Forum Debian Users Gang

desavil · 2012-02-06 19:25:15

W jaki sposób mogę zablokować, aby możliwość przejście do katalogu wyżej niż domowy było niemożliwe?
Bo teraz można zobaczyć/zmienić praktycznie wszystkie pliki systemowe, po domyślnie zainstalowanym apache2.

PS. Wgrałem do testu shella c99 i mam dostęp do wszystkich plików.
Chcę u siebie tylko zablokować, aby był dostęp do plików które są ustawione, w document root.

Pozdrawiam.

Jacekalex · 2012-02-06 19:32:08

Nie ściemniasz przypadkiem?
Przecież Apache w Debianie domyślnie wyświetla zawartość /var/www i nie pozwala z tamtąd wyłazić w góre, o ile ktoś nie porobił jakichś kretyńskich dowiązań symbolicznych.

Jeśli natomiast masz na myśli jakieś hakerskie sztuczki, to zainteresuj się pojęciem chroot i modułem mod_security2.

Jak natomiast potrzebujesz taki serwer z Apachem wystawiać na świat, to dodatkowo zainteresuj się modułami/pojęciami: Apparmor, Selinux, Grsecurity.

Do globalnej ochrony całego systemu nic lepszego od Grsec nie znajdziesz, choć jest dosć trudny w konfiguracji.
Mam na myśli politykę ACL w Grsec, ale z drugiej strony w Selinuxie jest jeszcze trudniej coś poprawić.

Ostatnio edytowany przez Jacekalex (2012-02-06 19:37:09)

desavil · 2012-02-06 19:34:44

/etc/apache2/sites-available/default

Kod:

<VirtualHost *:8080>
    ServerAdmin webmaster@localhost

    DocumentRoot /home/user/www
    <Directory/home/user/www>
        Options FollowSymLinks
        AllowOverride None
    </Directory>
    <Directory /home/user/www>
        Options Indexes FollowSymLinks
        AllowOverride All
        Order allow,deny
        allow from all
    </Directory>

    ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
    <Directory "/usr/lib/cgi-bin">
        AllowOverride None
        Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
        Order allow,deny
        Allow from all
    </Directory>

    ErrorLog ${APACHE_LOG_DIR}/error.log

    # Possible values include: debug, info, notice, warn, error, crit,
    # alert, emerg.
    LogLevel warn

    CustomLog ${APACHE_LOG_DIR}/access.log combined

    Alias /doc/ "/usr/share/doc/"
    <Directory "/usr/share/doc/">
        Options Indexes MultiViews FollowSymLinks
        AllowOverride None
        Order deny,allow
        Deny from all
        Allow from 127.0.0.0/255.0.0.0 ::1/128
    </Directory>

</VirtualHost>

Tak mam ustawione, i mogę wyjść z katalogu :/

Jacekalex · 2012-02-06 19:38:21

A jak wywalisz wszystkie

Kod:

 FollowSymLinks

to dalej masz ten problem?

Poza tym jakim zapytniem możesz wtedy wyjść do katalogu / ?

Ostatnio edytowany przez Jacekalex (2012-02-06 19:41:06)

desavil · 2012-02-06 19:40:32

Tak, wywaliłem jeden, potem obydwa, zresetowałem apache i dalej są pliki widoczne.

Jacekalex · 2012-02-06 19:41:47

Jakim zapytniem możesz wtedy wyjść do katalogu / ?

Sprobuj też zmienić wszystkie

Kod:

AllowOverride All

na

Kod:

 AllowOverride none

Poza tym po co dwa razy odwołujesz się do tej samej dokumentacji znacznikami Directory? w jednym się nie zmieściło?

Ostatnio edytowany przez Jacekalex (2012-02-06 19:46:17)

desavil · 2012-02-06 19:43:19

Nie wiem dokładnie, jak napisałem wgrałem shella c99 (http://r57.gen.tr/c99.rar) do testów, czy serwer jest bezpieczny i nim mogę wyjść wyżej.

Nic to nie daje :/

Ostatnio edytowany przez desavil (2012-02-06 19:54:53)

Jacekalex · 2012-02-06 19:54:08

To gadaj, ze chodzi o php, a nie apacha.

Php to język programowania, w nim wszystko można.

Zainteresuj się funkcją safe-mode, jednak ta funkcja obecnie wylatuje z php, nie wiem, co ją zastąpi, czy zostaje wbudowana w język, czy co innego.
http://php.net/manual/pl/ini.sect.safe-mode.php

Choć ja bym się nie pieprzył, tylko wywalił Apacha do chroota,względnie użył mod_chroot Apacha, względnie raz a porządnie poprzez Grsecurity :D

Miałem to samo na lighttpd i php_fpm, jak włączylem safe-mode i ustawiłem open_basedir na DokumentRoot serwera, to się skończyło.

Zainteresuj się też tym: http://www.hardened-php.net/suhosin/

Ostatnio edytowany przez Jacekalex (2012-02-06 20:23:34)

desavil · 2012-02-06 20:03:00

Ok, już działa poprzez ustawienie safe_mode na On :)
mod_chroot zainstalowałem, nie wiem czy jeszcze coś tam muszę zmieniać/konfigurować?

Jacekalex · 2012-02-06 20:06:33

Coś tam trzeba ustawiać, ale w tej chwili nie pamiętam, bawiłem się Apachem ze dwa lata temu.

Tu masz *buntowy wiki: https://wiki.ubuntu.com/ModChroot
Inna sprawa, ze tam karzą montować /etc/passwd w chroocie, a ja bym tylko usera apache tam wrzucił.

Inną opcją chroota w Apachu ma mod security - najlepsze zabezpieczenie Apacha na poziomie samego serwera

Sznurek: http://www.modsecurity.org/documentation/modsecurit … eference.html

Ostatnio edytowany przez Jacekalex (2012-02-07 14:23:40)

desavil · 2012-02-06 20:10:32

Dzięki :)

Forum Debian Users Gang

Ogłoszenie

#1 2012-02-06 19:25:15

desavil - Użytkownik

Apache2 - Katalog wyżej, zablokowanie

#2 2012-02-06 19:32:08

Jacekalex - Podobno człowiek...;)

Re: Apache2 - Katalog wyżej, zablokowanie

#3 2012-02-06 19:34:44

desavil - Użytkownik

Re: Apache2 - Katalog wyżej, zablokowanie

Kod:

#4 2012-02-06 19:38:21

Jacekalex - Podobno człowiek...;)

Re: Apache2 - Katalog wyżej, zablokowanie

Kod:

#5 2012-02-06 19:40:32

desavil - Użytkownik

Re: Apache2 - Katalog wyżej, zablokowanie

#6 2012-02-06 19:41:47

Jacekalex - Podobno człowiek...;)

Re: Apache2 - Katalog wyżej, zablokowanie

Kod:

Kod:

#7 2012-02-06 19:43:19

desavil - Użytkownik

Re: Apache2 - Katalog wyżej, zablokowanie

#8 2012-02-06 19:54:08

Jacekalex - Podobno człowiek...;)

Re: Apache2 - Katalog wyżej, zablokowanie

#9 2012-02-06 20:03:00

desavil - Użytkownik

Re: Apache2 - Katalog wyżej, zablokowanie

#10 2012-02-06 20:06:33

Jacekalex - Podobno człowiek...;)

Re: Apache2 - Katalog wyżej, zablokowanie

#11 2012-02-06 20:10:32

desavil - Użytkownik

Re: Apache2 - Katalog wyżej, zablokowanie

Stopka forum