Tweet
Ajuda em segurança apache
Cenário A :
Um servidor(opensuse 12.1) com 3 sites
Site 1 (joomla)
directoria no servidor "/srv/www/htdocs"
Site 2 (wordpress)
directoria no servidor "/srv/www/htdocs/wordpress"
Site 3 (experiencias com código)
directoria no servidor "/srv/www/htdocs/codigo"
Acesso aos sites:
Joomla
servidor.com/
Wordpress
servidor.com/wordpress
Codigo pessoal
servidor.com/codigo
Qual é a desvantagen no cenário A:
Se existir uma vulnerabilidade num deles poderemos aceder aos 3 sites dado que estão os 3 na mesma pasta "/srv/www/htdocs" ou seja a pasta root do apache é comum para os 3.
Então resolvi criar virtualhosts
Cenário B
Site 1 (joomla)
directoria no servidor "/srv/www/htdocs/joomla"
Site 2 (wordpress)
directoria no servidor "/srv/www/htdocs/wordpress"
Site 3 (experiencias com código)
directoria no servidor "/srv/www/htdocs/codigo"
Acesso aos sites:
Joomla
servidorjoomla.com/
Wordpress
servidorwordpress.com
Codigo pessoal
servidorcodigo.com/codigo
Vantagem do cenário B
Cada site tem a sua configuração própria no apache e existe uma pasta root para cada um deles.
o problema que está a existir é o seguinte:
após efectuar o upload de uma shell eu consigo ter acesso a todas as pastas do servidor, inclusivé as pastas de sistema.
Tal não deveria acontecer e só deveria ter acesso à pasta root de cada um dos sites.
Alguma sugestão?
Aqui ficam algumas configurações que tenho actualmente activas:
# forbid access to the entire filesystem by default
<Directory />
Options None
AllowOverride None
Order deny,allow
Deny from all
</Directory>
#não mostrar a versão do apache nem do sistema
ServerSignature Off
ServerTokens Prod
Um servidor(opensuse 12.1) com 3 sites
Site 1 (joomla)
directoria no servidor "/srv/www/htdocs"
Site 2 (wordpress)
directoria no servidor "/srv/www/htdocs/wordpress"
Site 3 (experiencias com código)
directoria no servidor "/srv/www/htdocs/codigo"
Acesso aos sites:
Joomla
servidor.com/
Wordpress
servidor.com/wordpress
Codigo pessoal
servidor.com/codigo
Qual é a desvantagen no cenário A:
Se existir uma vulnerabilidade num deles poderemos aceder aos 3 sites dado que estão os 3 na mesma pasta "/srv/www/htdocs" ou seja a pasta root do apache é comum para os 3.
Então resolvi criar virtualhosts
Cenário B
Site 1 (joomla)
directoria no servidor "/srv/www/htdocs/joomla"
Site 2 (wordpress)
directoria no servidor "/srv/www/htdocs/wordpress"
Site 3 (experiencias com código)
directoria no servidor "/srv/www/htdocs/codigo"
Acesso aos sites:
Joomla
servidorjoomla.com/
Wordpress
servidorwordpress.com
Codigo pessoal
servidorcodigo.com/codigo
Vantagem do cenário B
Cada site tem a sua configuração própria no apache e existe uma pasta root para cada um deles.
o problema que está a existir é o seguinte:
após efectuar o upload de uma shell eu consigo ter acesso a todas as pastas do servidor, inclusivé as pastas de sistema.
Tal não deveria acontecer e só deveria ter acesso à pasta root de cada um dos sites.
Alguma sugestão?
Aqui ficam algumas configurações que tenho actualmente activas:
# forbid access to the entire filesystem by default
<Directory />
Options None
AllowOverride None
Order deny,allow
Deny from all
</Directory>
#não mostrar a versão do apache nem do sistema
ServerSignature Off
ServerTokens Prod
Comment