mod-security trouble

Am făcut un upgrade al unui server la Ubuntu 8.04 (era pe 6.06 LTS) și de când am terminat înjur copios. Rulez pe el apache2 și aveam încă din vremea când rula Debian pe el o serie de reguli în mod-security.
Pe 6.06 a mers perfect jucăria și-am avut în continuare mod-security instalat. Când am trecut la 8.04 s-a rupt filmul. mod-security nu mai există în repository-ul Ubuntu din cauza unor probleme legate de licențiere. Trec peste nervii de moment (că deh, trebuia să stau acum să scot regulile din fiecare vhost în parte în afară de alea din apache2.conf) și mă apuc să caut o alternativă. Eh, și-aci vine partea cu adevărat amuzantă. Alternativa ? Pula ! A fost până la feisty (parcă) un libapache2-mod-ifier (care făcea ceva similar dar la o scară mult redusă). Da’ în 8.04 a dispărut și ăla. În rest, apache-ul are librării pentru toate tâmpeniile posibile și imposibile. Inclusiv o librărie care conține un “Bit Torrent tracker for apache2 webserver”. Da’ un modul care să implementeze ceva legat de securitate nu.

Până la urmă am instalat de mânuță mod-security2 și-acu stau să refac regulile (că diferă de la vechiul mod-security, cum naiba). Și tre să-mi notez să țin minte data viitoare când fac upgrade ca să nu cumva să fut din dependințe la upgrade.

Să nu te caci în el de open-source câteodată ?

14 Comments mod-security trouble

  1. dandu

    Daca imi amintesc eu bine ai mai avut tu ceva prbl cu Linux-ul tot de genul asta. Si iti repet, ti-ai facut-o cu mana ta. Nu se face un distupgrade fara sa studiezi serios inainte care sunt schimbarile de la o versiune la alta si daca se pastreaza compatibilitatea cu setup-ul tau. Srry…

    Reply
  2. Vlad

    @Meeku: Vezi că library însemnă bibliotecă, nu librărie ;)

    @Kappacelu’: Degeaba înjuri tu Windows. E adevărat că poate IIS de pe XP nu e prea breaz, dar ai încercat un Windows 2003/2008 Server? Pot să îți confirm că securitatea e mai mult de 3 flaguri (rwx) pentru 3 tipuri de user (Owner, Group, Other).

    Reply
  3. Life Tester

    de ce nu ramai tu cu debian pe partea de server?

    ubuntu pe partea de server e necioplit rau de tat (cred ca si deskop-ul e la fel daca incepi sa te abati de la instalarea standard)

    Reply
  4. Meekuu

    Daca imi amintesc eu bine ai mai avut tu ceva prbl cu Linux-ul tot de genul asta. Si iti repet, ti-ai facut-o cu mana ta. Nu se face un distupgrade fara sa studiezi serios inainte care sunt schimbarile de la o versiune la alta si daca se pastreaza compatibilitatea cu setup-ul tau. Srry…

    dist-upgrade-ul era mai important decat mod-security. Deși tind să merg (aproape tot timpul) pe principiul “if it works, don’t mess with it” câteodată e necesar să faci treaba asta. Serverul respectiv avea 6.06 LTS de la instalare, este un server extrem de bine intreținut și avea un frumos uptime de 180 de zile dar faptul ca pe 6.06 LTS nu aveam în repository nici măcar versiunile de pachete de prin feisty m-a cam deranjat. 8.04 este tot LTS. Am considerat upgrade-ul un compromis necesar. O trecere la o alta versiune LTS. Alternativa ar fi fost reinstalarea. Upgrade-ul a decurs excelent. Faptul că pachetul nu se mai află în repository nu ma ajuta nici în cazul instalării.

    Kappacelu’, departe de mine de-a lăuda Windows, MacOS sau oricare alt sistem de operare. Fiecare are părțile bune și proaste. Asta descrisă mai sus e una din alea proaste legate de Linux. Pe cele proaste legate de Windows nici nu merită să le amintesc aici pentru că-s mult prea stupide (deși hai că m-apuc să fac un post și legat de windoze).

    de ce nu ramai tu cu debian pe partea de server?

    ubuntu pe partea de server e necioplit rau de tat (cred ca si deskop-ul e la fel daca incepi sa te abati de la instalarea standard)

    Ubuntu, pe partea de server, se comportă neașteptat de bine dacă-l ții cât de cât cu pachetele din repository. Debianul e mult mai al naibii la dependințe decât ubuntu. Înainte de ubuntu am avut debian pe majoritatea serverelor și se întâmpla destul de des să fac upgrade din pricina patch-urilor de securitate și să mă trezesc cu câte-o dependință f.t.ă. Ubuntu a profitat de popularitate și a rezolvat o mare parte din problemele de genul ăsta. Chiar, înainte de-a face do-release-upgrade pe serverul ăsta (care este cât de cât sensibil) am făcut pe mai multe sisteme fără vreo valoare “inestimabilă”. S-a comportat excelent scriptul de upgrade. Fără absolut nici o problemă. Și pe server a mers la fel de bine. Problema n-a fost de la upgrade. A fost din cauza faptului că în lumea tot mai încurcată a licențelor open-source se întâmplă să dispară din repository chestii cu adevărat utile (în loc să apară alternative noi și mai bune )

    Reply
  5. Cristian

    @Vlad: Windows are si a avut intr-adevar tone de idei misto, pacat insa ca implementarea cam lasa de dorit :-)

    Reply
  6. Eugen

    O întrebare mai de n00b, așa că să îmi fie scuzată dacă e tâmpită.

    Nu este mod_security un pic cam paranoic sau depinde mult și de cel care setează regulile lui? Nu de alta, dar am avut probleme cu vreo doi hosteri în shared hosting cu un mod_security foarte aiurea. De exemplu, la nice URLs pentru wordpress bana automat IP-ul proprietarului siteului, dar restul lumii nu avea nicio problemă în a accesa blogul. Singura rezolvare, de altfel și singura acceptată de hosteri, a fost restaurarea default permalinks.

    Reply
  7. bukakke

    n00b comment de doi lei:

    dist-upgrade de la Debian Stable la Ubuntu?
    Ar you trying to kill yourself or what?
    Ai server ai stable shit. Vrei Compiz/Beryl/alea, pui whatever suits your needs, da’ la tine acasa nu pe servere. La Debianul ala iti trebuiau doar security updades la zi. Nu-ti place Debian? Baga Gentoo daca vrei top notch sau CentOS daca vrei ceva mai “corporate”. Și tine geana pe Secunia & friends.

    Reply
  8. Meekuu

    Nope. dist-upgrade de la Ubuntu-Server 6.06 LTS la Ubuntu-Server 8.04 LTS.

    Și folosesc Ubuntu-Server cam de când a început s-o ducă mai bine decât Debian-ul conform Secunia.

    Fă o mică comparație între Debian Stable și Ubuntu 6.06 de exemplu.

    Reply
  9. Fuzzy

    Bleah. Asa iti trebuie daca folosesti o distributie metrosexuala ca Ubuntu, mai ales pe partea de server.
    Dupa cum spunea si bukakke, alternative intregi la minte exista chiar daca sunt corporate shit precum CentOS, sau cowboy shit precum Gentoo.
    Una peste alta, grow some balls si scapa de Ubuntu. Definitiv.

    Reply
  10. E-nigma

    pareri si pareri: unii (incl eu) au trecut de la RedHat 9 la CentOS (Fedora nu-mi place at all) si apoi la Ubuntu Server si sunt multumiti. mai putin de magaria mod_security si inca vreo 2-3 care au pb de licenta.. si in OSS au ajuns sa ne omoare licentele astea, in care ar tr sa te c* tu, nu in sistem in sine, care n-are nici o vina, incercand sa ofere cat de mult poate. despre Gentoo habar n-am ca nu l-am testat niciodata datorita acelui nesuferit “emerge”. it doesn’t have super-cow powers any way :)

    Reply

Leave a Reply to Eugen Cancel reply

Your email address will not be published. Required fields are marked *