Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
W jaki sposób mogę zablokować, aby możliwość przejście do katalogu wyżej niż domowy było niemożliwe?
Bo teraz można zobaczyć/zmienić praktycznie wszystkie pliki systemowe, po domyślnie zainstalowanym apache2.
PS. Wgrałem do testu shella c99 i mam dostęp do wszystkich plików.
Chcę u siebie tylko zablokować, aby był dostęp do plików które są ustawione, w document root.
Pozdrawiam.
Offline
Nie ściemniasz przypadkiem?
Przecież Apache w Debianie domyślnie wyświetla zawartość /var/www i nie pozwala z tamtąd wyłazić w góre, o ile ktoś nie porobił jakichś kretyńskich dowiązań symbolicznych.
Jeśli natomiast masz na myśli jakieś hakerskie sztuczki, to zainteresuj się pojęciem chroot i modułem mod_security2.
Jak natomiast potrzebujesz taki serwer z Apachem wystawiać na świat, to dodatkowo zainteresuj się modułami/pojęciami: Apparmor, Selinux, Grsecurity.
Do globalnej ochrony całego systemu nic lepszego od Grsec nie znajdziesz, choć jest dosć trudny w [url=http://www.gentoo.org/proj/pl/hardened/grsecurity2.xml?style=printable]konfiguracji[/url].
Mam na myśli politykę ACL w Grsec, ale z drugiej strony w Selinuxie jest jeszcze trudniej coś poprawić.
Ostatnio edytowany przez Jacekalex (2012-02-06 19:37:09)
Offline
[b]/etc/apache2/sites-available/default[/b]
<VirtualHost *:8080> ServerAdmin webmaster@localhost DocumentRoot /home/user/www <Directory/home/user/www> Options FollowSymLinks AllowOverride None </Directory> <Directory /home/user/www> Options Indexes FollowSymLinks AllowOverride All Order allow,deny allow from all </Directory> ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/ <Directory "/usr/lib/cgi-bin"> AllowOverride None Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch Order allow,deny Allow from all </Directory> ErrorLog ${APACHE_LOG_DIR}/error.log # Possible values include: debug, info, notice, warn, error, crit, # alert, emerg. LogLevel warn CustomLog ${APACHE_LOG_DIR}/access.log combined Alias /doc/ "/usr/share/doc/" <Directory "/usr/share/doc/"> Options Indexes MultiViews FollowSymLinks AllowOverride None Order deny,allow Deny from all Allow from 127.0.0.0/255.0.0.0 ::1/128 </Directory> </VirtualHost>
Tak mam ustawione, i mogę wyjść z katalogu :/
Offline
A jak wywalisz wszystkie
FollowSymLinks
to dalej masz ten problem?
Poza tym jakim zapytniem możesz wtedy wyjść do katalogu / ?
Ostatnio edytowany przez Jacekalex (2012-02-06 19:41:06)
Offline
Tak, wywaliłem jeden, potem obydwa, zresetowałem apache i dalej są pliki widoczne.
Offline
Jakim zapytniem możesz wtedy wyjść do katalogu / ?
Sprobuj też zmienić wszystkie
AllowOverride All
na
AllowOverride none
Poza tym po co dwa razy odwołujesz się do tej samej dokumentacji znacznikami Directory? w jednym się nie zmieściło?
Ostatnio edytowany przez Jacekalex (2012-02-06 19:46:17)
Offline
Nie wiem dokładnie, jak napisałem wgrałem shella c99 (http://r57.gen.tr/c99.rar) do testów, czy serwer jest bezpieczny i nim mogę wyjść wyżej.
Nic to nie daje :/
Ostatnio edytowany przez desavil (2012-02-06 19:54:53)
Offline
To gadaj, ze chodzi o php, a nie apacha.
Php to język programowania, w nim wszystko można.
Zainteresuj się funkcją safe-mode, jednak ta funkcja obecnie wylatuje z php, nie wiem, co ją zastąpi, czy zostaje wbudowana w język, czy co innego.
http://php.net/manual/pl/ini.sect.safe-mode.php
Choć ja bym się nie pieprzył, tylko wywalił Apacha do chroota,względnie użył mod_chroot Apacha, względnie raz a porządnie poprzez Grsecurity :D
Miałem to samo na lighttpd i php_fpm, jak włączylem safe-mode i ustawiłem open_basedir na DokumentRoot serwera, to się skończyło.
Zainteresuj się też tym: http://www.hardened-php.net/suhosin/
Ostatnio edytowany przez Jacekalex (2012-02-06 20:23:34)
Offline
Ok, już działa poprzez ustawienie safe_mode na On :)
mod_chroot zainstalowałem, nie wiem czy jeszcze coś tam muszę zmieniać/konfigurować?
Offline
Coś tam trzeba ustawiać, ale w tej chwili nie pamiętam, bawiłem się Apachem ze dwa lata temu.
Tu masz *buntowy wiki: https://wiki.ubuntu.com/ModChroot
Inna sprawa, ze tam karzą montować /etc/passwd w chroocie, a ja bym tylko usera apache tam wrzucił.
Inną opcją chroota w Apachu ma mod security - najlepsze zabezpieczenie Apacha na poziomie samego serwera
Sznurek: http://www.modsecurity.org/documentation/modsecurity-apache/2.5.12/modsecurity2-apache-reference.html
Ostatnio edytowany przez Jacekalex (2012-02-07 14:23:40)
Offline
Dzięki :)
Offline
Time (s) | Query |
---|---|
0.00012 | SET CHARSET latin2 |
0.00005 | SET NAMES latin2 |
0.00135 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.141.2.191' WHERE u.id=1 |
0.00108 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.141.2.191', 1732778729) |
0.00044 | SELECT * FROM punbb_online WHERE logged<1732778429 |
0.00063 | SELECT topic_id FROM punbb_posts WHERE id=193505 |
0.00219 | SELECT id FROM punbb_posts WHERE topic_id=20601 ORDER BY posted |
0.00079 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=20601 AND t.moved_to IS NULL |
0.00007 | SELECT search_for, replace_with FROM punbb_censoring |
0.00118 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=20601 ORDER BY p.id LIMIT 0,25 |
0.00094 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=20601 |
Total query time: 0.00884 s |