OpenBSD: httpd változások az OpenBSD-ben

Címkék

Theo de Raadt egy levelet küldött az OpenBSD-misc levelezési listára, melyben bejelenti, hogy a httpd (webszerver) mostantól a /var/www könyvtárba lesz zárva (chroot - jail).A dologra azért került sor, mert az OpenBSD fejlesztők szerint mostanában veszélyes megbízni a webszerverekben (nyilván a legutolsó apache bugra céloznak). Ezt a chroot-olt megoldást nem kötelező használni, akinek nem tetszik, annak egy egyszerű '-u' flaget kell beállítani a httpd_flags értékének a /etc/rc.conf-ban. Ezzel a beállítással vissza lehet térni a hagyományos megoldáshoz.

Ahogy Theo a levelében írja, ez a legjobb dolog amit jelenleg tehetnek a webszerverek bugjai ellen. Sajnos az Apache kódja túl monolitikus, borzasztóan nagy, ezért a soronkénti auditálás nem használható. Ezért a legegyszerűbb megoldást választották, 'jail'-be zárták az alkalmazást.

Tehát az új funkciót egy egyszerű '-u' kapcsolóval lehet ki/be kapcsolni, más konfigurációs változtatásra nincs szükség.

Theo levele:

**********************************

To: misc@cvs.openbsd.org

Subject: httpd changes

From: Theo de Raadt

Date: Tue, 09 Jul 2002 15:19:07 -0600

--------------------------------------------------------------------------------

httpd by default now chroot's into /var/www.

This causes all sorts of fancy features to break. Fancy features which

we believe to be quite unsafe.

If you don't like this behaviour, use the -u flag for httpd_flags in

/etc/rc.conf to get back to the way it used to be. We bet that when

the next bug in apache comes, you'll regret it though.

This is the best approach we can currently take against such a

monolothic piece of software with such bad behaviours. It is just too

big to audit, so for simple usage, we are constraining it to within

that jail.

When you turn the -u flag on and off, no other configuration changes

are needed.

All this is documented.

Good luck.

*******************************************