Apache på Ubuntu - erfarenheter?

[lars_stefan_axelsson]

Det finns ju ett antal färdiga paket t.ex. Wordpress, som utnyttjar en färdig *AMP-installation utan att användaren behöver skruva i Apache. Du har rätt i princip men inte i sak.
Varje Mac OS X-dator har en färdigkonfigurerad Apache för enkel webbdelning. Av- och påknapp, typ!

Visst. Om det är just något så tungt, stort, komplext och osäkert som wordpress som skall köras. Men som jag förstog usecaset så var det inte det. Utan något mycket enkelt. Inget cgi/ajax/databasbackning osv. utan bara några enkla statiska websidor. Och då blir det förhållandevis mycket att konfigurera för att *begränsa* apache till att göra precis det lilla som man vill att den skall göra. Då är det en massa val man måste ta ställning till av typen "behöver jag verkligen det här". Det kräver sin man. (Ja, eller är i alla fall icketrivialt). Komplexiteten hos servern som sådan (kod/minne/processor osv) kommer man naturligtvis ändå inte ifrån och den är betydligt större.

Så, visst. Behöver du apache så är det apache du behöver. Men om du inte gör det så måste du ändå betala kostnaden, och visst, den är inte oöverstiglig på något sätt, det är inte sendmail vi pratar om, men den är ändå betydligt större.

 

[joflopp]

Det stora skillnaden i säkerhet här är dock skillnaden i komplexitet. Både räknat i rader kod och i insats för att konfigurera. Där vinner exv. thttpd med en storleksordning.

Jag menade inte att såga produkten thttpd med security through minority då den är en genomtänkt open source-produkt. På samma sätt kan man säga att TS inte ska använda Ubuntu utan stället Open BSD.

Vad jag vände mig emot var argumentet att använda en produkt (vilken som helst) som inte tillhör top five för att man då slipper 99% av alla attacker. Ett annat exempel, om än inte helt rättvisande men som ändå stöder min avogda inställning till secutiry through obscurity/minority är krypteringsalgoritmer. Alla dagar i veckan väljer jag en algoritm som blivit testad, genomlyst och vars kod är tillgänglig för alla att beskåda och som har stort genomslag. Dock finns en risk att implementationen av den väl fungerande algoritmen bär på svagheter. Men det är en annan diskussion, precis som den vi är inne på nu.

Om TS sköter sin Ubuntuinstallation med Apache och uppdaterar med säkerhetspathcarna som kommer ska det till en hel del otur för att sidorna ska hackas. Men visst, risken minskar med OpenBSD och thttpd.

 

[Troberg]

Om TS sköter sin Ubuntuinstallation med Apache och uppdaterar med säkerhetspathcarna som kommer ska det till en hel del otur för att sidorna ska hackas.

Japp. Linux är dessutom väldigt smidigt att hålla uppdaterat.

På det hela taget så är framgångsrika attacker mot Linux-burkar väldigt ovanliga, så ovanliga att det är snudd på en ickefråga.

Synpunkter på Mac servers vore som sagt väldigt trevligt att få höra!

OK maskiner, men inte prisvärda på långa vägar när.

 

[lars_stefan_axelsson]

JAlla dagar i veckan väljer jag en algoritm som blivit testad, genomlyst och vars kod är tillgänglig för alla att beskåda och som har stort genomslag. Dock finns en risk att implementationen av den väl fungerande algoritmen bär på svagheter. Men det är en annan diskussion, precis som den vi är inne på nu.

Ja, det håller jag helt med om. MEN, man skall då komma ihåg att de konkurrerande algoritmerna är i stort sett lika komplicerade (dvs i samma storleksordning).

Det är inte fallet här. Jmf. SSH (och i viss mån SSL/TLS) har i praktiken visat sig mycket säkrare än Kerberos eller IPSec/IKE. Komplexitet dödar säkerhet. (Och i fallet Ubuntu/Debian så visade det sig att pillande på SSH också gör det. Men det är en annan fråga...)

Men visst. Det här är ingen stor fråga. Det är inte så att jag definitivt avråder från att använda Apache (vilket jag t ex gör när någon säger IPSec eller Sendmail). Dock får man dras med hela hiskeliga härket hela tiden, även om man inte behöver det.

 

[-MH-]

Jag minns den gamla goda tiden, då allt man hade att oroa sig för var .htaccess-filen, och man funderade lite extra innan man la upp bilder på servern, de kunde ju inte ses av alla...

Jag hade nog tagit lighttpd

 

[mycke_nu]

Skall bara rapportera att det löste sig mycket enkelt genom att jag installerade add-in modulen Whiist på min Windows Home Server. Kostade noll och två webbplatser kom upp på mindre än en timma.

Behövde inte ens DDNS då WHS fixar även detta. Enda utgiften är domänpekning från Loopia.

 

[Mats]

Loopia DNS finns ju som gratistjänst

 

[Nerre]

Och Loopia DNS har dessutom DynDNS-stöd.

 

[mycke_nu]

Jo, jag vet, men det var en sak mindre att konfigurera för mej.

 

[cheetah1]

Jag har erfarenhet. Det funkar mycket bra. Finns ingen anledning att köra ubuntu desktop dock, om du nu inte ska ha burken till nåt annat också? Kör ubuntu server annars, så slipper du hela det grafiska gränssnittet och kan ha den prestandan till nåt annat.

Eventuellt kan man ha lite säkerhetsproblem, men ska man inte göra nåt överseriöst är det inget man behöver bemöda sig med.