Передайте состояние Apache 500 404
Нахождение на нестандартном порте защищает Вас от сценариев "в лоб", которые принимают стандартный порт, но:
- Это не защитит от сценариев, которые делают сканирование портов или подобный, чтобы видеть, слушает ли mysql где-нибудь другой затем порт по умолчанию или что-то, чему удается подобрать правильный порт для попытки от информации в другом месте
- Если Ваш сервер базы данных действует только приложения (т.е. он вручает веб-приложения, не пользователей непосредственно), затем только, Ваши машины веб-сервера должны смочь соединиться так или иначе: удостоверьтесь любой порт, на котором это работает, защищен так только несколько хостов, которые должны соединиться, может соединиться
- Если пользователи кроме пользователя приложения действительно должны соединиться, хорошие политики паролей и правильно управляемые полномочия - то, что необходимо (и, возможно, только позвольте им соединиться по VPN или туннелю SSH вместо того, чтобы открыть mysql порт для более широкой сети),
Наличие его на порте не по умолчанию не причиняет вреда, но если другая безопасность не существует, это делает мало очень хорошее (это в лучшем случае увеличивает количество времени между успешными взломами вместо того, чтобы удалить риск), и с другой безопасностью, на месте перемещающейся в другой порт, не будет необходим.
Если я правильно понимаю, вы хотите уловить статус ошибки 500 в журналах, одновременно представляя обычную страницу поиска ошибок на ваш клиенты и сканеры.
Некоторые интернет-магазины делают это, чтобы «скрыть» более серьезные ошибки на своих сайтах от злоумышленников. Страница, которая генерирует статус ошибки 500, может быть хорошей целью для DOS-атаки. Просканируйте сайт, чтобы найти страницу, которая генерирует ошибку сервера 500, прочтите эти страницы, снова и снова активируйте неверный код, подождите, пока база данных не исчезнет.
Вы можете представить пользовательские страницы ошибок, используя ] ErrorDocument 500 yourerrorpage.html
Ошибка сканирования PCI из-за ошибки 500? Это немного странно. В любом случае ...
Настройте виртуальный хост по умолчанию (он у вас уже должен быть), который ничего не обслуживает; любые запросы, сделанные к нему, должны затем привести к 404.
<VirtualHost *:80>
ServerName *
DocumentRoot /var/empty
</VirtualHost>
Это было бы лучше сделать с помощью выходного фильтра, чем правила перезаписи.
Правило mod_rewrite должно было бы делать подзапрос на стороне, а затем решать, какой URL-адрес использовать, основываясь на что он вернул. Если подзапрос будет успешным, контент все равно будет отброшен, и вам придется повторить транзакцию в качестве основного запроса.
С другой стороны, выходной фильтр может перехватить ответ 500 и преобразовать его в 404.