Надежно учетные данные хранилища для веб-приложения

Question

Надежно учетные данные хранилища для веб-приложения

Можно перечислить пакеты, с установкой которых явно требовали apt-mark.

apt-mark showmanual

В случае, если Вы выполняете древний выпуск Debian, вот ручной путь.

Следующая команда дает список пакетов, установку которых требовали, или вручную или автоматически. Если Вы не посреди (de) установка пакетов, это - список установленных пакетов.

dpkg --get-selections | sed -n 's/\t\+install$//p'

Следующая команда дает надмножество автоматически установленных пакетов:

Соединяя все это, следующие списки команд вручную установили пакеты:

comm -23 <(dpkg --get-selections | sed -n 's/\t\+install$//p') \
         <(


         
            1

         
         
            apache-2.2 security credentials         
         
         
            задан Will
            13 June 2012 в 21:17 
         
         
         Ссылка


    2 ответа


  
    
   
   
      

      
         
                     
      

         
         
            
               
                  
                     Make the apache user a no shell user:

Example:

chsh -s /sbin/nologin apache
                  
                  2

                  
                  
                     ответ дан 
                     3 December 2019 в 21:47 
                  
                  Ссылка
               
                              
                  
                     
      
                                         
                  
               
            
         
         
         
            
               
                  

                    

                  
              
           

   
         
            
               
                  
                      mod_wsgi  может запускаться от имени другого пользователя, поэтому реализуйте его и соответствующим образом настройте разрешения файловой системы. 

 Если apache запускается от имени root, заставьте его также сбросить привилегии и работать под еще одна учетная запись без доступа к файлам wsgi. 

 Интересно, нужно ли вам оценивать ущерб, нанесенный  mod_wsgi  обстрелом :) 

 Редактировать: 
будьте осторожны,  chsh  'ввод пользователя apache в  логин   не  предотвращает доступ к оболочке, если процесс Apache будет поражен эксплойтом. Я бы посмотрел на  selinux , если это серьезная проблема. 
                  
                  0

                  
                  
                     ответ дан 
                     3 December 2019 в 21:47 
                  
                  Ссылка
               
                              
                  
                     
      
                                         
                  
               
            
         
         
              



      
        Теги
        
         apache-2.2 security credentials       

        Похожие вопросы
        
          
                          2314 
 Наш аудитор безопасности является идиотом. Как я даю ему информацию, которую он хочет? - 12 July 2017 05:50 
                            602 
 Как я имею дело с поставленным под угрозу сервером? - 13 April 2017 15:14 
                            359 
 Как Вы ищете бэкдоры от предыдущего человека IT? - 26 May 2011 19:02 
                            313 
 Какие полномочия мои файлы/папки веб-сайта должны иметь на веб-сервере Linux? - 18 December 2013 21:41 
                            313 
 Какие полномочия мои файлы/папки веб-сайта должны иметь на веб-сервере Linux? - 18 December 2013 21:41 
                            264 
 Перенаправление, URL изменения или перенаправление HTTP к HTTPS в Apache - все Вы когда-либо требуемый для знания о правилах Mod_Rewrite, но боялись спросить - 13 February 2015 03:26 
                            248 
 Это плохо для перенаправления http к https? - 24 February 2016 08:26 
                            221 
 Обнаружение, что пользовательский Apache выполняет как? - 2 September 2014 06:19 
                            204 
 Heartbleed: Что это и что опции состоят в том, чтобы смягчить его? - 17 March 2017 12:13 
                            196 
 Действительно ли нормально получить сотни попыток взлома в день? - 9 March 2011 14:29 
                            152 
 Команда для проверки законности файлов конфигурации сервера Apache - 25 July 2018 04:34 
                            138 
 Возможный изменить адрес электронной почты в паре ключей? - 8 September 2011 02:12 
                            120 
 Как делает CTRL-ALT-DEL для входа в систему, делают Windows более безопасным? - 3 September 2015 06:10 
                            117 
 Как обработать обновления системы защиты в контейнерах Докера? - 6 December 2016 15:29 
                            109 
 Несколько доменов SSL на том же IP-адресе и том же порте? - 13 April 2017 15:14

score 2 · Answer 1 · 3 December 2019 в 21:47

Make the apache user a no shell user:

Example:

chsh -s /sbin/nologin apache

2

ответ дан 3 December 2019 в 21:47

Ссылка

score 0 · Answer 2 · 3 December 2019 в 21:47

mod_wsgi может запускаться от имени другого пользователя, поэтому реализуйте его и соответствующим образом настройте разрешения файловой системы.

Если apache запускается от имени root, заставьте его также сбросить привилегии и работать под еще одна учетная запись без доступа к файлам wsgi.

Интересно, нужно ли вам оценивать ущерб, нанесенный mod_wsgi обстрелом :)

Редактировать: будьте осторожны, chsh 'ввод пользователя apache в логин не предотвращает доступ к оболочке, если процесс Apache будет поражен эксплойтом. Я бы посмотрел на selinux , если это серьезная проблема.