Apache Security - mod_security

Security-all

Apache Security - mod_security

  • 1795 megtekintés

( szaty | 2005. 11. 30., sze – 20:01 )

Hali,

Kicsit elmerültem a mod_securitibe de néhány dolgot nem értek. Például hogy a POST-ot hogy szűri a modul. A POSTon és a GET-en kívül minden egyéb le van tiltva. Ha nem így van cáfoljatok meg de ha a hozzáférés normálisan van beállítva akkor a GET-el nem lehet túl nagy galibát csinálin. A POSTal viszont igen. MIlyen szabályokat érdemes a confhoz adni a POST szűrésére?

Másik amit nem nagyon értek az az hogy hogyan lehet azt mondani a mod_securitynak hogy ha 3 sikertelen bejelentkezés (Basic bejelentkezési mechanimus) után tililtsa ki az adott IP-t a szerverről. Azt hogy hogyan kell rávenni hogy kommunikáljun a tűzfallal azt értem, azt hogy hogyan kell neki megmondani hogy számolja a sikertelen bejelntkezési kísérleteket azt viszont nem értem.

Ha az úgy megoldható hogy minden sikertelen kísérlet után egy percre tiltsa ki az IP-t az is tökéletes.

Meg ugye ott a drupál (végül is drupál lessz nuke helyett) annál is van bejelntkezés. Ennél esetleg meglehet valahogy csinálni ugyanazt mint a Basic autentikációnál?

Ha valaki tud kérem segítsen üdv Szati.

( szaty | 2005. 11. 26., szo – 15:05 )

Sziasztok,

néhány kérdésem volna az apache2 biztonságával kapcsolatban.

A normál tartalom a 80-as porton érhető el. Az admin felületet (pl admin.php a PHP Nukenál) ki van téve a 9000-as portra. A teljes 9000-es port Basic azonosítással van védve és csak SSL-en kersztül érhető el, tehát elvileg a basic azonosítást nem lehet man-in-the-middle attackal megtörni. A felhazsnálókat én adom hozzá az auth adatbázishoz és csak olyan jelszót választhatnak ami elég hosszú és dictionary attackal nem lehet kiatálni.

Tehát marad a bure force attack. Viszont ezzel az a gond hogy korlátlan számú próbálkozás lehetséges. Valami megoldást kén erre tálán. Érdekelne kinek mi vált be ki mit próbált ki és hogy muzsikált?

Én arra gondoltam hogy kéne keresni egy modult ami valamilyen módon naplózza a rosz kísérletet és egy progit ami figyeli a naplót és a tűzfalba letiltja az adtt IPcím hozzáférését a serverhez mondjuk 1 percre. A naplófigyelő nyugottan lehetne egy Perl vagy egy SH script ezt meg tudom írni én csak a modult nem.

A másik problémám a PHP nuke és a PHP. Tudtomban a PHP-ban sok hiba van én inkább attól félek hogy a NUKE-n keresztül fognak bejönni. Milyen függvényeket érdemes (és lehet) letiltani úgy hogy az phpnuke gond nélkül menjen?

Egyenlőre ennyi de szerintem lesz még, a segítséget előre is köszönöm.

AZ UTOLSÓ HOZZÁSZÓLÁST NÉZD A TOPIC ELEJE NEM ÉRDEKES

( Elbandi v | 2005. 11. 26., szo – 16:58 )

wget, lynx, links, GET, stb ne legyen futtathato a www-data user szamara.
phpban registerglobals off, safe mod on, allow_url_fopen off, include_path +open_basedir user konyvtarra allit. de lehet meg fokozni...

( gabcsi | 2005. 11. 26., szo – 16:59 )

drupal v. Xaraya !
Xaraya eleg letvanyos es attekintheto a forraskodja!
Drupal konnyen fejlesztheto, kozelebb all a nuke-hoz!

http://drupal.org/ v. http://drupal.hu
http://www.xaraya.org/

( tibyke | 2005. 11. 26., szo – 18:24 )

[quote:3b5e0d9391="gabcsi"]drupal v. Xaraya !
Xaraya eleg letvanyos es attekintheto a forraskodja!
Drupal konnyen fejlesztheto, kozelebb all a nuke-hoz!

http://drupal.org/ v. http://drupal.hu
http://www.xaraya.org/

ezt kisse felrenyomtad

t

( suti | 2005. 11. 26., szo – 20:44 )

nem lehet, hogy neked jó lenne ezis: http://www.modsecurity.org/ ezt elvileg apacheba tudod beleilleszteni és szabályokon kersztül tudod az általad kért sok sikertelen próbálkozást kitiltatni, tud iptables-sel kommunikálni, vannak példa scriptek jó leírások hozzá. előnye a dolgonak, hogy akár univerzális is lehet, tehát bármilyen weboldalon a hasonló kéréseket megoldhatod, ha a neki megfelelő helyre az apache configban beilleszted a már jólbevált szűrőket!

én még a régi szériát (1.8 branch) használom, de most látom csak hogy már kijött az 1.9-es cucc is.

( andrej_ v | 2005. 11. 26., szo – 23:57 )

[quote:83127b802e="szaty"]

A másik problémám a PHP nuke és a PHP. Tudtomban a PHP-ban sok hiba van én inkább attól félek hogy a NUKE-n keresztül fognak bejönni. Milyen függvényeket érdemes (és lehet) letiltani úgy hogy az phpnuke gond nélkül menjen?

Egyenlőre ennyi de szerintem lesz még, a segítséget előre is köszönöm.

system, exec, shell_exec (``-ek ugye...), passthru, inode, popen, proc_open, proc_open és ugye posix és hasonló izék nélküli a PHP? Az előzőekben írt security fokozások szintén jók.

( szaty | 2005. 11. 27., v – 14:54 )

Köszönöm a tippeket.

A PHP-nál kipróblom amit irtatok, arra gondoltam hogy az Apache Security című könyvet fogom követni php-nél mert ott (amenyire én értek hozzá) viszonylag jól van leírva a dolog, és azokat írja amiket ti.

A Drupál és a másik tartalomkezelőt nem hiszem hogy válazstani fogom nekem jó a phpnuke is. Esetleg a a HPHnuken keresztül jönnek be akkor lehet hogy átváltok másra, majd kiderül.

A mod_syecurity-t már tegnep óta nézegetem nekem is tetszik szinte biztos hogy használni fogom.

Köszi a válaszokat

( szaty | 2005. 11. 27., v – 17:31 )

, tehát bármilyen weboldalon a hasonló kéréseket megoldhatod, ha a neki megfelelő helyre az apache configban beilleszted a már jólbevált szűrőket!

Esteleg be tudnád dobni ide a fórumba a te jól bevált szűrőidet?