IBM выпустит свои первые только-Linux сервера, непосредственно конкурирующие с серверами x86-x64, такими, которые предлагаются Dell и HP. Новые сервера PowerLinux 7R2 – термин «7R2» означает, что этот сервер POWER7, занимающий два юнита, в основном предназначен для таких областей как анализ больших обычно неструктурированных объемов данных, например, IBM InfoSphere Streams для установки бизнес-решений, таких как SAP.

В сравнении цен, компания относит vSphere Enterprise 5 от VMware на сторону конкурентов и включает лицензии на Red Hat Enterprise Linux или SUSE Linux Enterprise. Система PowerLinux 7R2 с двумя процессорами 3.55 GHz POWER7, 32GB оперативной памяти, двумя жесткими дисками на 300GB, четырьмя сетевыми контроллерами на 1Gb, SAS (Serial Attached SCSI), RAID и приводом DVD стоит 21 282 долларов США. При сравнении с сервером x86-64 с vSphere 5.0 Enterprise, PowerVM для IBM PowerLinux выглядит хуже, потому что он может принимать лишь гостей Linux; компонент виртуализации отказывается принимать AIX 6.2 или i5 и более ранние версии. Тем не менее, 7R2 обладает четырьмя потоками на ядро, аппаратный гипервизор, 16 виртуальных процессоров на виртуальную машину и неограниченную виртуальную память – VMware ограничивает лицензией до 64GB виртуальной памяти и восьми процессоров на сокет.

.

Подробности:  http://www.h-online.com/open/news/item/IBM-announces-Linux-servers-with-POWER7-CPUs-1545572.html

Вторая здесь.

Дополнительные параметры

Необычная страница входа

Я предполагаю, что вы похожи на меня, и первое, что вы хотели бы увидеть, это красиво выглядящая страница входа в браузере. Достаточно ли круто на ваш вкус смотрится эта страница?

Эта профессионально выглядящая страница создана с помощью открытого проекта openid-selector, который представляет собой удобный метод выбора OpenID.

После генерации страницы входа, она должна быть расширена с применением shtml, включая разный стафф от mod_auth_openid. Я добавил часть с отображением ошибок из оригинальной страницы входа в html-страницу, сгенерированную openid-selector.

 Самостоятельное администрирование пользователем OpenID для локального отображения Userid

Предположим, что у вас уже есть администрирование пользователей на основе файлов .htpasswd, вы можете использовать для улучшения следующие конфигурации, чтобы пользователи могли зарегистрировать учетные записи OpenID для своих локальных учетных записей. Скопируйте файл file_mapper.html из архива в свой htdocs.

# Virtual Host section

  AOID_File_DB              /etc/apache2/mapdb

  AOID_File_AdminPage       /usr/local/apache2/htdocs/file_mapper.html

  # Profile administration location

  # Adjust filepath according to your existing .htpasswd file

  <Location /profile>

    AuthUserFile            /srv/data/.htpasswd

    AuthName                'Enter your LoginName: Cancel to register if you do not have one.'

    AuthType                Basic

    Require                 valid-user

    SetEnvIf                Request_Method POST parp

    SetEnvIf                Request_Method GET parp

    SetHandler              auth-oid-file

    AOID_File_UserOnly      on

  </Location>

Вопросы безопасности

OpenID рекомендует разместить Relying Party Discovery Document, указывающий провайдеру OpenID правильный адрес return_to. Yahoo будет отображать ваш сайт как не доверенный, если вы не предоставите подобный документ. Более подробную информацию можно найти здесь.

Сохраните документ под названием openid.xrd в DocumentRoot вашего сайта. Содержимое должно быть похоже на следующий пример. Установите его в соответствии с вашими настройками.

?xml version="1.0" encoding="UTF-8"?>

<xrds:XRDS

    xmlns:xrds="xri://$xrds"

    xmlns:openid="http://openid.net/xmlns/1.0"

    xmlns="xri://$xrd*($v*2.0)">

    <XRD>

        <Service priority="1">

            <Type>http://specs.openid.net/auth/2.0/return_to</Type>

            <URI>https://YOUR_HOST_HERE/aoid/login</URI>

        </Service>

    </XRD>

</xrds:XRDS>

Зададим формирование HTTP-заголовков:

  LoadModule headers_module /usr/lib/apache2/modules/mod_headers.so

    # .......

Header set X-XRDS-Location https://YOUR_HOST_HERE/openid.xrd

Или

....

  <head>

  <meta http-equiv="X-XRDS-Location" content="https://YOUR_HOST_HERE/openid.xrd"/>

  ....

Рекомендуется первый вариант, как централизованное решение.

Защита от DoS и других видов атак

DoS-атаки и подделка межсайтовых запросов представляют на данный момент большую проблему. Вы можете эффективно защитить ваш сайт от DoS-атак с помощью другого открытого модуля, который называется mod_qos. Когда дело доходит до защиты серверов от различных видов атак, этот модуль начинает напоминать швейцарский нож. Он может быть установлен так же легко, как и любой другой модель Apache. Следующие примеры настроек показывают базовую конфигурацию, которая защитит ваш сайт от DoS-атак и подделки межсайтовых запросов на странице самостоятельного администрирования.

# server section

    LoadModule qos_module /usr/lib/apache2/modules/mod_qos.so

    # handles connections from up to 100000 different IPs

    QS_ClientEntries 100000

    # will allow only 50 connections per IP

    QS_SrvMaxConnPerIP 50

    # maximum number of active TCP connections is limited to 256

    MaxClients              256

    # disables keep-alive when 70% of the TCP connections are occupied:

    QS_SrvMaxConnClose      180

    # minimum request/response speed (deny slow clients blocking the server, ie. slowloris keeping connections open without requesting anything):

    QS_SrvMinDataRate       120 1500 400

    # and limit request header and body (carefull, that limits uploads and post requests too):

    QS_SrvMaxConnClose      70%

    LimitRequestFields      30

    QS_LimitRequestBody     102400

    QS_ClientEventBlockCount 20 300

    QS_SetEnvIfStatus        400               QS_Block

    QS_SetEnvIfStatus        401               QS_Block

    QS_SetEnvIfStatus        403               QS_Block

    QS_SetEnvIfStatus        404               QS_Block

    QS_SetEnvIfStatus        405               QS_Block

    QS_SetEnvIfStatus        406               QS_Block

    QS_SetEnvIfStatus        408               QS_Block

    QS_SetEnvIfStatus        411               QS_Block

    QS_SetEnvIfStatus        413               QS_Block

    QS_SetEnvIfStatus        414               QS_Block

    QS_SetEnvIfStatus        417               QS_Block

    QS_SetEnvIfStatus        500               QS_Block

    QS_SetEnvIfStatus        503               QS_Block

    QS_SetEnvIfStatus        505               QS_Block

    QS_SetEnvIfStatus        QS_SrvMinDataRate QS_Block

    QS_SetEnvIfStatus        NullConnection    QS_Block

    QS_SrvMaxConnExcludeIP 127.0.0.1

    # CSRF protection of the Self Registration Form by setting

    # four milestones for profile administration

    QS_MileStone          deny       "^GET /OpenIdLogin"

    QS_MileStone          deny       "^GET /OpenIDRegistration"

    QS_MileStone          deny       "^GET /profile"

    QS_MileStone          deny       "^POST /profile"

.

На этом пожалуй всё!

Оригинал статьи на английском — http://www.howtoforge.com/apache-module-for-openid-authentication

Это продолжение. Начало здесь.

Раздел Server

Требуются следующие стандартные модули Apache:

• mod_ssl (обеспечивает шифрование процедур, используемых mod_auth_oid)
• mod_proxy (предоставляет функции mod_auth_oid для отправки запросов OpenID Providers)
• mod_include (обеспечивает отрисовку страниц shtml)

Включите модули в глобальном разделе конфигурационного файла Apache. Уточните расположение файла в соответствии со схемой операционной системы. Также важно, чтобы модули загружались после mod_ssl. Таким образом, поместите эти строки в конце блока LoadModule. Раскомментируйте последние две строки с отображением модулей, если вы собираетесь их тоже использовать. Если ваш дистрибутив имеет собственную систему загрузки модулей, то, пожалуйста, делайте все в соответствии с его инструкцией (например, поместите следующие строки в файл, которые включается автоматически, если он расположен в специальном каталоге наподобие modules-enabled или аналогичном).

LoadModule parp_module                    /usr/lib64/apache2/mod_parp.so

  LoadModule auth_oid_module                /usr/lib64/apache2/mod_auth_oid.so

  # LoadModule auth_oid_file_module           /usr/lib64/apache2/mod_auth_oid_file.so

  # LoadModule auth_oid_ldap_module           /usr/lib64/apache2/mod_auth_oid_ldap.so

Попробуйте перезапустить сервер. Если модули загрузились корректно, об этом должно быть написано в error.log:

[Sun Nov 06 12:10:59 2011] [notice] Apache/2.2.17 (Linux/SUSE) mod_ssl/2.2.17 OpenSSL/1.0.0c mod_auth_oid/2.0 configured — resuming normal operations

Секция VirtualHost

Теперь настало время подготовить конкретные конфигурации для защиты вашего приложения. Отредактируйте вашу конфигурацию VirtualHost. Разумеется, это должен быть  ваш https VirtualHost, так как мы занимаемся вашей безопасностью. И замените мой OpenID YOURNAME вашим собственным OpenID, иначе YOURNAME однажды может украсть ваши драгоценности короны. ;) Если вы хотите использовать Google в качестве своего провайдера OpenID, то вы должны пойти немного по другому пути и добавить AOID_UserPattern, потому что Google использует подход Directed Identity с непрозрачным OpenID для сайта. В последней главе этого руководства, которая называется Сужение пространства имен предпочитаемых провайдеров OpenID директивы конфигурации разъясняются с примерами Google.

Мы предполагаем, что ресурс, который мы хотим защитить размещен в  /private и обработчик аутентификации расположен в /aoid. Следующие секции закомментированы, чтобы показать, что именно вам нужно сделать.

# A complete reference of all available configuration options

       # is available under: http://auth-openid.sourceforge.net/

       # Caution: Enable on trusted CA's by putting them into cacerts

       # Link them to hashnames like described in the Apache documentation

       # http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslproxycacertificatepath

       SSLProxyEngine            on

       SSLProxyCACertificatePath /etc/ssl/cacerts

       # use httponly flag preventing XSS attacks to the session cookie

       BrowserMatch              "Mozilla.*Firefox/(3|4)" HttpOnlyCookie

       BrowserMatch              "MSIE [6789]"            HttpOnlyCookie

       BrowserMatch              "Opera/(10|9\.[56789])"  HttpOnlyCookie

       BrowserMatch              Secure SecureCookie

       # mod_auth_oid base settings

       AOID_Realm                /

       AOID_StartPage            /private/index.html

       AOID_LogLevel             info

       AOID_LoginPath            /aoid/login

       AOID_LoginSuffix          .shtml

       AOID_Timeout              300

       AOID_CookieName           AJESSIONID

       # OpenID User Mapping. Additional possibilitys are described

       # in the Chapter "Local file mapping" of the Howtoforge Page

       # allowed/known users REPLACE WITH YOUR OPENID

       AOID_User http://YOURNAME.myopenid.com/ YOURNAME

       # Enforce mod_auth_oid user authentication of the following location

       <Location /private>

         AuthType OpenID

         Require valid-user

       </Location>

       # mod_auth_openid login page

       # enable SSI for the login page (requires mod_include)

       <Location /aoid>

          Options            Includes

          AddType            text/html .shtml

          AddOutputFilter    INCLUDES .shtml

       </Location>

Файлы

Затем создайте директорию private в DocumentRoot нашего виртуального хоста, и создать там какой-либо контент для защиты. Например, создайте файл index.html с содержимым “Yeahh!! mod_auth_oid rocks and I hacked 127.0.0.1!”.

Так же, вам потребуется страница авторизации для этой директории. Для начала можете использовать пример страницы SHTML из  папки htdocs дистрибутива. Просто скопируйте её в свою htdocs, и проверьте права доступа.

Затем перезапустите Apache ещё раз. Проверьте лог error.log на наличие ошибок.

.

Возможно, скоро появится окончание статьи!

OpenID является широко распространенной технологией аутентификации пользователей в веб-приложениях. Она основана на концепции распределенной аутентификации пользователей в блоге приложений. Эта маленькая книга поясняет как установить и настроить модуль Apache с открытым исходным кодом mod_auth_openid.

Этот модуль предназначен для простой реализации проверяющей стороны, которая может быт использована для защиты доступа к веб-приложениям и ресурсам на основе Apache. Модуль не реализует все описанные в официальной спецификации функции. Тем не менее, его функционала достаточно для обеспечения комфортного входа для ваших приложений и пользователей.

Также есть еще два дополнительных модуля, которые повышают возможности модуля аутентификации отображать идентификаторы локальных пользователей не только через настройки Apache, но и с помощью локального файла отображения (который уже может быть создан другим приложением) или Ldap.

Инсталляция

Для установки этого модуля должны быть выполнены следующие условия:

• Apache 2.2 включая mod_ssl, mod_proxy, mod_include, Заголовочные файлы и apxs/apxs2 (часто упоминаются как пакеты apache2 и apache2-devel).
• Модуль Apache mod_parp для разбора параметров. Установка является простой: используйте sudo или войдите как root:

$ tar xvBzf mod_parp-0.10-src.tar.gz
$ cd mod_parp-0.10 $ sudo apxs2 -i -c apache2/mod_parp.c
$ sudo chmod 755 /usr/lib64/apache2/mod_parp.so

Главный модуль

Скачайте и распакуйте исходный код отсюда.

$ tar xvBzf mod_auth_oid-2.0-src.tar.gz
$ cd mod_auth_oid-2.0
$ sudo apxs2 -i -c -I . -D AOID_MOD_EXT_HOOKS apache2/mod_auth_oid.c -lcrypto -lparp

Так же вы можете скомпилировать и установить пару дополнительных модулей:

$ sudo apxs2 -i -c -I . apache2/mod_auth_oid_file.c
$ sudo apxs2 -i -c -I . apache2/mod_auth_oid_ldap.c

.

Продолжение далее…

Так как, на данный момент, больше 70% всех атак осуществляется на уровне веб-приложений, то организациям требуется любая помощь, которую они могут получить, для создания своих систем безопасности. Приложения веб-фаерволов предназначены для укрепления внешнего слоя безопасности, что повышает защищенность, определяет и предотвращает атаки до того, как они достигнут приложений. Одним из основных и простых советов по защите вашего сервера является давать как можно меньше информации о типе вашей операционной системы, запущенных службах, установленных пакетах, используемых сервером версиях пакетов и вообще все, что может упростить хакерам этап сбора информации.

В этом руководстве я хочу сосредоточиться на том, как изменить имя сервера Apache на что угодно, так что вы можете дать собственное имя заголовкам сервера Apache, которые затем отправляются в программу или на сайт whois, Например вы можете напечататься «YTS», «GWS» или «Microsoft-IIS/7.0», чтобы вести хакеров в заблуждение и заставить угадывать, какая версия Linux OS установлена или какая версия Apache используется.

В этом примере я установил расширение «Domain Details» для Firefox, а еще в интернете есть куча полезных сайтов, таких как domaintools.com или netcraft.com, которые помогаю собрать информацию с удаленного сервера.

Как получить имя веб-сервера

Если вы установите расширение Firefox «DomainDetails», то вы увидите его в панели дополнений, и оно даст вам имя веб-сервера и  IP-адрес каждого посещенного сайта.

Смотрите картинку ниже:

В приведенном выше примере можно увидеть, что это расширение сможет дать хакеру простую, но полезную информацию об установленных серверах, а также,  можно увидеть версию Apache.

Как можно спрятать или изменить данные веб-сервера Apache?

С конфигурацией Apache2 по умолчанию мы можем скрыть только версию apache. Это можно сделать следующим образом:

# su root
# vi /etc/apache2/conf.d/security

ServerTokens Prod

Но вопрос заключается в том, чтобы как-то так сменить имя Apache:

Можно ли сменить имя Apache на «Microsoft-IIS/7.0» или «foo.bar.com»?

Ответ: Да!

Это можно сделать правилами мощного брандмауэра приложения Mod Security Web. Настройка очень проста.

Итак, позвольте мне начать:

Примечание: Я подразумеваю, что у вас уже есть работающий сервер Apache.

# apt-get update
# apt-get install libapache-mod-security

Убедитесь, что модуль mod-security включен.

# a2enmod mod-security

Вы должны увидеть подобное сообщение:

Module mod-security already enabled

# vi /etc/apache2/conf.d/security

Где-то в 27 строке найдите ServerTokens и измените его на:

ServerTokens Full

А в 39 строке, поменяйте сигнатуру сервера:

SecServerSignature RayanFarmad_HTTP_Server

Перезагрузите конфигурационный файл Apache:

# /etc/init.d/apache2 reload

Вы это сделали! Я надеюсь, что этот материал будет полезен для вас.

.

Источник:  http://www.howtoforge.com/changing-apache-server-name-to-whatever-you-want-with-mod_security-on-debian-6