apache2 + mod_security als statisches Modul

[knifegunaxe]

Hi ihr!

Ich mache momentan einen Mix aus drei Tuts durch, da ich einen Apache 2.2 + PHP5 und mod_security aufsetzen möchte. Anscheinend mag das keiner sonst machen. Nun stecke ich schon beim compilieren des Apache mit diesem Modul fest.

Zu Info:

From a security and performance point of view, the best choice seems to be compilation as a static module. That's why the rest of this article is based on that method of installation.

:P

Wie kann ich das einbinden? aus dem ( http://www.securityfocus.com/infocus/1706 ) Tut weiß ich es für Apache1 aber sowas in der Art für Apache2 gibt es nicht?

Und sind das -> http://httpd.apache.org/docs/2.2/mod/ <- alle Standardmodule, die gegebenenfalls deaktiviert werden müssen? Denn auch hier finde ich in jedem Tutorial was anderes. (sowas wie --disable-charset-lite)

Vielen Dank für eure Hilfe!

Grüße,
Daniel

[juergen]

From a security and performance point of view, the best choice seems to be compilation as a static module. That's why the rest of this article is based on that method of installation.

:P

Wer hat den diesen Krampf verzapft?
Wir haben apache 2.2.x + php 5.1.x + mod_security 1.9.x http://www.archlinux.org/

[knifegunaxe]

Wer hat den diesen Krampf verzapft?

Das hab ich von hier: http://www.securityfocus.com/infocus/1786

Wir haben apache 2.2.x + php 5.1.x + mod_security 1.9.x http://www.archlinux.org/

Meinst du auf eurem Server oder das hier? http://wiki.archlinux.org/index.php/LAMP

Da geht ihr aber von einer binary aus, oder? Zumindest seh ich nix vom compilieren...

Gruß,
Daniel

[juergen]

Wer hat den diesen Krampf verzapft?

Das hab ich von hier: http://www.securityfocus.com/infocus/1786

Der Autor hat keine Ahnung! statisches Linken erschwert Updates und kostet Speicher...

Wir haben apache 2.2.x + php 5.1.x + mod_security 1.9.x http://www.archlinux.org/

Meinst du auf eurem Server oder das hier? http://wiki.archlinux.org/index.php/LAMP

Ich meinte die Distribution Archlinux, die Packete sind im Current/Extra Repository in den von dir gewünschten Versionen als Binärpakete vorhanden.

Grüße,
Jürgen

[Joe User]

Wer hat den diesen Krampf verzapft?

Das hab ich von hier: http://www.securityfocus.com/infocus/1786

Der Autor hat keine Ahnung! statisches Linken erschwert Updates und kostet Speicher...

Statisches Linken ständig benötigter Module vermeidet unnötige Syscalls und zeitraubende Zugriffe auf die HDD. Bei stark frequentierten Hosts ist soetwas tödlich und relativiert die paar KB Speicher beziehungsweise Sekunden beim Update.

[juergen]

Statisches Linken ständig benötigter Module vermeidet unnötige Syscalls und zeitraubende Zugriffe auf die HDD. Bei stark frequentierten Hosts ist soetwas tödlich und relativiert die paar KB Speicher beziehungsweise Sekunden beim Update.

Syscalls macht nur die glibc.

Der einzige overhead beim dynamischen Linken ist das Auflösen der Symbolreferenzen zur Laufzeit. Diest geschieht nur beim Starten des Apache, nicht mehr beim forken.

Falls man hier noch ein wenig Ferformance rausholen will, kann man prelinking machen.

[Joe User]

Was nützt mir ein schön geforktes Apache-Binary, wenn das System bei jedem HTTP-Request mehrere CPU-Zyklen zum Nach-/Entladen der benötigten Module benötigt? In der gleichen Zeit hat ein statisch gelinkter Apache bereits die ersten Header mit dem Client ausgetauscht...

[juergen]

Was nützt mir ein schön geforktes Apache-Binary, wenn das System bei jedem HTTP-Request mehrere CPU-Zyklen zum Nach-/Entladen der benötigten Module benötigt? In der gleichen Zeit hat ein statisch gelinkter Apache bereits die ersten Header mit dem Client ausgetauscht...

Der Apache lädt seine Module beim Startup (das ist auch der Grund warum LoadModule nur im Context ServerConfig erlaubt ist). Ein dl_open nach einem fork wäre ziemlich bescheuert...
Ein statisch gelinkter Apache bringt keinen Performancevorteil zur Laufzeit, da das Auflösen der Referenzen nur beim Startup geschieht...

[knifegunaxe]

Wer hat denn nun recht? :P

Und was ich vergessen habe: Ich habe Debain Sarge aktuelle Version im Einsatz, sehe aber von einem "apt-get install apache2 und so weiter" ab ;) Den Webserver mache ich von Hand! Deswegen denke ich, ist auch dein Vorschalg mit dem Archlinux nichts für mich... Aber danke trotzdem!

[Joe User]

Wer hat denn nun recht? :P

Jürgen :oops:

[knifegunaxe]

Danke :)

Und kennt einer ein Tut das auf den Sachen basiert? Alle Tuts von securityfocus.com sind nämlich mit den statisch gelinkten Modulen. Und des Apache 2 Tut von dort beinhaltet kein PHP.

Wie compiliere ich denn dann den Apache2 ohne statische Module? Ohne jeglliches --enable-blubb einfach? praktisch:

Code: Select all

./configure --prefix=/usr/local/apache2 --with-mpm=prefork 
make
make install

Ich finde nur HowTos wo dann eben auch sowas hier drin steht:

The next issue is whether to compile the modules dynamically or statically. Static is better. If new vulnerabilities in Apache2 are found, you will probably have to recompile the whole thing anyway and by choosing the static method, you eliminate the need of one more module, mod_so.

Alle wollen das statisch machen, oder einfach so:

Code: Select all

apt-get install apache2-mpm-prefork
apt-get install libapache2-mod-php5
etc...

:P
Ist eben nicht das was ich will^^

Danke für eure Beiträge!

Gruß,
Daniel

[knifegunaxe]

buh?

kleiner tip wenigstens? :)

[knifegunaxe]

Noch ein Versuch:

Sehe ich es richtig, dass alle Module die ich über --enable-MODUL einbinde, statisch einkompiliert werden, während alle die ich mit --disable-MODUL deaktiviere überhaupt nicht verwendet werden (können?!)?

Oder würde ich theoretisdch nach einem --disable-modules=all (was wohl nicht mehr funktioniert) alle gewünschten Module über die httpd.conf einbinden können?

Entspricht ein --disable-modules=all einem manuellen deaktivieren jedes Moduls aus dieser List? http://httpd.apache.org/docs/2.2/mod/
Bis auf core und die die eben Pflicht sind...

Hoffe mir kann einer Antworten :)

Danke & Gruß,
Daniel

[Joe User]

http://httpd.apache.org/docs/2.2/progra ... igure.html

[knifegunaxe]

ok ok, danke! :)

bist du damit d'accord?

Code: Select all

./configure --prefix=/usr/local/apache2 
--with-mpm=prefork 
--disable-actions 
--disable-alias 
--disable-asis 
--disable-autoindex 
--disable-cgi 
--disable-cgid 
--disable-charset-lite 
--disable-env 
--disable-include 
--disable-negotiation 
--disable-setenvif 
--disable-status 
--disable-userdir

--disable-imap gibt's wohl nicht mehr
und --disable-so ist standardmäßig deaktiviert.

Klingt für mich logisch :)

Gruß,
Daniel

[Joe User]

Wenn Du einen nackten schnellen Apache ohne Features benötigst, dann kannst Du auch gleich '--disable-modules=all' setzen ;) Die Defaultconfig hat aber durchaus einen Grund...

[knifegunaxe]

Ok das ist nicht der Fall

Ich wollte einen Apache2 mit PHP und MySql.
Wie ich oben ja schon erklärt hatte...

Wir sind ja nun schon so weit, dass es Blödsinn ist, die benötigten Module statisch einzukompilieren.

Nun hast du mir diesen Link geschickt, aus dem ich nur herauslesen konnte, was für mich sinnvoll erscheint zu behalten. Das war aber zu viel :P

Welche module sollte ich denn nicht deaktivieren, und welche eventuell gleich auf --enable setzen?

Welche Module brauche ich denn um mit meinem Apache später PHP nutzen zu können?

[knifegunaxe]

./configure --prefix=/usr/local/apache
--with-mpm=prefork
--disable-autoindex
--disable-cgi
--disable-cgid
--enable-so
--enable-rewrite
--enable-usertrack
--enable-deflate
--enable-mime-magic

Wie gefällt dir das? Ist das gut? 8O

[knifegunaxe]

hab jetzt das genommen:

Code: Select all

./configure 
--prefix=/usr/local/apache2 
--with-mpm=prefork 
--with-mysql=/usr/local/mysql

Danke für eure Hilfe!