Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2012-02-06 19:25:15

  desavil - Użytkownik

desavil
Użytkownik
Zarejestrowany: 2010-11-02

Apache2 - Katalog wyżej, zablokowanie

W jaki sposób mogę zablokować, aby możliwość przejście do katalogu wyżej niż domowy było niemożliwe?
Bo teraz można zobaczyć/zmienić praktycznie wszystkie pliki systemowe, po domyślnie zainstalowanym apache2.

PS. Wgrałem do testu shella c99 i mam dostęp do wszystkich plików.
Chcę u siebie tylko zablokować, aby był dostęp do plików które są ustawione, w document root.

Pozdrawiam.

Offline

 

#2  2012-02-06 19:32:08

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Apache2 - Katalog wyżej, zablokowanie

Nie ściemniasz przypadkiem?
Przecież Apache w Debianie domyślnie wyświetla zawartość /var/www i nie pozwala z tamtąd wyłazić w góre, o ile ktoś nie porobił jakichś kretyńskich dowiązań symbolicznych.

Jeśli natomiast masz na myśli jakieś hakerskie sztuczki, to zainteresuj się pojęciem chroot i modułem  mod_security2.

Jak natomiast potrzebujesz taki serwer z Apachem wystawiać na świat, to dodatkowo zainteresuj się modułami/pojęciami: Apparmor, Selinux, Grsecurity.

Do globalnej ochrony całego systemu nic lepszego od Grsec nie znajdziesz, choć jest dosć trudny w konfiguracji.
Mam na myśli politykę ACL w Grsec, ale z drugiej strony w Selinuxie jest jeszcze trudniej coś poprawić.

Ostatnio edytowany przez Jacekalex (2012-02-06 19:37:09)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2012-02-06 19:34:44

  desavil - Użytkownik

desavil
Użytkownik
Zarejestrowany: 2010-11-02

Re: Apache2 - Katalog wyżej, zablokowanie

/etc/apache2/sites-available/default

Kod:

<VirtualHost *:8080>
    ServerAdmin webmaster@localhost

    DocumentRoot /home/user/www
    <Directory/home/user/www>
        Options FollowSymLinks
        AllowOverride None
    </Directory>
    <Directory /home/user/www>
        Options Indexes FollowSymLinks
        AllowOverride All
        Order allow,deny
        allow from all
    </Directory>

    ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
    <Directory "/usr/lib/cgi-bin">
        AllowOverride None
        Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
        Order allow,deny
        Allow from all
    </Directory>

    ErrorLog ${APACHE_LOG_DIR}/error.log

    # Possible values include: debug, info, notice, warn, error, crit,
    # alert, emerg.
    LogLevel warn

    CustomLog ${APACHE_LOG_DIR}/access.log combined

    Alias /doc/ "/usr/share/doc/"
    <Directory "/usr/share/doc/">
        Options Indexes MultiViews FollowSymLinks
        AllowOverride None
        Order deny,allow
        Deny from all
        Allow from 127.0.0.0/255.0.0.0 ::1/128
    </Directory>

</VirtualHost>

Tak mam ustawione, i mogę wyjść z katalogu :/

Offline

 

#4  2012-02-06 19:38:21

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Apache2 - Katalog wyżej, zablokowanie

A jak wywalisz wszystkie

Kod:

 FollowSymLinks

to dalej masz ten problem?

Poza tym jakim zapytniem możesz wtedy wyjść do katalogu / ?

Ostatnio edytowany przez Jacekalex (2012-02-06 19:41:06)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2012-02-06 19:40:32

  desavil - Użytkownik

desavil
Użytkownik
Zarejestrowany: 2010-11-02

Re: Apache2 - Katalog wyżej, zablokowanie

Tak, wywaliłem jeden, potem obydwa, zresetowałem apache i dalej są pliki widoczne.

Offline

 

#6  2012-02-06 19:41:47

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Apache2 - Katalog wyżej, zablokowanie

Jakim zapytniem możesz wtedy wyjść do katalogu / ?

Sprobuj też zmienić wszystkie 

Kod:

AllowOverride All

na

Kod:

 AllowOverride none

Poza tym po co dwa razy odwołujesz się do tej samej dokumentacji znacznikami Directory? w jednym się nie zmieściło?

Ostatnio edytowany przez Jacekalex (2012-02-06 19:46:17)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#7  2012-02-06 19:43:19

  desavil - Użytkownik

desavil
Użytkownik
Zarejestrowany: 2010-11-02

Re: Apache2 - Katalog wyżej, zablokowanie

Nie wiem dokładnie, jak napisałem wgrałem shella c99 (http://r57.gen.tr/c99.rar) do testów, czy serwer jest bezpieczny i nim mogę wyjść wyżej.

Nic to nie daje :/

Ostatnio edytowany przez desavil (2012-02-06 19:54:53)

Offline

 

#8  2012-02-06 19:54:08

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Apache2 - Katalog wyżej, zablokowanie

To gadaj, ze chodzi o php, a nie apacha.

Php to język programowania, w nim wszystko można.

Zainteresuj się funkcją safe-mode, jednak ta funkcja obecnie wylatuje z php, nie wiem, co ją zastąpi, czy zostaje wbudowana w język, czy co innego.
http://php.net/manual/pl/ini.sect.safe-mode.php

Choć ja bym się nie pieprzył, tylko wywalił Apacha do chroota,względnie użył mod_chroot Apacha, względnie raz a porządnie poprzez Grsecurity :D

Miałem to samo na lighttpd i php_fpm, jak włączylem safe-mode i ustawiłem open_basedir  na DokumentRoot serwera, to się skończyło.

Zainteresuj się też tym: http://www.hardened-php.net/suhosin/

Ostatnio edytowany przez Jacekalex (2012-02-06 20:23:34)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#9  2012-02-06 20:03:00

  desavil - Użytkownik

desavil
Użytkownik
Zarejestrowany: 2010-11-02

Re: Apache2 - Katalog wyżej, zablokowanie

Ok, już działa poprzez ustawienie safe_mode na On :)
mod_chroot zainstalowałem, nie wiem czy jeszcze coś tam muszę zmieniać/konfigurować?

Offline

 

#10  2012-02-06 20:06:33

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Apache2 - Katalog wyżej, zablokowanie

Coś tam trzeba ustawiać, ale w tej chwili nie pamiętam, bawiłem się Apachem ze dwa lata temu.

Tu masz *buntowy wiki: https://wiki.ubuntu.com/ModChroot
Inna sprawa, ze tam karzą montować /etc/passwd w chroocie, a ja bym tylko usera apache tam wrzucił.

Inną opcją chroota w Apachu ma mod security - najlepsze zabezpieczenie Apacha na poziomie samego serwera

Sznurek: http://www.modsecurity.org/documentation/modsecurit … eference.html

Ostatnio edytowany przez Jacekalex (2012-02-07 14:23:40)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#11  2012-02-06 20:10:32

  desavil - Użytkownik

desavil
Użytkownik
Zarejestrowany: 2010-11-02

Re: Apache2 - Katalog wyżej, zablokowanie

Dzięki :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)