1

最近、Ubuntu マシンに apache2 をインストールしましたが、セキュリティとユーザー権限についていくつか質問があります。他のポートでリッスンする方法、-Indexes を使用してインデックスを非表示にする方法、および同じマシンで新しい仮想ホストを作成/無効にする方法は知っていますが、標準のインストール構成には既に多くのユーザー オプションが事前設定されているので、よくわかりません。

このファイルがユーザーにシステム上での実行を許可していることを誰かが正確に説明できますか? 私はApacheのヘルプガイドとドキュメントを調べるのに多くの時間を費やしましたが、本当に必要なのは最初にここで何が起こっているのかを理解することです. 助けてください。

猫 /etc/apache2/sites-available/default

<VirtualHost *:80>
 ServerAdmin webmaster@localhost

 DocumentRoot /var/www
 <Directory />
  Options FollowSymLinks
  AllowOverride None
 </Directory>
 <Directory /var/www/>
  Options Indexes FollowSymLinks MultiViews
  AllowOverride None
  Order allow,deny
  allow from all
 </Directory>

 ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
 <Directory "/usr/lib/cgi-bin">
  AllowOverride None
  Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
  Order allow,deny
  Allow from all
 </Directory>

 ErrorLog /var/log/apache2/error.log

 # Possible values include: debug, info, notice, warn, error, crit,
 # alert, emerg.
 LogLevel warn

 CustomLog /var/log/apache2/access.log combined

    Alias /doc/ "/usr/share/doc/"
    <Directory "/usr/share/doc/">
        Options Indexes MultiViews FollowSymLinks
        AllowOverride None
        Order deny,allow
        Deny from all
        Allow from 127.0.0.0/255.0.0.0 ::1/128
    </Directory>

</VirtualHost>
4

1 に答える 1

0

Ubuntu のデフォルトの Apache 設定にセキュリティ上の問題があった場合、Canonical はそれを修正します。

そうは言っても、インストールを強化する方法があります。最も重要なことは、 mod_securityのインストールについて考える必要があることです。Apache よりもはるかに有害であるとすれば、Apache が公開するロジックです。PHP はよく設定が間違っているので、PHPSecInfoを実行して、できるだけ多くの赤と黄色を削除する必要があります。

価値のあるWebアプリの脆弱性スキャナーは、ディレクトリのリストを表示できることに文句を言うでしょう-Indexes。本番システムで必要です。

ログ ファイルを予測可能な場所に置くと、高度なLFI 攻撃を使用してリモートでコードが実行される可能性があります。

また、「最小権限アクセス」の原則に従う必要があります。/cgi-bin が必要ない場合は、削除してください。

于 2010-09-30T19:33:31.660 に答える