Forum Debian Users Gang

desavil · 2012-02-06 19:25:15

W jaki sposób mogę zablokować, aby możliwość przejście do katalogu wyżej niż domowy było niemożliwe?
Bo teraz można zobaczyć/zmienić praktycznie wszystkie pliki systemowe, po domyślnie zainstalowanym apache2.

PS. Wgrałem do testu shella c99 i mam dostęp do wszystkich plików.
Chcę u siebie tylko zablokować, aby był dostęp do plików które są ustawione, w document root.

Pozdrawiam.

Jacekalex · 2012-02-06 19:32:08

Nie ściemniasz przypadkiem?
Przecież Apache w Debianie domyślnie wyświetla zawartość /var/www i nie pozwala z tamtąd wyłazić w góre, o ile ktoś nie porobił jakichś kretyńskich dowiązań symbolicznych.

Jeśli natomiast masz na myśli jakieś hakerskie sztuczki, to zainteresuj się pojęciem chroot i modułem mod_security2.

Jak natomiast potrzebujesz taki serwer z Apachem wystawiać na świat, to dodatkowo zainteresuj się modułami/pojęciami: Apparmor, Selinux, Grsecurity.

Do globalnej ochrony całego systemu nic lepszego od Grsec nie znajdziesz, choć jest dosć trudny w [url=http://www.gentoo.org/proj/pl/hardened/grsecurity2.xml?style=printable]konfiguracji[/url].
Mam na myśli politykę ACL w Grsec, ale z drugiej strony w Selinuxie jest jeszcze trudniej coś poprawić.

Ostatnio edytowany przez Jacekalex (2012-02-06 19:37:09)

desavil · 2012-02-06 19:34:44

[b]/etc/apache2/sites-available/default[/b]

Kod:

<VirtualHost *:8080>
    ServerAdmin webmaster@localhost

    DocumentRoot /home/user/www
    <Directory/home/user/www>
        Options FollowSymLinks
        AllowOverride None
    </Directory>
    <Directory /home/user/www>
        Options Indexes FollowSymLinks
        AllowOverride All
        Order allow,deny
        allow from all
    </Directory>

    ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
    <Directory "/usr/lib/cgi-bin">
        AllowOverride None
        Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
        Order allow,deny
        Allow from all
    </Directory>

    ErrorLog ${APACHE_LOG_DIR}/error.log

    # Possible values include: debug, info, notice, warn, error, crit,
    # alert, emerg.
    LogLevel warn

    CustomLog ${APACHE_LOG_DIR}/access.log combined

    Alias /doc/ "/usr/share/doc/"
    <Directory "/usr/share/doc/">
        Options Indexes MultiViews FollowSymLinks
        AllowOverride None
        Order deny,allow
        Deny from all
        Allow from 127.0.0.0/255.0.0.0 ::1/128
    </Directory>

</VirtualHost>

Tak mam ustawione, i mogę wyjść z katalogu :/

Jacekalex · 2012-02-06 19:38:21

A jak wywalisz wszystkie

Kod:

 FollowSymLinks

to dalej masz ten problem?

Poza tym jakim zapytniem możesz wtedy wyjść do katalogu / ?

Ostatnio edytowany przez Jacekalex (2012-02-06 19:41:06)

desavil · 2012-02-06 19:40:32

Tak, wywaliłem jeden, potem obydwa, zresetowałem apache i dalej są pliki widoczne.

Jacekalex · 2012-02-06 19:41:47

Jakim zapytniem możesz wtedy wyjść do katalogu / ?

Sprobuj też zmienić wszystkie

Kod:

AllowOverride All

na

Kod:

 AllowOverride none

Poza tym po co dwa razy odwołujesz się do tej samej dokumentacji znacznikami Directory? w jednym się nie zmieściło?

Ostatnio edytowany przez Jacekalex (2012-02-06 19:46:17)

desavil · 2012-02-06 19:43:19

Nie wiem dokładnie, jak napisałem wgrałem shella c99 (http://r57.gen.tr/c99.rar) do testów, czy serwer jest bezpieczny i nim mogę wyjść wyżej.

Nic to nie daje :/

Ostatnio edytowany przez desavil (2012-02-06 19:54:53)

Jacekalex · 2012-02-06 19:54:08

To gadaj, ze chodzi o php, a nie apacha.

Php to język programowania, w nim wszystko można.

Zainteresuj się funkcją safe-mode, jednak ta funkcja obecnie wylatuje z php, nie wiem, co ją zastąpi, czy zostaje wbudowana w język, czy co innego.
http://php.net/manual/pl/ini.sect.safe-mode.php

Choć ja bym się nie pieprzył, tylko wywalił Apacha do chroota,względnie użył mod_chroot Apacha, względnie raz a porządnie poprzez Grsecurity :D

Miałem to samo na lighttpd i php_fpm, jak włączylem safe-mode i ustawiłem open_basedir na DokumentRoot serwera, to się skończyło.

Zainteresuj się też tym: http://www.hardened-php.net/suhosin/

Ostatnio edytowany przez Jacekalex (2012-02-06 20:23:34)

desavil · 2012-02-06 20:03:00

Ok, już działa poprzez ustawienie safe_mode na On :)
mod_chroot zainstalowałem, nie wiem czy jeszcze coś tam muszę zmieniać/konfigurować?

Jacekalex · 2012-02-06 20:06:33

Coś tam trzeba ustawiać, ale w tej chwili nie pamiętam, bawiłem się Apachem ze dwa lata temu.

Tu masz *buntowy wiki: https://wiki.ubuntu.com/ModChroot
Inna sprawa, ze tam karzą montować /etc/passwd w chroocie, a ja bym tylko usera apache tam wrzucił.

Inną opcją chroota w Apachu ma mod security - najlepsze zabezpieczenie Apacha na poziomie samego serwera

Sznurek: http://www.modsecurity.org/documentation/modsecurity-apache/2.5.12/modsecurity2-apache-reference.html

Ostatnio edytowany przez Jacekalex (2012-02-07 14:23:40)

desavil · 2012-02-06 20:10:32

Dzięki :)

Time (s)	Query
0.00010	SET CHARSET latin2
0.00005	SET NAMES latin2
0.00105	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.140.186.189' WHERE u.id=1
0.00070	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.140.186.189', 1732460564)
0.00048	SELECT * FROM punbb_online WHERE logged<1732460264
0.00038	SELECT topic_id FROM punbb_posts WHERE id=193503
0.00006	SELECT id FROM punbb_posts WHERE topic_id=20601 ORDER BY posted
0.00054	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=20601 AND t.moved_to IS NULL
0.00005	SELECT search_for, replace_with FROM punbb_censoring
0.00145	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=20601 ORDER BY p.id LIMIT 0,25
0.00079	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=20601
Total query time: 0.00565 s

Forum Debian Users Gang

Ogłoszenie

#1 2012-02-06 19:25:15

desavil - Użytkownik

Apache2 - Katalog wyżej, zablokowanie

#2 2012-02-06 19:32:08

Jacekalex - Podobno człowiek...;)

Re: Apache2 - Katalog wyżej, zablokowanie

#3 2012-02-06 19:34:44

desavil - Użytkownik

Re: Apache2 - Katalog wyżej, zablokowanie

Kod:

#4 2012-02-06 19:38:21

Jacekalex - Podobno człowiek...;)

Re: Apache2 - Katalog wyżej, zablokowanie

Kod:

#5 2012-02-06 19:40:32

desavil - Użytkownik

Re: Apache2 - Katalog wyżej, zablokowanie

#6 2012-02-06 19:41:47

Jacekalex - Podobno człowiek...;)

Re: Apache2 - Katalog wyżej, zablokowanie

Kod:

Kod:

#7 2012-02-06 19:43:19

desavil - Użytkownik

Re: Apache2 - Katalog wyżej, zablokowanie

#8 2012-02-06 19:54:08

Jacekalex - Podobno człowiek...;)

Re: Apache2 - Katalog wyżej, zablokowanie

#9 2012-02-06 20:03:00

desavil - Użytkownik

Re: Apache2 - Katalog wyżej, zablokowanie

#10 2012-02-06 20:06:33

Jacekalex - Podobno człowiek...;)

Re: Apache2 - Katalog wyżej, zablokowanie

#11 2012-02-06 20:10:32

desavil - Użytkownik

Re: Apache2 - Katalog wyżej, zablokowanie

Stopka forum

Informacje debugowania