bertanya ke rekan-rekan millist. bagaimana ya caranya supaya apache yang dijalankan di mesin saya(linux) dapat berjalan sebagai root, dengan tetap memperhatikan sekuritas sistemnya ? apakah saya harus menjalankan apache dengan user root ? atau adakah cara lain ? saya minta saran-saran yang mungkin saja bisa membantu. best regards, imamprakoso __ Do you Yahoo!? Jazz up your holiday email with celebrity designs. Learn more. http://celebrity.mail.yahoo.com -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis
Re: [tanya-jawab] nge-root dengan apache
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On Thursday 16 December 2004 10:29, imam prakoso wrote: dear millist, saya ingin bertanya ke rekan-rekan millist. bagaimana ya caranya supaya apache yang dijalankan di mesin saya(linux) dapat berjalan sebagai root, dengan tetap memperhatikan sekuritas sistemnya ? apakah saya harus menjalankan apache dengan user root ? atau adakah cara lain ? saya minta saran-saran yang mungkin saja bisa membantu. best regards, imamprakoso __ Do you Yahoo!? Jazz up your holiday email with celebrity designs. Learn more. http://celebrity.mail.yahoo.com Kalo pgn aman, coba tambahkan option suexec pada saat configure. Googling deh caranYa ...:) - -- Best Regards, .: dheeQz24 :. My Public-Key GnuPG : http://noc.margravine.com/dheeQz24.asc -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) iD8DBQFBwdL/lE+bKKMVeIURAsSRAJ9KB6jOk80qHA8sL+MXUZ7vprCyKACfUow/ GqYeWJVHlIMqj8zXpFFiCys= =JLST -END PGP SIGNATURE- -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis
Re: [tanya-jawab] nge-root dengan apache
On Thursday 16 December 2004 04:43, Kalpin Erlangga Silaen wrote: | Dear Imam, | untuk menjalankan httpd/apache haruslah root apalagi karena portnya | dibawah 1024 (yang notabene katanya harus root yang jalanin :-)). Tetapi | saat pemanggilan, proses akan diberikan ke userid nobody (default) atau | ada yang wwwrun (biasanya SuSe) tergantung systemnya. Jadi kalau ada | yang berhasil mengexploit apache (contoh kasih kombinasi apache dengan | OpenSSL 0.9.6b kebawah) yang didapat userid nobody/wwwrun. Apakah yang | Anda maksud menjalankan apache dengan uid root ? sangat beresiko :-) | sekali diexploit langsung root, kecuali ada pakai jail root :-) coba | Anda cari di google bagaimana mengenable jail root. | | imam prakoso wrote: | dear millist, | saya ingin bertanya ke rekan-rekan millist. bagaimana | ya caranya supaya apache yang dijalankan di mesin | saya(linux) dapat berjalan sebagai root, dengan tetap | memperhatikan sekuritas sistemnya ? apakah saya harus | menjalankan apache dengan user root ? atau adakah cara | lain ? saya minta saran-saran yang mungkin saja bisa | membantu. Kali aja mas imam mau bermain2 apache dgn suid root.. :) Tapi ya memang beresiko sih kalo menjalankan apache dgn suid-root. Saran mas kalpin mungkin bisa dipertimbangkan dgn membuat jail root utk apache. Lebih bagus lagi kalo ruang memori utk operasional apache di-chroot-kan juga misal dgn penggunaan kernel-patch grsecurity (http://www.grsecurity.net/). Utk lebih detilnya bisa googling dan melihat2 url di atas. -- regards, Hari Purnama -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis
Re: [tanya-jawab] nge-root dengan apache
- Original Message - From: Hari Purnama [EMAIL PROTECTED] To: [EMAIL PROTECTED] Sent: Friday, December 17, 2004 12:14 PM Subject: Re: [tanya-jawab] nge-root dengan apache On Thursday 16 December 2004 04:43, Kalpin Erlangga Silaen wrote: | Dear Imam, | untuk menjalankan httpd/apache haruslah root apalagi karena portnya | dibawah 1024 (yang notabene katanya harus root yang jalanin :-)). Tetapi | saat pemanggilan, proses akan diberikan ke userid nobody (default) atau | ada yang wwwrun (biasanya SuSe) tergantung systemnya. Jadi kalau ada | yang berhasil mengexploit apache (contoh kasih kombinasi apache dengan | OpenSSL 0.9.6b kebawah) yang didapat userid nobody/wwwrun. Apakah yang | Anda maksud menjalankan apache dengan uid root ? sangat beresiko :-) | sekali diexploit langsung root, kecuali ada pakai jail root :-) coba | Anda cari di google bagaimana mengenable jail root. | | imam prakoso wrote: | dear millist, | saya ingin bertanya ke rekan-rekan millist. bagaimana | ya caranya supaya apache yang dijalankan di mesin | saya(linux) dapat berjalan sebagai root, dengan tetap | memperhatikan sekuritas sistemnya ? apakah saya harus | menjalankan apache dengan user root ? atau adakah cara | lain ? saya minta saran-saran yang mungkin saja bisa | membantu. Kali aja mas imam mau bermain2 apache dgn suid root.. :) Tapi ya memang beresiko sih kalo menjalankan apache dgn suid-root. Saran mas kalpin mungkin bisa dipertimbangkan dgn membuat jail root utk apache. Lebih bagus lagi kalo ruang memori utk operasional apache di-chroot-kan juga misal dgn penggunaan kernel-patch grsecurity (http://www.grsecurity.net/). Utk lebih detilnya bisa googling dan melihat2 url di atas. Yang jadi pertanyaan, apa yang hendak dicapai dengan design tersebut? Apakah tidak ada workaround sehingga harus root? mungkin workaround inilah yang sebaiknya didiskusikan/ditanyakan daripada menjalankan httpd sebagai root. UID root untuk httpd relatif aman apabila 0. seluruh halaman web yang dilayani adalah statis 1. tidak ada virtual domain 2. seluruh fungsi dynamic page processing (cgi, ssi, scripting) dimatikan. 3. tidak ada celah (known atau zero-day) yang memungkinkan eksekusi shellcode Tapi, apabila semua syarat tersebut terpenuhi maka httpd yang running sebagai nobody pun sudah mencukupi. Apabila memang harus root untuk melayani dynamic page, maka ada beberapa alternatif: 0. suid untuk script cgi 1. sudoers untuk specific user/httpd user 2. compile apache dengan env BIG_SECURITY_HOLE, dan set httpd untuk running dengan user root. Baca src/main/http_core.c. Seluruh alternatif di atas, cepat atau lambat, akan berakhir dengan server hostile take-over. You have been warned. FYI, SuEXEC tidak akan mau berjalan apabila target switchingnya adalah root. Baca src/support/suexec.c. Kesimpulannya, carilah pendekatan/design lain yang tidak mengharuskan httpd running sebagai root. Rgds, Rizky Prasetya -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis
Re: [tanya-jawab] nge-root dengan apache
Dear Imam, untuk menjalankan httpd/apache haruslah root apalagi karena portnya dibawah 1024 (yang notabene katanya harus root yang jalanin :-)). Tetapi saat pemanggilan, proses akan diberikan ke userid nobody (default) atau ada yang wwwrun (biasanya SuSe) tergantung systemnya. Jadi kalau ada yang berhasil mengexploit apache (contoh kasih kombinasi apache dengan OpenSSL 0.9.6b kebawah) yang didapat userid nobody/wwwrun. Apakah yang Anda maksud menjalankan apache dengan uid root ? sangat beresiko :-) sekali diexploit langsung root, kecuali ada pakai jail root :-) coba Anda cari di google bagaimana mengenable jail root. Semoga membantu. imam prakoso wrote: dear millist, saya ingin bertanya ke rekan-rekan millist. bagaimana ya caranya supaya apache yang dijalankan di mesin saya(linux) dapat berjalan sebagai root, dengan tetap memperhatikan sekuritas sistemnya ? apakah saya harus menjalankan apache dengan user root ? atau adakah cara lain ? saya minta saran-saran yang mungkin saja bisa membantu. best regards, imamprakoso -- --- Kalpin Erlangga Silaen mailto: [EMAIL PROTECTED] URL: http://www.warningnews.com YM: kalpinus MSN: kalpinus IRC: mesra.dal.net nick Kalpin -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis