Решать вам, что уязвимо, а что нет, никто не уверен в версиях и в том, что в них появятся критические уязвимости.
А если и появятся, то тут уже никто не застрахован. Но я чисто из своего опыта не спешу обновляться, ибо следую правилу «работает — не трожь», а если вдруг появится какая уязвимость, то патч сделать не составит труда.
Не работают они с отключеной консолью пользователя ни SFTP, ни SCP. Можете конечно придумать способ как их заставить работать (потом раскажете мне), но… Работает только FTP и то потому, что мы закоментили: #auth required pam_shells.so, так бы тоже не работал.
Не в компонентах дело, а в том, что безопасность для вас видимо ничего не значит. Ставьте свежий необкатанный софт, радуйтесь, что вы современный и в тренде, но только потом не удевляйтесь, почему вас сломали, а сосед Васька со старым софтом пулепробиваемый ;)
Напишите статью лучше с php5.6 опкешем и т.д.
То что описано здесь гарантированно защищает и работает, а главное это все проверено опытом, а то что вы говорите это всё мелочи, главное схема, не нравится php 5.4 (хотя они идет по умолчанию при вызове apt-get install php, думаю не зря так!), ставьте 5.6, не нравится eAccelerator не ставите его, а ставите опкеш или другой кеш, проблем никаких. Сразу скажу SFTP работать не будет т.к. у юзера нет консоли! (уже сколько раз писал это в комментах), поэтому только выбор у вас FTP или другой клиент который работает без консоли.
Пока нет необходимости в переходе на PHP 5.5, если необходимо именно 5.5 версия, то замените php5 на php55.
Насчет eAccelerator, можете его не ставить, вам решать нужен он или нет.
Интересно как он это сможет сделать, если мы юзерам отключили консоль (в начале статьи). Такой сценарий возможен, только когда кто-то получит рута или консоль с экплоитом под систему.
Собирался только eAccelerator под PHP 5.4.4, так что всё в приделах разумного, хотя если говорить о размности, то у каждого она своя и как вы заметили заядлые Debian юзеры не будут собирать, а предпочтут поставить пакеты.
Конечно на эту тему можно спорить до бесконечности, но если есть возможность собирать софт из сорцов под конкретную сборку PHP, то почему бы этим не пользоваться?
Меня больше интересует безопасность такого подхода (например вот я залил web-шелл, что я могу?), надо будет проверить ее на досуге, просто в описаном выше я вполне уверен и даже шеллы давал на проверку, а в этом нет.
Никаких проблем в настройки через FastCGI нет, но существует ли аналог типа mod_itk под nginx? Если да, то приведите пример, возьму его себе на вооружение.
Не всегда, бывают случаи, когда необходимо под конкретную версию/систему/сборку и т.д. собрать плагин. В данном примере под PHP 5.4, а если будет другая версия, например бетка под которою нет репозитория? Тогда как?
На каждую статью найдется свой читатель, которому это будет интересно, даже если таких статей куча, а как и где искать статьи не мне вас учить. Да и думаю вы по своему опыту должны знать, что зачастую из статей берут только ту часть, которая вас интересует.
Тут да, но я же выше написал, что это тема отдельной статьи, т.с. о выгоде связке apache+nginx по сравнению с просто nginx или apache. Причем плюсов этой связки можно много придумать.
Ну можете нагрузить nginx еще и динамикой, никто не запрещает это дело вкуса. Сервис упадет, всё упадет. А так отвалится тот же апач, nginx будет из кеша тянуть статику и отдавать юзерам, пока апач не перезапустится (можно на эту тему кстать еще одну статью написать :) ).
Ну и Mediawiki это Mediawiki, продумали её разработкичи все эти ньансы.
Помимо WP, есть куча и других CMS, в которых не всем хочется переписывать ЧПУ (mod_rewrite) под nginx, а использовать апач под статику+динамику я считаю сильно большой нагрузкой, логичнее отвести ему только динамику, а статику оставить на nginx, можно и наоборот сделать, только апач будет кушать больше, чем nginx в такой связке.
А если и появятся, то тут уже никто не застрахован. Но я чисто из своего опыта не спешу обновляться, ибо следую правилу «работает — не трожь», а если вдруг появится какая уязвимость, то патч сделать не составит труда.
То что описано здесь гарантированно защищает и работает, а главное это все проверено опытом, а то что вы говорите это всё мелочи, главное схема, не нравится php 5.4 (хотя они идет по умолчанию при вызове apt-get install php, думаю не зря так!), ставьте 5.6, не нравится eAccelerator не ставите его, а ставите опкеш или другой кеш, проблем никаких. Сразу скажу SFTP работать не будет т.к. у юзера нет консоли! (уже сколько раз писал это в комментах), поэтому только выбор у вас FTP или другой клиент который работает без консоли.
Насчет eAccelerator, можете его не ставить, вам решать нужен он или нет.
Что касается защиты от ддос, то это отдельная тема и тут она не рассматривается.
Ну и Mediawiki это Mediawiki, продумали её разработкичи все эти ньансы.