Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2012-02-06 19:25:15

  desavil - Użytkownik

desavil
Użytkownik
Zarejestrowany: 2010-11-02

Apache2 - Katalog wyżej, zablokowanie

W jaki sposób mogę zablokować, aby możliwość przejście do katalogu wyżej niż domowy było niemożliwe?
Bo teraz można zobaczyć/zmienić praktycznie wszystkie pliki systemowe, po domyślnie zainstalowanym apache2.

PS. Wgrałem do testu shella c99 i mam dostęp do wszystkich plików.
Chcę u siebie tylko zablokować, aby był dostęp do plików które są ustawione, w document root.

Pozdrawiam.

Offline

 

#2  2012-02-06 19:32:08

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Apache2 - Katalog wyżej, zablokowanie

Nie ściemniasz przypadkiem?
Przecież Apache w Debianie domyślnie wyświetla zawartość /var/www i nie pozwala z tamtąd wyłazić w góre, o ile ktoś nie porobił jakichś kretyńskich dowiązań symbolicznych.

Jeśli natomiast masz na myśli jakieś hakerskie sztuczki, to zainteresuj się pojęciem chroot i modułem  mod_security2.

Jak natomiast potrzebujesz taki serwer z Apachem wystawiać na świat, to dodatkowo zainteresuj się modułami/pojęciami: Apparmor, Selinux, Grsecurity.

Do globalnej ochrony całego systemu nic lepszego od Grsec nie znajdziesz, choć jest dosć trudny w [url=http://www.gentoo.org/proj/pl/hardened/grsecurity2.xml?style=printable]konfiguracji[/url].
Mam na myśli politykę ACL w Grsec, ale z drugiej strony w Selinuxie jest jeszcze trudniej coś poprawić.

Ostatnio edytowany przez Jacekalex (2012-02-06 19:37:09)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2012-02-06 19:34:44

  desavil - Użytkownik

desavil
Użytkownik
Zarejestrowany: 2010-11-02

Re: Apache2 - Katalog wyżej, zablokowanie

[b]/etc/apache2/sites-available/default[/b]

Kod:

<VirtualHost *:8080>
    ServerAdmin webmaster@localhost

    DocumentRoot /home/user/www
    <Directory/home/user/www>
        Options FollowSymLinks
        AllowOverride None
    </Directory>
    <Directory /home/user/www>
        Options Indexes FollowSymLinks
        AllowOverride All
        Order allow,deny
        allow from all
    </Directory>

    ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
    <Directory "/usr/lib/cgi-bin">
        AllowOverride None
        Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
        Order allow,deny
        Allow from all
    </Directory>

    ErrorLog ${APACHE_LOG_DIR}/error.log

    # Possible values include: debug, info, notice, warn, error, crit,
    # alert, emerg.
    LogLevel warn

    CustomLog ${APACHE_LOG_DIR}/access.log combined

    Alias /doc/ "/usr/share/doc/"
    <Directory "/usr/share/doc/">
        Options Indexes MultiViews FollowSymLinks
        AllowOverride None
        Order deny,allow
        Deny from all
        Allow from 127.0.0.0/255.0.0.0 ::1/128
    </Directory>

</VirtualHost>

Tak mam ustawione, i mogę wyjść z katalogu :/

Offline

 

#4  2012-02-06 19:38:21

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Apache2 - Katalog wyżej, zablokowanie

A jak wywalisz wszystkie

Kod:

 FollowSymLinks

to dalej masz ten problem?

Poza tym jakim zapytniem możesz wtedy wyjść do katalogu / ?

Ostatnio edytowany przez Jacekalex (2012-02-06 19:41:06)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2012-02-06 19:40:32

  desavil - Użytkownik

desavil
Użytkownik
Zarejestrowany: 2010-11-02

Re: Apache2 - Katalog wyżej, zablokowanie

Tak, wywaliłem jeden, potem obydwa, zresetowałem apache i dalej są pliki widoczne.

Offline

 

#6  2012-02-06 19:41:47

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Apache2 - Katalog wyżej, zablokowanie

Jakim zapytniem możesz wtedy wyjść do katalogu / ?

Sprobuj też zmienić wszystkie 

Kod:

AllowOverride All

na

Kod:

 AllowOverride none

Poza tym po co dwa razy odwołujesz się do tej samej dokumentacji znacznikami Directory? w jednym się nie zmieściło?

Ostatnio edytowany przez Jacekalex (2012-02-06 19:46:17)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#7  2012-02-06 19:43:19

  desavil - Użytkownik

desavil
Użytkownik
Zarejestrowany: 2010-11-02

Re: Apache2 - Katalog wyżej, zablokowanie

Nie wiem dokładnie, jak napisałem wgrałem shella c99 (http://r57.gen.tr/c99.rar) do testów, czy serwer jest bezpieczny i nim mogę wyjść wyżej.

Nic to nie daje :/

Ostatnio edytowany przez desavil (2012-02-06 19:54:53)

Offline

 

#8  2012-02-06 19:54:08

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Apache2 - Katalog wyżej, zablokowanie

To gadaj, ze chodzi o php, a nie apacha.

Php to język programowania, w nim wszystko można.

Zainteresuj się funkcją safe-mode, jednak ta funkcja obecnie wylatuje z php, nie wiem, co ją zastąpi, czy zostaje wbudowana w język, czy co innego.
http://php.net/manual/pl/ini.sect.safe-mode.php

Choć ja bym się nie pieprzył, tylko wywalił Apacha do chroota,względnie użył mod_chroot Apacha, względnie raz a porządnie poprzez Grsecurity :D

Miałem to samo na lighttpd i php_fpm, jak włączylem safe-mode i ustawiłem open_basedir  na DokumentRoot serwera, to się skończyło.

Zainteresuj się też tym: http://www.hardened-php.net/suhosin/

Ostatnio edytowany przez Jacekalex (2012-02-06 20:23:34)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#9  2012-02-06 20:03:00

  desavil - Użytkownik

desavil
Użytkownik
Zarejestrowany: 2010-11-02

Re: Apache2 - Katalog wyżej, zablokowanie

Ok, już działa poprzez ustawienie safe_mode na On :)
mod_chroot zainstalowałem, nie wiem czy jeszcze coś tam muszę zmieniać/konfigurować?

Offline

 

#10  2012-02-06 20:06:33

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Apache2 - Katalog wyżej, zablokowanie

Coś tam trzeba ustawiać, ale w tej chwili nie pamiętam, bawiłem się Apachem ze dwa lata temu.

Tu masz *buntowy wiki: https://wiki.ubuntu.com/ModChroot
Inna sprawa, ze tam karzą montować /etc/passwd w chroocie, a ja bym tylko usera apache tam wrzucił.

Inną opcją chroota w Apachu ma mod security - najlepsze zabezpieczenie Apacha na poziomie samego serwera

Sznurek: http://www.modsecurity.org/documentation/modsecurity-apache/2.5.12/modsecurity2-apache-reference.html

Ostatnio edytowany przez Jacekalex (2012-02-07 14:23:40)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#11  2012-02-06 20:10:32

  desavil - Użytkownik

desavil
Użytkownik
Zarejestrowany: 2010-11-02

Re: Apache2 - Katalog wyżej, zablokowanie

Dzięki :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)

[ Generated in 0.011 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00012 SET CHARSET latin2
0.00005 SET NAMES latin2
0.00135 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.141.2.191' WHERE u.id=1
0.00108 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.141.2.191', 1732778729)
0.00044 SELECT * FROM punbb_online WHERE logged<1732778429
0.00063 SELECT topic_id FROM punbb_posts WHERE id=193505
0.00219 SELECT id FROM punbb_posts WHERE topic_id=20601 ORDER BY posted
0.00079 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=20601 AND t.moved_to IS NULL
0.00007 SELECT search_for, replace_with FROM punbb_censoring
0.00118 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=20601 ORDER BY p.id LIMIT 0,25
0.00094 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=20601
Total query time: 0.00884 s