当 OS X 10.5.7 PHP 和 Kerberos 版本被视为“漏洞”时，如何让 OS X 10.5 盒式机符合 PCI 标准

Question 1

依赖第三方（Apple 甚至 MacPorts）来保持软件堆栈符合 PCI 规范是有风险的。了解如何自行编译组件，并将其安装在 Apple 之外：这将保护您免受编写不当的软件更新（如最近的 Apple Perl/CPAN 更新错误）损坏或恢复您的安装。禁用 Apple 的 Apache 和 MySQL 并启用您自己的。

请查看 opensource.apple.com 和 www.macports.org 上的版本以获取指导。使用操作系统防火墙和网络防火墙阻止您无法/不应升级的软件（例如 Kerberos）。

考虑：

cd /usr/local/src/

tar -xf mysql-5.0.83.tar
cd mysql-5.0.83
./configure --prefix=/usr/local/mysql --enable-local-infile --enable-shared --enable-thread-safe-client --with-extra-charsets=complex
make clean     
make && make install

tar -xf httpd-2.2.11.tar
cd httpd-2.2.11
./configure --prefix=/usr/local/apache2 --enable-mods-shared=all 
make clean
make && make install

tar -xf php-5.2.10.tar
cd php-5.2.10
./configure --prefix=/usr/local/php-x --enable-dbase --enable-ftp --enable-mbstring --enable-xml --enable-zip --with-apxs2=/usr/local/apache2/bin/apxs

...

/Library/LaunchDaemons/com.your.httpd.plist

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>EnvironmentVariables</key>
<dict>
<key>DYLD_LIBRARY_PATH</key>
<string>/usr/local/apache2/lib</string>
</dict>
<key>Label</key>
<string>com.you.httpd</string>
<key>OnDemand</key>
<false/>
<key>ProgramArguments</key>
<array>
<string>/usr/local/apache2/bin/httpd</string>
<string>-D</string>
<string>FOREGROUND</string>
</array>
</dict>
</plist>

/Library/LaunchDaemons/com.your.mysqld.plist

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>KeepAlive</key>
<true/>
<key>Label</key>
<string>com.your.mysqld</string>
<key>Program</key>
<string>/usr/local/mysql/bin/mysqld_safe</string>
<key>RunAtLoad</key>
<true/>
<key>UserName</key>
<string>_mysql</string>
<key>WorkingDirectory</key>
<string>/usr/local/mysql</string>
</dict>
</plist>

Answer

依赖第三方（Apple 甚至 MacPorts）来保持软件堆栈符合 PCI 规范是有风险的。了解如何自行编译组件，并将其安装在 Apple 之外：这将保护您免受编写不当的软件更新（如最近的 Apple Perl/CPAN 更新错误）损坏或恢复您的安装。禁用 Apple 的 Apache 和 MySQL 并启用您自己的。

请查看 opensource.apple.com 和 www.macports.org 上的版本以获取指导。使用操作系统防火墙和网络防火墙阻止您无法/不应升级的软件（例如 Kerberos）。

考虑：

cd /usr/local/src/

tar -xf mysql-5.0.83.tar
cd mysql-5.0.83
./configure --prefix=/usr/local/mysql --enable-local-infile --enable-shared --enable-thread-safe-client --with-extra-charsets=complex
make clean     
make && make install

tar -xf httpd-2.2.11.tar
cd httpd-2.2.11
./configure --prefix=/usr/local/apache2 --enable-mods-shared=all 
make clean
make && make install

tar -xf php-5.2.10.tar
cd php-5.2.10
./configure --prefix=/usr/local/php-x --enable-dbase --enable-ftp --enable-mbstring --enable-xml --enable-zip --with-apxs2=/usr/local/apache2/bin/apxs

...

/Library/LaunchDaemons/com.your.httpd.plist

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>EnvironmentVariables</key>
<dict>
<key>DYLD_LIBRARY_PATH</key>
<string>/usr/local/apache2/lib</string>
</dict>
<key>Label</key>
<string>com.you.httpd</string>
<key>OnDemand</key>
<false/>
<key>ProgramArguments</key>
<array>
<string>/usr/local/apache2/bin/httpd</string>
<string>-D</string>
<string>FOREGROUND</string>
</array>
</dict>
</plist>

/Library/LaunchDaemons/com.your.mysqld.plist

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>KeepAlive</key>
<true/>
<key>Label</key>
<string>com.your.mysqld</string>
<key>Program</key>
<string>/usr/local/mysql/bin/mysqld_safe</string>
<key>RunAtLoad</key>
<true/>
<key>UserName</key>
<string>_mysql</string>
<key>WorkingDirectory</key>
<string>/usr/local/mysql</string>
</dict>
</plist>

Question 2

您可以从此处从 MacPorts 下载 PHP 5.2.9：http://www.macports.org/ports.php?by=name&substr=php（这是第三个），并且可以直接从 MySQL 下载 MySQL 5.1.35（比 5.1.9 新 26 个小版本）：http://dev.mysql.com/downloads/mysql/5.1.html#macosx-dmg

我无法说出 10.5.7 中包含的 Kerberos 5 的确切版本号，但 MIT 直接提供的最新版本是 1.7。您必须从源代码进行编译，我不知道它会对 Apple 的内置版本做什么，因此请确保在升级生产机箱之前在实验室/测试服务器上尝试上述任何操作。

Answer

您可以从此处从 MacPorts 下载 PHP 5.2.9：http://www.macports.org/ports.php?by=name&substr=php（这是第三个），并且可以直接从 MySQL 下载 MySQL 5.1.35（比 5.1.9 新 26 个小版本）：http://dev.mysql.com/downloads/mysql/5.1.html#macosx-dmg

我无法说出 10.5.7 中包含的 Kerberos 5 的确切版本号，但 MIT 直接提供的最新版本是 1.7。您必须从源代码进行编译，我不知道它会对 Apple 的内置版本做什么，因此请确保在升级生产机箱之前在实验室/测试服务器上尝试上述任何操作。

当 OS X 10.5.7 PHP 和 Kerberos 版本被视为“漏洞”时，如何让 OS X 10.5 盒式机符合 PCI 标准

答案1

答案2

相关内容