HTTPD et securite | Comment proceder ? - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 19-11-2004 à 14:24:04
Déjà il est surement lancé avec l'utilisateur/groupe apache et non pas en root.
Ensuite, tu peux virer tous les modules dont tu te sers pas.
Check régulièrement les logs et sites de sécu (notamment http://www.apacheweek.com/features/security-20 ).
Pour ta dernière question : oui ça se gère au niveau du virtual host mais tu peux aussi faire ça au niveau des engeristrements de ressources (records type) : mais dans ce cas là, c'est pour rediriger http://blabla.tondomaine.org sur une IP qui ne t'appartient pas, avec bien sûr un serveur http derrière.
Marsh Posté le 19-11-2004 à 14:27:23
tu peux aussi tenter un chroot
Marsh Posté le 19-11-2004 à 14:32:04
dnas mon httpd.conf j'ai user apache
group apache ca serai ca alors les utilisateur du lancement.
donc deja ya un peu plus de securite que je ne le penssai
Merci pour les liens, je vais taffer ca cet aprem.
Marsh Posté le 19-11-2004 à 15:01:09
quelq'un a une idée pour ma deuxieme question:
pour le blocage des repertoire non desirer ?
Marsh Posté le 19-11-2004 à 15:07:41
cortx a écrit : dnas mon httpd.conf j'ai user apache |
Oui c'est ça. D'ailleurs si tu fais un ps aux | grep apache tu verras qu'apache est lancé en tant que root (obligé pour le port 80) et en tant que apache.
J'y pense mais voila aussi 2, 3 trucs à faire :
Pour les DDoS apache configure par défaut t'as pas besoin de t'en souciet
Les signatures qui permettent de connaitre la version d'apache, faut les virer (quand tu telnet 80 dessus ou que tu spécifies un rép/fichier qui n'existe pas)
Concernant le directory listing, apache2 l'empêche aussi par défaut.
Marsh Posté le 19-11-2004 à 15:13:15
cortx a écrit : quelq'un a une idée pour ma deuxieme question: |
J'ai pas bien compris ce que tu veux faire, mais si tu veux empêcher un répertoire x d'être vu, le meilleur moyen c'est de foutre un .htaccess avec dedans deny from all.
Tu peux aussi foutre ça sur la racine avec un :
<Directory />
Order deny,allow
Deny from all
</Directory>
Puis configurer l'accès aux répertoires tu veux autoriser.
Marsh Posté le 19-11-2004 à 15:36:32
k merci.
Pour les DoS, justement je venais de lire ca sur un autre forum, et c'ets en cours.
En fait pour mon clocage ce que je veux essayer de faire c'ets empecher quequ'un arrivant a rentrer sur mon serveur de se creer un repertoire et de venir stocker plein de merde dessus.
En bloquand donc les acces au repertoire non specifier par moi dnas le httpd.conf, je limite deja ca.
Ce que tu appel directory listing c'ets "Option Indexes -Multiviews" ?
Je viens aussi de voir sur le site de apache france que ils ont changer le user et le group apach en nobody, ca a un interet speciale ou pas.
je pense que oui vu qu'il le mette mais normalement apache n'as pas les droit root.
Marsh Posté le 19-11-2004 à 16:12:37
Pour qu'un squatteur puisse arriver à déposer des fichiers, faudrait qu'il ait des droits qqpart déjà. Et à part en exploitant une faille dans php, perl ou je ne sais quel module qui tourne sous ton apache ou encore en arrivant à avoir un shell sur ta machine en exploitant apache lui-même ou une faille kernel ya du chemin à faire...
Je comprends pas trop ce que tu veux dire en fait. Si le mec obtient le compte apache, il pourra rien faire (ya pas de shell sur ce compte), s'il obtient un accès root, là par contre il peut tout faire mais le fait de mettre des accès non autorisés à certains répertoires, ça change que dalle: s'il est root, il fait ce qu'il veut.
Et non, je parle du fait que lorsque tu créés un répertoire avec des fichiers dedans mais sans index.html, apache met un accès forbidden (ça empêche de lister le répertoire).
Pour l'histoire du compte, ça change pas énormément qu'il soit en nobody. Extrait du /etc/passwd :
apache:x:81:81:apache:/home/httpd:/bin/false |
Comme tu peux le voir, nobody a juste un UID et un GID plus élevé...
Marsh Posté le 19-11-2004 à 16:18:25
ok, je ne savait aps que apache ne pouvait pas avoir de shell. et ouai j'avais pas pensser que si il etait root sous apache il avait tt les droit dnc mon histoire de repertoire ne tien pas la route tant pis.
Marsh Posté le 19-11-2004 à 14:17:25
Bonjours, voila je viens d'installer mon serveur apache sur mon pc et j'aimerai un peu le securiser.
------------------
Mon serveur a ete installer en root (normal me direz vous) masi donc je pense qu'il est lancé en route a chaque boot.
Comment faire pour le lancer en utilisateur afin que si je le met sur le net, les utilisateur ne puisse pas utiliser une faille si il y en a une pour se connecter en root dessus?
---
J'ai remarquer qu'avec la config de base de apache /var/www/html est le repertoire d'origine du serveur.
Mais j'y ai fait quelque test et tout les repertoire que je cree dasn ce dossier sont accessible directement.
Est ce que je peux les rendre tous innacessible en fesant ceci:
<directory />
Options None
</directory>
None etant: Aucune autorisation sur ce répertoire.
Ce qui me permettrai apres avoir donc grace a cela verouiller le repertoire de base , me permettre de deverouiller que ceux que je souhaite partager en creeant les directory dans el fichier de conf.
---
Si je veux metrte des sous nom comme par exemple pour les site chez free http://un_nom.free.fr
Il faut bien que je gere ca au niveau des VirtualHost, j'en ai jamais fait et ca m'interesserai bien de savoir manipuler ce genre de chose.
---
Merci a vous de toutes l'aide que vous pourriez m'apporter.
Message édité par cortx le 22-11-2004 à 13:31:08