Telepített apache patchelése

[quote:438ecbff80="szucs_t"]Köszi! Szomorú vagyok. Nincs kedvem újratelepíteni a webszervert, rengeteg dolog épül rá és mellé.

Bocsi, ha triviális dolgot írok.
Ez esetben ${telepit}=${compile} || dye.

Tehát, ha forráskódot akarsz patch-elni, akkor nem tudod simán .deb, vagy .rpm csomagból felrakni a cuccot.
Le kell töltened a forrást, patch-elni, majd
./configure && make && make install

Olvasd el az Apache forrásban lévő INSTALL file-t!

Üdv.: Tomyellow

[quote:253dbd921b="szucs_t"]Egy feltelepített apache 1.3.12-őt hogyan lehet patchelni anélkül, hogy újra kellene telepíteni az apache-ot?

sztem a httpd.conf nem valtozott olyan mertekben hogy erintene a rendszered egy update.

[quote:12143a25ca="Xanco"]Azért hozzátenném, hogy úgy vélem egyik tisztelt fórumtársam sem úgy született, hogy A-Z-ig kente-vágta volna a security megoldásokat vagy az óvodában is már Apache logót rajzolgatott, miközben az Apache doksit fennhangon szavalta.

szerintem senkisem ugy kezdte hogy idejott a forumra nulla tudassal oltogatni es miutan kapott leirast meg segitseget meg neki all feljebb

a topic melyik reszeben beszeltunk securityrol? en csak alap szoftverhasznalati megfontolasokat latok == hasznald a legfrisebb stabil verziot szerveren

[quote:12143a25ca="Xanco"]

Szerintem pont ideális a www.oiti.hu arra, hogy valaki, aki ezzel kíván foglalkozni, az beletanuljon.

szted ezzel a velemenyeddel az Idegsebészet főigazgatója is egyetért?

[quote:12143a25ca="Xanco"]

Csak idő, szorgalom és kreativitás kérdése.

de semmikepp sem arogancia es alapfogalmak ismeretnek hianyanak kerdese

[quote:12143a25ca="Xanco"]

Ezért kérek mindenkit, hogy lámaság miatt ne küldjön el senkit melegebb éghajlatra, inkább kattintson alkalmasint a jobb fölső sarokban levő X-re, és legközelebb másik topicot válasszon, nem fog csalódni!

egy dolog hogy lama valaki egy dolog hogy segitenek neki egy dolog hogy les.z.a.r.j.a es egy dolog hogy utanna meg neki all feljebb hogy mi mien hujek vagyunk mert nem tudtuk hogy a 12es apacsban nincs ez a feature.

azert gondolkodj mar el egy picit.

[quote:1b83c4413c="drastik"]a topic melyik reszeben beszeltunk securityrol? en csak alap szoftverhasznalati megfontolasokat latok == hasznald a legfrisebb stabil verziot szerveren

sajnos igazad van, mármint a sajnost arra értve hogy írtad upgradelni kellene, legalábbis apache, php3, proftpd, cyrus, horde, imp elég régi verziók az említett rendszeren - ismert bugokkal - , amíg ezekből nem tesz fel újabbat addig az általad írt dolog - 'megtörték/meg fogják törni' - valóban reális problémának tűnhet, szerintem ez volt egyébként a legnagyobb segítség amit kaphatott, hiszen pont azért fordította forrásból - ha jól emlékszem a topic elejére, meg más topicokra - hogy übersec. legyen, régi verziókkal pedig nem lesz az soha, azon kívül pontosan így spórolt(ál/tunk) meg neki +1 fordítást, legalább ne a régi 1.3.12-t fordítsa újra ha nekiáll hanem az újabbat...

az egy dolog hogy nem tudtunk találni olyan megoldást - ami az eredeti kérdésre vonatkozott: 'bináris patch'(?) -, de tessék észrevenni, hogy ez talán nagyobb segítség, igaz más szempontok szerint nézve a dolgot...

[quote:de7f7ddb2a="drastik"][quote:de7f7ddb2a="szucs_t"]Egy feltelepített apache 1.3.12-őt hogyan lehet patchelni anélkül, hogy újra kellene telepíteni az apache-ot?

sztem a httpd.conf nem valtozott olyan mertekben hogy erintene a rendszered egy update.

Mi a baj az ujratelepítésben??? A configot lemented, majd az új telepítésre visszarakod.

Zsiráf

[quote:4426cd6634="szucs_t"]Ha engedélyezem a 80-as portot, ami egy webkiszolgálónál elengedhetetlen, akkor máris be tud arra a portra telnetelni akárki. Ez ellen mit lehet tenni?

rm -rf /

:twisted: :twisted: :twisted:

[quote:320e5f708e="szucs_t"][quote:320e5f708e="Endruu"]
rm -rf /

:twisted: :twisted: :twisted:

Jobb tanács?

iptables?

[quote:0ee010c942="szucs_t"][quote:0ee010c942="macskas"]
iptables?

És ezt hogyan tudom beállítani a tűzfalon? Mert a 80-as portot kinyitom, de a telnet alapértelmezett 23-as portján zárom, akkor a 80-as portra még be tudnak telnetelni. Van valami, amit még nem tudok, de mi az? A telnetnek van valamilyen jellemzője, amit szűrni tudnék?

Ha a webszerverhez engeded a hozzáférést a külvilágnak, akkor semmilyen módon nem fogod tudni megszűrni, hogy milyen program kapcsolódik hozzá: böngésző vagy éppen telnet. Egyébként milyen jelentősége van annak, hogy valaki éppen egy böngészővel vagy pont telnettel küldözgeti neked a HTTP kéréseket?

[quote:1f44063f68="Xanco"][quote:1f44063f68="szucs_t"][quote:1f44063f68="macskas"]
iptables?

És ezt hogyan tudom beállítani a tűzfalon? Mert a 80-as portot kinyitom, de a telnet alapértelmezett 23-as portján zárom, akkor a 80-as portra még be tudnak telnetelni. Van valami, amit még nem tudok, de mi az? A telnetnek van valamilyen jellemzője, amit szűrni tudnék?

Ha a webszerverhez engeded a hozzáférést a külvilágnak, akkor semmilyen módon nem fogod tudni megszűrni, hogy milyen program kapcsolódik hozzá: böngésző vagy éppen telnet. Egyébként milyen jelentősége van annak, hogy valaki éppen egy böngészővel vagy pont telnettel küldözgeti neked a HTTP kéréseket?

Semmi, úgyhogy nem tudom barátunk mi a fenét erőlködik...

Zsiráf

figy, egy sima apache patchelgetes nelkul ennyit ad ki:
[code:1:8f1c19d1be]Apache Server at server.org Port 80[/code:1:8f1c19d1be]
ez aztan baromi sok info. ha ennel tobbet ir ki, az vagy a te, vagy a disztributorod muve :wink:

[quote:a39a8ba963="szucs_t"][quote:a39a8ba963="vmiklos"]figy, egy sima apache patchelgetes nelkul ennyit ad ki:
[code:1:a39a8ba963]Apache Server at server.org Port 80[/code:1:a39a8ba963]
ez aztan baromi sok info. ha ennel tobbet ir ki, az vagy a te, vagy a disztributorod muve :wink:

És milyen kérésre írta ezt ki?

pl not found aljara

[quote:7ca95025d1="szucs_t"]Ötlet, javaslat, tanács, ami a szabad szoftveres közösséget jellemzi?

szabad szoftverhez sok koze van a nyilt forraskodnak, szal ha nem tetszik a disztributorod altal keszitett binaris, akkor mi csak akkor tudunk segiteni, ha forrasbol ujrateszed :wink:

[quote:3a5119a480="szucs_t"]Ki hová tenné a "ServerTokens Prod"-ot? Milyen változatszámú Apache-tól használható? Hol lehet megadni, hogy az Apeche verziószámának egészen mást írjon ki, mint ami?

Előre is köszi a segítőkész fickóknak!

rtfm... http://httpd.apache.org/docs/mod/core.html#serversignature

[quote:3101f17ae8="szucs_t"]És ha nem binárisból, hanem forrásból tettem fel? Ennek mi köze a kérdéseimhez?

ha jol ertem most elsosorban olyan bajod van, h tudjak a pontos apache, mod_ssl meg mittomenmilyen verzioidat. ha forrasbol teszed fel, akkor alabol nem csinal ilyet

[quote:3101f17ae8="szucs_t"]Egyébként ki az a "mi"?

/pill akik a forumot olvassak, akiknek irsz :wink:

gyerekek én itt konnyesre rohogtem magam koszonom ezt a topicot igy karacsony kornyeken jol jott.

szucs_t
lecci ne a linux kezdobe irjal kerdeseket hanem a Kabare topicba. (csak hogy konnyebben megtalaljam)

alapveto fogalmakkal nem vagy tisztaban es igy szeretnel servert uzemeltetni.

ez nekem nagyon vicces de ha a megbizod/munkaadod erre rajon nem fog rohogni

javaslom hogy kezd el olvasni Andrew Tannenbaum: Számítógépes hálózatok könyvet.

ServerSignature Off
ServerTokens ProductOnly

Ezt a fő apache konfigba berakod, és máris nem fog látszódni semmi olyan, ami érdemi információt szolgáltatna ki. Vagy ne 1.3-as, hanem 2-es apacheot használj, abban finomabban szabályozha ez a kérdéskör.

[code:1:f4798c1445]GET /alma HTTP/1.1

HTTP/1.1 404 Not Found
Date: Wed, 22 Dec 2004 10:55:35 GMT
Server: Apache
Transfer-Encoding: chunked
Content-Type: text/html; charset=iso-8859-1

c6
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>404 Not Found</TITLE>
</HEAD><BODY>
<H1>Not Found</H1>
The requested URL /alma was not found on this server.<P>
</BODY></HTML>[/code:1:f4798c1445]

[quote:7894867b74="szucs_t"]Milyen okos gyerekek vannak itt a HUP-on! Kár, hogy egyetlen egy sem tudta ezek közül megmondani, hogy miért nem használ a "ServerTokens Prod" a httpd.conf-ban, még arra sem, hogy milyen verziószámtól használható (ami pedig az apache oldalán is megtalálható). A 80-as port telnetelésének jellemzőiről meg kedves barátunknak, aki kabarét nézne, sem igen tud mit mondani, pedig van neki. Úgy látszik, az alap biztonsági kérdésekre, sőt, az alap konfigurációs kérdésekre sem kaphat itt senki sem választ, pedig bizonyára sokakat érdekel. Úgy vettem észre, a Unix világa meghígult a magukat guruknak tartó "nem gurukkal".

nyuszikam mielott igy nagyon belemelegednel az oltogatasba

1. aruld mar el nekem hogy mi a kulonbseg a telnet es egy bogeszo altal kuldott keres kozott

2. vmiklos megmondta hogy mit csinaljal es azt is megmondta hogy hol van rola help

3. lehet hogy miutan megszerkesztetted az apacs.confot ujra kene inditani az apacsot?

http://uptime.netcraft.com/up/graph?site=zen.ktk.bme.hu erdekes hogy nekem ua. beallitasokkal mukodik es nem arulja el az apacsom hogy mien verzioju?

amig alaveto dolgokkal nem vagy tisztaban lecci ne fikazzal le masokat mert nagyon rosszul veszi ki magat.
koszi

Igen, az Apache doksijában (http://httpd.apache.org/docs) szerepel, hogy csak 1.3.12 utáni verziókban érhető el ez a beállításai lehetőség. De azért tisztelettel megjegyezném, hogy SZVSZ a "security through obscurity" egy archaikus, 1.3.12-es apacheon, illetve a hozzá kapcsolódó modulokon nem sokat javít, mindenképpen javasolt az OS update, és a teljes apache és komponenseinek frissítése is, mert OpenSSL-ben, Apacheban is voltak már bőven lyukak azóta.

Kedves szucs_t!

Ahogy it olvasgatom a hozzaszolasaidat, ket fo problemaval kuzdessz:

1. Nem igazan tudod mi aza HTTP protokol, nem igazan sikerült atolvasnod az Apache kiszolgalo dokumentaciojat, valamint ugy altalaban nem erted hogyan mukodik a IP protokolokkal megvalositott halozat.

Ez amugy nem lenne baj, de mint tuggyuk, ha az alpveto fogalmakkal nem vagy tisztaban nem tud neked senki segiteni - ez alol talan egy kivetel van, ha azt varod, hogy valaki stepbystep modon fog segiteni(nyisd meg az httpd.conf-ot, keresd meg a 17-ik sort oda ird be ezt a stringet "string1", majd kommentezd ki az 523-ik sort, ha ezzel megvagy zárd be a httpd.conf fájlt és ad ki az apachectl restart parancsot) ugye nem erre a modszerre gondoltal a segitsegadasban?

2. Minimalis keszseggel rendelkezel a kommunikaci ezen formajara vonatkozo magatartasbeli szabalyok alkalmazasara - ami csak akkor gond, ha probalsz kommunikalni, ha nem akkor persze semmi gaz, mert ugyanugy gorombaskocc csak nem derul ki.

Kerdesedre a kovetkezo valaszt lehet adni:

A ServerTokens direktiva ugynevezett "Core Feature" tehat az Apache alapcsomag tartalmazza - alkalmazni a server-wide configuracióban kell.
A ServerTokens direktiva az Apache 1.3 verzioitol elerheto a Prod[uctOnly] kivételevel mert az csak az 1.3.12 utani kiadasokban használható. A direktiva csak az egesz szerverre alithato be, ergo a virtualhostokban nem tudod modositani.

Ezt amugy az Apache manualban elolvashatod a kovetkezo linken: http://httpd.apache.org/docs/mod/core.html#servertokens.

Rhiannon

[quote:bde9f8a154="szucs_t"]Hátha valakit érdekel: 1.3.12-es apache-nál nincs ProductOnly (ahogyan ezt írják is az apache.org-on), és nem tudom milyen esetben, és milyen okból, de a Minimal is hibás, csak az OS és a Full működik, vagyis megjeleníthető az apache verziószáma és az operációs rendszer neve. Ez azért még mindig jobb, mint a Full.

senkitsem erdekel mert nincs megegy olyan eszetlen b_a-l-f_a-sz mint te hogy 1.3.12-s verzioju apacsot hasznaljon....

ellenben kedves szucst a topicot azzal a cimmel inditottad hogy upgrade apacs akkor utanna elvarod hogy kitalaljuk hogy nem frissitettel es a regin szeretned ezeket a valtozasokat eszkozolni.

en a helyedben surgosen updatelnek es atneznem a servert mert valoszinuleg mar megnyomatak vagy ha nem akkor meg fogjak

[quote:6a3a0576d7="szucs_t"]

Köszönöm a jószándékú észrevételedet és a magvas tanácsodat!

Kívánom, kísérjenek utadon ugyanúgy, ahogyan te másokén!

:?

Banban erre a viselkedesi mintara celoztam. Az arrogancia nagyon rossz tanacsado. Sajnallak mert igy nem igazan fogsz segitseget kapni.

Rhiannon

[quote:5284876e46="drastik"]en a helyedben surgosen updatelnek es atneznem a servert mert valoszinuleg mar megnyomatak vagy ha nem akkor meg fogjak

nezd meg :-) http://www.oiti.hu

[quote:2d1982439a="Endruu"][quote:2d1982439a="drastik"]en a helyedben surgosen updatelnek es atneznem a servert mert valoszinuleg mar megnyomatak vagy ha nem akkor meg fogjak

nezd meg :-) http://www.oiti.hu

hahahahhahaah

emlekszem amikor a torok haxorok egy scannerrel megtortek vagy 100magyar szervert. nah az ilyen rendszergazdak miatt volt.

En csak egy dolgot nem ertek:
Megneztem az oldalt, es gozom nincs mit kell rajta annyira vedeni...
2-3 floppy-n elfer az egesz tartalom..., informacioertek kb. 0.01. Egy 386-os gepe a sarokba teve.

jol latod a helyzetet :wink:

[quote:fcb99dcf6b="drastik"][quote:fcb99dcf6b="Endruu"][quote:fcb99dcf6b="drastik"]en a helyedben surgosen updatelnek es atneznem a servert mert valoszinuleg mar megnyomatak vagy ha nem akkor meg fogjak

nezd meg :-) http://www.oiti.hu

hahahahhahaah

emlekszem amikor a torok haxorok egy scannerrel megtortek vagy 100magyar szervert. nah az ilyen rendszergazdak miatt volt.

Azért hozzátenném, hogy úgy vélem egyik tisztelt fórumtársam sem úgy született, hogy A-Z-ig kente-vágta volna a security megoldásokat vagy az óvodában is már Apache logót rajzolgatott, miközben az Apache doksit fennhangon szavalta. Szerintem pont ideális a www.oiti.hu arra, hogy valaki, aki ezzel kíván foglalkozni, az beletanuljon.

Én sem modjuk a www.ihm.hu-val kezdtem a dolgokat nem is olyan túl régen, de azért azt hiszem, hogy mostanra már kellően kitanultam a webes rendszergazdaságot, és bizony nem egy és nem is kicsi siteok is vannak a kezem alatt, azt hiszem eddig jó eredménnyel. Csak idő, szorgalom és kreativitás kérdése.

Ezért kérek mindenkit, hogy lámaság miatt ne küldjön el senkit melegebb éghajlatra, inkább kattintson alkalmasint a jobb fölső sarokban levő X-re, és legközelebb másik topicot válasszon, nem fog csalódni!

Peace,
Xanco

[quote:005ca3224a="szucs_t"]Egy feltelepített apache 1.3.12-őt hogyan lehet patchelni anélkül, hogy újra kellene telepíteni az apache-ot?

Szia!

Ha a forráskód patch (99.9˙% ilyen), akkor sehogy.
Bináris patch-et nem igazán szoktak csinálni, mert a fordítás végeredménye nagyon sok mindentől függ.

Üdv.: Tamás

Nekem csak annyi a hozzafuznivalom, hogy ha hasznalok egy programot, amiben nem megy egy ficsor, ami a a dokumentacioban szerepel (amit persze egy masik verziohoz irtak), akkor esetleg megprobalom azt a verziot, amelyikhez a doksi keszult, es ha ott se megy, na akkor kezdek el kerdezoskodni. Apache eseteben ez fokozottan ervenyes, foleg, hogy az emlitett verzio, es a mostani legujabb verzio kozott cca 21 az elteres. Szerintem nem veletlen adtak ki azota ennyiszer uj verziot.

onyx