1 |
rane 08/06/29 11:13:15 |
2 |
|
3 |
Modified: shb-services.xml |
4 |
Log: |
5 |
-> 1.9 |
6 |
|
7 |
Revision Changes Path |
8 |
1.15 xml/htdocs/doc/pl/security/shb-services.xml |
9 |
|
10 |
file : http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/doc/pl/security/shb-services.xml?rev=1.15&view=markup |
11 |
plain: http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/doc/pl/security/shb-services.xml?rev=1.15&content-type=text/plain |
12 |
diff : http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/doc/pl/security/shb-services.xml?r1=1.14&r2=1.15 |
13 |
|
14 |
Index: shb-services.xml |
15 |
=================================================================== |
16 |
RCS file: /var/cvsroot/gentoo/xml/htdocs/doc/pl/security/shb-services.xml,v |
17 |
retrieving revision 1.14 |
18 |
retrieving revision 1.15 |
19 |
diff -u -r1.14 -r1.15 |
20 |
--- shb-services.xml 24 Jul 2007 11:23:20 -0000 1.14 |
21 |
+++ shb-services.xml 29 Jun 2008 11:13:15 -0000 1.15 |
22 |
@@ -1,15 +1,15 @@ |
23 |
<?xml version='1.0' encoding='UTF-8'?> |
24 |
<!DOCTYPE sections SYSTEM "/dtd/book.dtd"> |
25 |
|
26 |
-<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/pl/security/shb-services.xml,v 1.14 2007/07/24 11:23:20 shadoww Exp $ --> |
27 |
+<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/doc/pl/security/shb-services.xml,v 1.15 2008/06/29 11:13:15 rane Exp $ --> |
28 |
|
29 |
<!-- The content of this document is licensed under the CC-BY-SA license --> |
30 |
<!-- See http://creativecommons.org/licenses/by-sa/2.5 --> |
31 |
|
32 |
<sections> |
33 |
|
34 |
-<version>1.4</version> |
35 |
-<date>2007-07-08</date> |
36 |
+<version>1.5</version> |
37 |
+<date>2008-06-13</date> |
38 |
|
39 |
<section> |
40 |
<title>Apache</title> |
41 |
@@ -24,32 +24,39 @@ |
42 |
|
43 |
<p> |
44 |
O ile nie wyłączono <c>ssl</c> w pliku <path>/etc/make.conf</path> przed |
45 |
-instalacją, Apache powinien posiadać jego obsługę. Aby ją uaktywnić należy |
46 |
-dopisać następującą linię: |
47 |
+instalacją, Apache powinien posiadać jego obsługę. Wewnątrz katalogu |
48 |
+<path>/etc/apache2/vhosts.d</path> znajdują się przykładowe pliki |
49 |
+konfiguracyjne. Są to tylko przykłady, dlatego należy je dokładnie sprawdzić |
50 |
+zanim się ich użyje. |
51 |
</p> |
52 |
|
53 |
-<pre caption="/etc/conf.d/apache"> |
54 |
-HTTPD_OPTS="-D SSL" |
55 |
-</pre> |
56 |
+<p> |
57 |
+Bardzo ważne jest zdefiniowanie w konfiguracji adresu na którym serwer będzie |
58 |
+nasłuchiwał (a nie na wszystkich dostępnych adresach IP danego systemu). Poniżej |
59 |
+przykładowy plik <path>00_default_vhost.conf</path> file: |
60 |
+</p> |
61 |
|
62 |
-<pre caption="/etc/apache/conf/apache.conf"> |
63 |
-#Make it listen on your ip |
64 |
+<pre caption="/etc/apache2/vhosts.d/00_default_vhost.conf"> |
65 |
+<comment># Nasłuchuj tylko na podanym adresie IP</comment> |
66 |
Listen 127.0.0.1 |
67 |
-BindAddress 127.0.0.1 |
68 |
-#It is not a good idea to use nobody or nogroup - |
69 |
-#for every service not running as root |
70 |
-#(just add the user apache with group apache) |
71 |
-User apache |
72 |
-Group apache |
73 |
-#Will keep apache from telling about the version |
74 |
+</pre> |
75 |
+ |
76 |
+<p> |
77 |
+Zalecamy również, aby serwer Apache nie podawał żadnych informacji na swój |
78 |
+temat. Domyślnie do wszystkich stron dołączana jest wersja serwera oraz nazwa |
79 |
+wirtualnego hosta. Można to wyłączyć przełączając opcję <c>ServerSignature</c> |
80 |
+na <c>Off</c>. |
81 |
+</p> |
82 |
+ |
83 |
+<pre caption="/etc/apache2/modules.d/00_default_settings.conf"> |
84 |
ServerSignature Off |
85 |
-ServerTokens Prod |
86 |
</pre> |
87 |
|
88 |
<p> |
89 |
Apache jest kompilowany z opcjami <c>--enable-shared=max</c> i |
90 |
<c>--enable-module=all</c>, czyli ze wszystkimi modułami, co zmusza do |
91 |
-wykomentowywania wszystkich przez nas nie używanych z sekcji <c>LoadModule</c> |
92 |
+wykomentowywania wszystkich przez nas nieużywanych w |
93 |
+<path>/etc/apache2/httpd.conf</path> modułów z sekcji <c>LoadModule</c> |
94 |
(<c>LoadModule</c> i <c>AddModule</c>). Następnie należy zrestartować usługę |
95 |
poleceniem <c>/etc/init.d/apache restart</c>. |
96 |
</p> |
97 |
@@ -72,7 +79,7 @@ |
98 |
</p> |
99 |
|
100 |
<p> |
101 |
-Nowsze ebuildy BIND umożliwiają chrootowanie się poza maszynę. Po zemergowaniu |
102 |
+Nowsze ebuildy BIND umożliwiają chrootowanie się poza maszynę. Po zainstalowaniu |
103 |
<c>bind</c> należy wykonać następujące czynności: |
104 |
</p> |
105 |
|
106 |
@@ -419,6 +426,9 @@ |
107 |
<p> |
108 |
Należy sprawdzić czy w pliku konfiguracyjnym nie ma linii <c>UsePAM yes</c>, |
109 |
ponieważ nadpisze ona ustawienia dla uwierzytelniania poprzez klucze publiczne. |
110 |
+Można również wyłączyć <c>PasswordAuthentication</c> lub |
111 |
+<c>ChallengeResponseAuthentication</c>. Więcej informacji na temat tych opcji |
112 |
+można znaleźć w manie <path>sshd_config</path>. |
113 |
</p> |
114 |
|
115 |
<p> |
116 |
|
117 |
|
118 |
|
119 |
-- |
120 |
gentoo-commits@l.g.o mailing list |