Svar: Vissa personer tycker att det är bättre att stänga av förmågan att ladda drivrutiner genom moduler, eftersom en inkräktare skulle kunna ladda en trojansk modul som kan påverka säkerheten i systemet.
Men för att kunna ladda moduler måste du vara root. För att kunna ändra objektfiler för moduler måste du också vara root. Detta betyder att inkräktaren måste ha root-access för att kunna ladda en modul. Och om inkräktaren har root-access så finns det allvarligare saker att oroa sig för än att han skall ladda moduler.
Moduler är till för att dynamiskt kunna ladda in stöd för vissa enheter som sällan används. På servermaskiner, eller brandväggar till exempel, så behövs detta med all sannolikhet inte. Därför verkar det vettigare att kompilera in drivrutinerna direkt i kärnan för maskiner som används som servrar. Moduler är dessutom långsammare än inkompilerat stöd.
Svar: Se avsnittet om root-säkerhet. Detta görs med avsikt för att förhindra externa användare att logga in till din maskin som root, vilket skulle vara ett allvarligt säkerhetsproblem. Glöm inte att potentiella inkräktare har tiden på sin sida och kan köra program för att hitta ditt lösenord.
Svar: Skuggade lösenord är en mekanism för att lagra dina lösenord i en annan fil än den normala /etc/paswd. Detta har flera fördelar. Den första är att skuggfilen /etc/shadow endast är läsbar av root, till skillnad från /etc/passwd som måste vara läsbar av alla. En annan fördel är att som administratör kan du sätta på och stänga av användarkonton utan att alla vet statusen för andras användarkonton.
Filen /etc/passwd används då för att lagra användarnamn och gruppnamn som används av program som "/bin/ls" för att mappa användarid till korrekt användarnamn i en kataloglistning.
Filen /etc/shadow innehåller endast användarnamn med respektive lösenord och kanske bokföringsinformation, som när användarkontot slutar gälla osv.
För att slå på skuggade lösenord, kör 'pwconv' som root och /etc/shadow bör skapas och användas av applikationer. Eftersom du kör RH 4.2 eller nyare så skall PAM-modulerna anpassa sig automatiskt till att använda /etc/shadow istället.
Eftersom du är intresserad av att säkra dina lösenord så kanske du är intresserad av att generera bra lösenord från början. För detta kan du använda modulen 'pam_cracklib' som är en del av PAM. Den kör lösenord mot Crack-biblioteken för att hjälpa dig att se om de är för lätta för crack-program att gissa.
Svar:
1. Hämta SSLeay 0.8.0 eller senare från ftp://ftp.psy.uq.oz.au/pub/Crypto/SSL
2. Kompilera, testa och installera det.
3. Hämta källkoden för Apache 1.2.5 eller senare.
4. Hämta Apache SSLeay-utökningen på denna sajten
5. Packa upp det i källkodskatalogen för apache-1.2.5 och patcha Apache som det står i README.
6. Konfigurera och kompilera det.
Du kan även prova Replay Associates som har många färdigkompilerade paket och som är lokaliserat utanför USA.
Svar: RedHat-distributionen, särskilt RH5.0, innehåller ett stort antal verktyg för att kunna ändra användarkontonas egenskaper.
Alla dessa program är "skugg-medvetna" -- dvs om du använder skuggning så använder de /etc/shadow, annars gör de det inte.
Se respektive manualblad för vidare information.
Jag slår vad om att du inte känner till http://www.apacheweek.org, eller?
Du hittar information om användarautentisering på http://www.apacheweek.com/features/userauth såväl som andra säkerhetstips för webbservrar på http://www.apache.org/docs/misc/security_tips.html