Вопросы Теги

Журнал ошибок Apache - “веб-Путь” вместо Пути Файловой системы

http://htmldoc.org/ может помочь.

2
задан 13 June 2010 в 19:37
2 ответа

Я рассмотрел бы это продвижение в область безопасности через мрак. Если бы Вы считаете путь показанным локальному пользователю риск, я рекомендовал бы пересмотреть относительно того, является ли пользователь, имеющий доступ к системе, большим риском, чем выравнивание для них, чтобы иметь доступ.

Также известно, что Apache будет часто раскрывать более опасные данные, чем пути файловой системы как результат ошибок приложения. Если Вы настаиваете на том, чтобы запутывать путь в журналах, нет никакой собственной поддержки этого в Apache. Тем не менее, Вы смогли бы создать эту производительность путем передачи по каналу журналов Apache через сценарий или потенциально sed использование Переданных по каналу Журналов.

Если требуется далее укрепить локальную систему против локальных пользователей, существует множество более материальных методов, которые могли оказаться полезными. Список ниже фокусируется на локальном укреплении и не всесторонний, но должен быть полезной начальной точкой.

  • Удаление SUID укусило из большинства файлов
  • Аудит любых файлов или каталогов, которые перезаписываемы ко всем.
  • Удаление инструментов компиляции кода.
  • Удаление абсолютно всего программного обеспечения включая инструменты пространства пользователя, которые не являются неотъемлемой частью роли системы.
  • Конфигурирование пакетной фильтрации для ограничения внешнего доступа к только тому, что выравнивается по ширине для определенной цели системной роли и операции.
  • Включение и конфигурирование SELinux
  • Примените и настройте Расширенную политику Атрибута файла
  • Используя Файловую систему ACLs для дальнейшего совершенствования доступа к данным по локальной системе

В то время как не было выпуска с 2008, некоторые политики, примененные в Бастилии, Linux также обеспечивает общую базовую линию для укрепления серверов Linux.

Многие из этих вещей сделают систему более трудной использовать и администрировать, который может расстроить пользователей многопользовательской системы, которые имеют доступ оболочки. Тем не менее, если безопасность будет абсолютным приоритетом, то перечисленные методы укрепят Вашу систему кроме того средней многопользовательской системы.

3
ответ дан 3 December 2019 в 10:23
  • 1
    Спасибо Сигнализатор для получения информации. Я хочу добавить это I' m выполнение безопасности С мраком, который не является тем же как безопасностью ЧЕРЕЗ мрак. I' ve уже реализовал многие положительные моменты, которые Вы упомянули. Я просто заметил это на днях и думал, что, очевидно, будет намного лучше не показать путь ОС. Еще раз спасибо. –   13 June 2010 в 20:50

Необходимо изменить LogFormat для журналов доступа пользователей. Переменная %U содержит путь theURL, который требуют, не включая любую строку запроса, которая является, вероятно, что Вы ищете.

1
ответ дан 3 December 2019 в 10:23
  • 1
    Привет joschi. AFAI, Вы can' t настраивают формат журнала ошибок (просто журнал доступа) :( –   14 June 2010 в 15:11
  • 2
    @Craconia: Конечно, you' право ре. Я отчасти пропустил Ваше намерение изменить формат Вашего ErrorLog. Это только возможно путем изменения Apache httpd' s исходный код. Вы могли, однако, передать по каналу ErrorLog через простой сценарий, который заменяет или сокращает каждое происшествие полного пути файла на Вашем сервере. Это должно работать относительно производительное с sed, например. –  joschi 14 June 2010 в 18:55

Теги

Похожие вопросы