Suse y Mod Security

Vida Luz vlal en ns.ideay.net.ni
Lun Jul 9 11:31:40 CLT 2007


Gracias Cristian y Rodrigo

Ok, estamso claro que la mejor proteccion es tener uan BD con acceso a 
usuarios bien perfilados y un buen codigo, no estamos con PHP estamos 
trabajando con JAVA, TOMCAT, sin embargo hemso revisado bien el codigo 
antes de sacar este sitio al publico y queriamos una buena seguridad con 
el S.O. y con el web server.

Les agradesco sus comentarios, si tienen algo mas sera bienvenido.

Saludos,


On Sun, 8 Jul 2007, Rodrigo Fuentealba wrote:

> El 8/07/07, Cristian Rodriguez <judas.iscariote en gmail.com> escribió:
>> On 7/7/07, Morenisco <morenisco en gmail.com> wrote:
>> > On 7/6/07, Cristian Rodriguez <judas.iscariote en gmail.com> wrote:
>> > >
>> > > On 7/6/07, Vida Luz <vlal en ns.ideay.net.ni> wrote:
>> >
>> >
>> > [...]
>> >
>> > > ahora el mod_security no es una muy buena idea, para simplificar la
>> > > explicacion este es como un filtro anti-spam pero para evitar ataques
>> > > en tus sitios, o sea..  detiene "ataque" pero no "AtAQu3" , hay miles
>> > > de maneras de programar exploits de formas distintas y es imposible
>> > > tener "reglas" para todos.
>
> Basta con que la persona escriba un buen código, y no las estupideces
> que se ven en cualquier content management system.
>
>> > > En resumen, vas por el camino equivocado.
>
> ¿Por qué? No ha dicho con qué clase de software usa con Apache, estás
> presuponiendo que está usando alguna cosa relacionada con PHP.
>
>> > Estimado Cristian ya ke le echaste abajo el avion, podrias indicarle cual
>> > seria el kamino adecuado?
>
> De hecho, nunca el camino adecuado es filtrar a partir desde apache,
> porque se llega a vulnerar ese filtro, el usuario va a quedar en
> pelotas...
>
>> para tomar el camino adecuado, primero hay que saber adonde queremos llegar 
>> :-)
>> 
>> 1. Si quiere "proteger" aplicaciones escritas en PHP, suhosin
>> extension [1] le puede servir.
>> 
>> 2. SI las aplicaciones que quiere proteger estan bajo su control, la
>> mejor manera de protegerse es manteniendolas al dia.
>> 
>> [1] http://www.hardened-php.net/suhosin/index.html incluido en
>> openSUSE 10.2 o posterior, disponible para versiones mas antiguas de
>> la distribucion en http://software.opensuse.org/server:/php/ ( si
>> tienes alguna duda, escribes.. yo mantengo todo eso :-P )
>
> La verdad es que si bien el suhosin de Stefan Esser es bueno para php,
> la dama no ha dicho nada sobre PHP en ninguna parte, y Suhosin no
> aplica bajo aplicaciones escritas en Perl, Python, Ruby, ni nada de
> eso; es para PHP.
>
>


Más información sobre la lista de distribución Linux