apache2 + mod_security als statisches Modul

Apache, Lighttpd, nginx, Cherokee
knifegunaxe
Posts: 61
Joined: 2006-09-05 08:47

apache2 + mod_security als statisches Modul

Post by knifegunaxe »

Hi ihr!

Ich mache momentan einen Mix aus drei Tuts durch, da ich einen Apache 2.2 + PHP5 und mod_security aufsetzen möchte. Anscheinend mag das keiner sonst machen. Nun stecke ich schon beim compilieren des Apache mit diesem Modul fest.

Zu Info:
From a security and performance point of view, the best choice seems to be compilation as a static module. That's why the rest of this article is based on that method of installation.
:P

Wie kann ich das einbinden? aus dem ( http://www.securityfocus.com/infocus/1706 ) Tut weiß ich es für Apache1 aber sowas in der Art für Apache2 gibt es nicht?

Und sind das -> http://httpd.apache.org/docs/2.2/mod/ <- alle Standardmodule, die gegebenenfalls deaktiviert werden müssen? Denn auch hier finde ich in jedem Tutorial was anderes. (sowas wie --disable-charset-lite)

Vielen Dank für eure Hilfe!

Grüße,
Daniel
juergen
Posts: 133
Joined: 2004-03-30 14:44

Re: apache2 + mod_security als statisches Modul

Post by juergen »

From a security and performance point of view, the best choice seems to be compilation as a static module. That's why the rest of this article is based on that method of installation.
:P

Wer hat den diesen Krampf verzapft?
Wir haben apache 2.2.x + php 5.1.x + mod_security 1.9.x http://www.archlinux.org/
knifegunaxe
Posts: 61
Joined: 2006-09-05 08:47

Re: apache2 + mod_security als statisches Modul

Post by knifegunaxe »

Wer hat den diesen Krampf verzapft?
Das hab ich von hier: http://www.securityfocus.com/infocus/1786
Wir haben apache 2.2.x + php 5.1.x + mod_security 1.9.x http://www.archlinux.org/
Meinst du auf eurem Server oder das hier? http://wiki.archlinux.org/index.php/LAMP

Da geht ihr aber von einer binary aus, oder? Zumindest seh ich nix vom compilieren...

Gruß,
Daniel
juergen
Posts: 133
Joined: 2004-03-30 14:44

Re: apache2 + mod_security als statisches Modul

Post by juergen »

knifegunaxe wrote:
Wer hat den diesen Krampf verzapft?
Das hab ich von hier: http://www.securityfocus.com/infocus/1786
Der Autor hat keine Ahnung! statisches Linken erschwert Updates und kostet Speicher...
knifegunaxe wrote:
Wir haben apache 2.2.x + php 5.1.x + mod_security 1.9.x http://www.archlinux.org/
Meinst du auf eurem Server oder das hier? http://wiki.archlinux.org/index.php/LAMP

Ich meinte die Distribution Archlinux, die Packete sind im Current/Extra Repository in den von dir gewünschten Versionen als Binärpakete vorhanden.

Grüße,
Jürgen
User avatar
Joe User
Project Manager
Project Manager
Posts: 11165
Joined: 2003-02-27 01:00
Location: Hamburg

Re: apache2 + mod_security als statisches Modul

Post by Joe User »

juergen wrote:
knifegunaxe wrote:
Wer hat den diesen Krampf verzapft?
Das hab ich von hier: http://www.securityfocus.com/infocus/1786
Der Autor hat keine Ahnung! statisches Linken erschwert Updates und kostet Speicher...
Statisches Linken ständig benötigter Module vermeidet unnötige Syscalls und zeitraubende Zugriffe auf die HDD. Bei stark frequentierten Hosts ist soetwas tödlich und relativiert die paar KB Speicher beziehungsweise Sekunden beim Update.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
juergen
Posts: 133
Joined: 2004-03-30 14:44

Re: apache2 + mod_security als statisches Modul

Post by juergen »

Joe User wrote: Statisches Linken ständig benötigter Module vermeidet unnötige Syscalls und zeitraubende Zugriffe auf die HDD. Bei stark frequentierten Hosts ist soetwas tödlich und relativiert die paar KB Speicher beziehungsweise Sekunden beim Update.
Syscalls macht nur die glibc.

Der einzige overhead beim dynamischen Linken ist das Auflösen der Symbolreferenzen zur Laufzeit. Diest geschieht nur beim Starten des Apache, nicht mehr beim forken.

Falls man hier noch ein wenig Ferformance rausholen will, kann man prelinking machen.
User avatar
Joe User
Project Manager
Project Manager
Posts: 11165
Joined: 2003-02-27 01:00
Location: Hamburg

Re: apache2 + mod_security als statisches Modul

Post by Joe User »

Was nützt mir ein schön geforktes Apache-Binary, wenn das System bei jedem HTTP-Request mehrere CPU-Zyklen zum Nach-/Entladen der benötigten Module benötigt? In der gleichen Zeit hat ein statisch gelinkter Apache bereits die ersten Header mit dem Client ausgetauscht...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
juergen
Posts: 133
Joined: 2004-03-30 14:44

Re: apache2 + mod_security als statisches Modul

Post by juergen »

Joe User wrote:Was nützt mir ein schön geforktes Apache-Binary, wenn das System bei jedem HTTP-Request mehrere CPU-Zyklen zum Nach-/Entladen der benötigten Module benötigt? In der gleichen Zeit hat ein statisch gelinkter Apache bereits die ersten Header mit dem Client ausgetauscht...
Der Apache lädt seine Module beim Startup (das ist auch der Grund warum LoadModule nur im Context ServerConfig erlaubt ist). Ein dl_open nach einem fork wäre ziemlich bescheuert...
Ein statisch gelinkter Apache bringt keinen Performancevorteil zur Laufzeit, da das Auflösen der Referenzen nur beim Startup geschieht...
knifegunaxe
Posts: 61
Joined: 2006-09-05 08:47

Re: apache2 + mod_security als statisches Modul

Post by knifegunaxe »

Wer hat denn nun recht? :P

Und was ich vergessen habe: Ich habe Debain Sarge aktuelle Version im Einsatz, sehe aber von einem "apt-get install apache2 und so weiter" ab ;) Den Webserver mache ich von Hand! Deswegen denke ich, ist auch dein Vorschalg mit dem Archlinux nichts für mich... Aber danke trotzdem!
User avatar
Joe User
Project Manager
Project Manager
Posts: 11165
Joined: 2003-02-27 01:00
Location: Hamburg

Re: apache2 + mod_security als statisches Modul

Post by Joe User »

knifegunaxe wrote:Wer hat denn nun recht? :P
Jürgen :oops:
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
knifegunaxe
Posts: 61
Joined: 2006-09-05 08:47

Re: apache2 + mod_security als statisches Modul

Post by knifegunaxe »

Danke :)

Und kennt einer ein Tut das auf den Sachen basiert? Alle Tuts von securityfocus.com sind nämlich mit den statisch gelinkten Modulen. Und des Apache 2 Tut von dort beinhaltet kein PHP.

Wie compiliere ich denn dann den Apache2 ohne statische Module? Ohne jeglliches --enable-blubb einfach? praktisch:

Code: Select all

./configure --prefix=/usr/local/apache2 --with-mpm=prefork 
make
make install
Ich finde nur HowTos wo dann eben auch sowas hier drin steht:
The next issue is whether to compile the modules dynamically or statically. Static is better. If new vulnerabilities in Apache2 are found, you will probably have to recompile the whole thing anyway and by choosing the static method, you eliminate the need of one more module, mod_so.
Alle wollen das statisch machen, oder einfach so:

Code: Select all

apt-get install apache2-mpm-prefork
apt-get install libapache2-mod-php5
etc...
:P
Ist eben nicht das was ich will^^

Danke für eure Beiträge!

Gruß,
Daniel
knifegunaxe
Posts: 61
Joined: 2006-09-05 08:47

Re: apache2 + mod_security als statisches Modul

Post by knifegunaxe »

buh?

kleiner tip wenigstens? :)
knifegunaxe
Posts: 61
Joined: 2006-09-05 08:47

Re: apache2 + mod_security als statisches Modul

Post by knifegunaxe »

Noch ein Versuch:

Sehe ich es richtig, dass alle Module die ich über --enable-MODUL einbinde, statisch einkompiliert werden, während alle die ich mit --disable-MODUL deaktiviere überhaupt nicht verwendet werden (können?!)?

Oder würde ich theoretisdch nach einem --disable-modules=all (was wohl nicht mehr funktioniert) alle gewünschten Module über die httpd.conf einbinden können?

Entspricht ein --disable-modules=all einem manuellen deaktivieren jedes Moduls aus dieser List? http://httpd.apache.org/docs/2.2/mod/
Bis auf core und die die eben Pflicht sind...

Hoffe mir kann einer Antworten :)

Danke & Gruß,
Daniel
User avatar
Joe User
Project Manager
Project Manager
Posts: 11165
Joined: 2003-02-27 01:00
Location: Hamburg

Re: apache2 + mod_security als statisches Modul

Post by Joe User »

PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
knifegunaxe
Posts: 61
Joined: 2006-09-05 08:47

Re: apache2 + mod_security als statisches Modul

Post by knifegunaxe »

ok ok, danke! :)

bist du damit d'accord?

Code: Select all

./configure --prefix=/usr/local/apache2 
--with-mpm=prefork 
--disable-actions 
--disable-alias 
--disable-asis 
--disable-autoindex 
--disable-cgi 
--disable-cgid 
--disable-charset-lite 
--disable-env 
--disable-include 
--disable-negotiation 
--disable-setenvif 
--disable-status 
--disable-userdir
--disable-imap gibt's wohl nicht mehr
und --disable-so ist standardmäßig deaktiviert.

Klingt für mich logisch :)

Gruß,
Daniel
User avatar
Joe User
Project Manager
Project Manager
Posts: 11165
Joined: 2003-02-27 01:00
Location: Hamburg

Re: apache2 + mod_security als statisches Modul

Post by Joe User »

Wenn Du einen nackten schnellen Apache ohne Features benötigst, dann kannst Du auch gleich '--disable-modules=all' setzen ;) Die Defaultconfig hat aber durchaus einen Grund...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
knifegunaxe
Posts: 61
Joined: 2006-09-05 08:47

Re: apache2 + mod_security als statisches Modul

Post by knifegunaxe »

Ok das ist nicht der Fall :cry:

Ich wollte einen Apache2 mit PHP und MySql.
Wie ich oben ja schon erklärt hatte...

Wir sind ja nun schon so weit, dass es Blödsinn ist, die benötigten Module statisch einzukompilieren.

Nun hast du mir diesen Link geschickt, aus dem ich nur herauslesen konnte, was für mich sinnvoll erscheint zu behalten. Das war aber zu viel :P

Welche module sollte ich denn nicht deaktivieren, und welche eventuell gleich auf --enable setzen?

Welche Module brauche ich denn um mit meinem Apache später PHP nutzen zu können?
knifegunaxe
Posts: 61
Joined: 2006-09-05 08:47

Re: apache2 + mod_security als statisches Modul

Post by knifegunaxe »

./configure --prefix=/usr/local/apache
--with-mpm=prefork
--disable-autoindex
--disable-cgi
--disable-cgid
--enable-so
--enable-rewrite
--enable-usertrack
--enable-deflate
--enable-mime-magic

Wie gefällt dir das? Ist das gut? 8O
knifegunaxe
Posts: 61
Joined: 2006-09-05 08:47

Re: apache2 + mod_security als statisches Modul

Post by knifegunaxe »

hab jetzt das genommen:

Code: Select all

./configure 
--prefix=/usr/local/apache2 
--with-mpm=prefork 
--with-mysql=/usr/local/mysql
Danke für eure Hilfe!