Skripte nicht im Document-Root (Apache-Konfiguration) (mod_perl und Apache)

[thread]18599[/thread]

Skripte nicht im Document-Root (Apache-Konfiguration)

Leser: 14

Articles: hide open all | hide show old branches

+17 replies
plinepa

2013-09-16 09:40
User since
2012-12-11
8 Artikel
BenutzerIn
Hallo!

Man liest ja oft dass die Perlskripte nicht im Document-Root rumkullern sollen.

Ich hab das jetzt mal folgendermaßen aufgesetzt und es funktioniert.
Nur ist das auch "sicher" oder geht es noch "besser"?

Im Dokument-Root fange ich das index.html mittels eines FileMatch ab:
Code: (dl )

1 2 3 4 5 6 7 8 9 10 11 12 13

<Directory /project/html/> Options -Indexes FollowSymLinks MultiViews Order allow,deny allow from all Action MyWetter /tzx25u8/perl.pl <FilesMatch "index.html"> SetHandler MyWetter </FilesMatch> </Directory>
Die Webseite ( kleine priv. Wetterstation ) enthält nur sehr wenige Seiten welche ich dann einzeln abfangen werde.

Die kryptische /tzx25u8/ habe ich gewählt damit von außen nicht unter www.bla.de/cgi oder cgi-bin der Hebel ansetzbar ist....

Auf dem tzx25u8 liegt dann ein Alias:
Code: (dl )

Alias /tzx25u8/ /project/scripts/cgi/
Damit liegen die Skripte dann im FS über dem DocRoot und sind ja dann in Sicherheit.

Für das Zielverzeichnis schalte ich die Skriptverarbeitung ein:
Code: (dl )

1 2 3 4 5 6 7 8 9 10

<Directory /project/scripts/cgi/> Options -Indexes FollowSymLinks MultiViews Order allow,deny allow from all AddHandler cgi-script pl cgi Options +ExecCGI </Directory>
Wie gesagt es funkt, aber ist das auch so OK?
Sprich kann man das so machen oder ist das doch nicht so empfehlenswert.

Danke für Eure Hilfe und Gruß
plinepa

modedit Editiert von GwenDragon: Titel erweitert
Last edited: 2013-09-16 09:46:43 +0200 (CEST)
- GwenDragon
  
  2013-09-16 09:45
  
  User since
  2005-01-17
  14748 Artikel
  Admin1
  
  ja, das sollte passen.
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
- +7 replies
- bianca
  
  2013-09-16 13:47
  User since
  2009-09-13
  7016 Artikel
  BenutzerIn
  Das mit der Umleitung interessiert mich.
  Ich habe bei mir nur das drin stehen:
  
  Code: (dl )
  
  1 2 3 4 5 6
  
  <Directory "d:/meinverzeichnis/public"> Options FollowSymLinks ExecCGI Includes AllowOverride All Order allow,deny Allow from all </Directory>
  
  Welcher Hebel kann da angesetzt werden?
  10 print "Hallo"
  20 goto 10
  - +6 replies
  - GwenDragon
    
    2013-09-16 14:59
    
    User since
    2005-01-17
    14748 Artikel
    Admin1
    
    Was für eine Umleitung? Erklärs bitte mal genauer.
    die Drachin Gwen
    
    Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
    - +5 replies
    - bianca
      
      2013-09-16 17:06
      
      User since
      2009-09-13
      7016 Artikel
      BenutzerIn
      
      2013-09-16T12:59:39 GwenDragon
      Was für eine Umleitung? Erklärs bitte mal genauer.
      
      Na der Weg über /tzx25u8/ nach /project/scripts/cgi/
      Steht doch da!?
      10 print "Hallo"
      20 goto 10
      - +2 replies
      - plinepa
        
        2013-09-16 17:35
        
        User since
        2012-12-11
        8 Artikel
        BenutzerIn
        
        Ich hatte diesen tzx... genommen da der weniger erratbar bzw. Bekannt ist wie cgi oder cgi-bin.
        Damit sind Versuche der Einbruchsmethoden einfach weniger wahrscheinlich.
        Gruß
        Plinepa
        
        bianca
        
        2013-09-16 18:39
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        Welche Versuche/Einbuchsmethoden konkret meinst du denn? Gegen welche hilft dieser Kniff?
        10 print "Hallo"
        20 goto 10
      - +2 replies
      - GwenDragon
        
        2013-09-16 18:08
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        Das ist keien Umleitung, du missverstehst das.
        Das ist ein Alias.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        bianca
        
        2013-09-16 18:37
        
        User since
        2009-09-13
        7016 Artikel
        BenutzerIn
        
        "Umleitung" war in diesem Zusammenhang nicht als Fachbegriff aus einem RFC gemeint :)
        10 print "Hallo"
        20 goto 10
- +8 replies
- jan
  
  2013-09-16 17:55
  
  User since
  2003-08-04
  2536 Artikel
  ModeratorIn
  
  Ist OK so, aber ich sehe den Sicherheitsgewinn nicht wirklich. Wenn Du in deinem Script jetzt beispielsweise eine Lücke drin hast, durch die man Verzeichnisse auflisten und Dateien anzeigen kann, ist es egal, wo dein Script liegt.
  
  Du verschleierst zwar den wahren Ablageort deines Scripts, aber der Zweck ist mir unklar. Und ich habe das bisher auch noch nicht gelesen, dass man das machen soll. Früher nahm man cgi-bins, also Verzeichnisse, in denen nichts einfach so ausgeliefert, sondern alles ausgeführt wurde. Da das umständlich ist und viele Leute keine Lust hatten, sich daran zu halten, hat es sich durchgesetzt, dass fast alle Provider einfach nach der Dateiendung gehen: .php wird als PHP-Script interpretiert (meist hardcoded auf den PHP-interpreter), während .pl und .cgi als cgi-scripts laufen (und je nach shebang den Interpreter wählen).
  - bianca
    
    2013-09-16 18:39
    
    User since
    2009-09-13
    7016 Artikel
    BenutzerIn
    
    Ja, genau das meinte ich auch.
    So ganz habe ich das Prinzip dahinter noch nicht verstanden.
    Würde es aber auch so machen, wenn es einen Sicherheitsgewinn bringt, den ich noch nicht erkannt habe.
    10 print "Hallo"
    20 goto 10
  - +6 replies
  - clms
    
    2013-09-16 18:49
    
    User since
    2010-08-29
    373 Artikel
    BenutzerIn
    
    2013-09-16T15:55:21 jan
    Ist OK so, aber ich sehe den Sicherheitsgewinn nicht wirklich. Wenn Du in deinem Script jetzt beispielsweise eine Lücke drin hast, durch die man Verzeichnisse auflisten und Dateien anzeigen kann, ist es egal, wo dein Script liegt.
    
    Du verschleierst zwar den wahren Ablageort deines Scripts, aber der Zweck ist mir unklar.
    
    Hier ist mir das auch unklar.
    
    Ungewöhnliche Pfade zu wählen, kann sinnvoll sein, wenn eine URL/ein Skript nicht öffentlich ist, sondern nur für einen begrenzeten Benutzerkreis gedacht ist. Standardpfade werden von Robots abgeklappert. Für die ist der erste Schritt, das Skript zu finden, der zweite gilt dann der Sicherheitslücke. Auf einem Server, den ich betreue, wird z.B. regelmäßig die - nicht vorhandene - Seite admin.php angefordert.
    
    Natürlich entbindet ein ungewöhnlicher Pfad nicht von der Notwendigkeit, das Skript selbst sicher zu machen.
    - +2 replies
    - bianca
      
      2013-09-16 18:56
      
      User since
      2009-09-13
      7016 Artikel
      BenutzerIn
      
      2013-09-16T16:49:48 clms
      Ungewöhnliche Pfade zu wählen, kann sinnvoll sein, wenn eine URL/ein Skript nicht öffentlich ist, sondern nur für einen begrenzeten Benutzerkreis gedacht ist.
      
      Aber wenn doch den ganzen URL nur ein ausgewählter Personenkreis kennt, wozu dann noch verschleierte Verzeichnisnamen?
      10 print "Hallo"
      20 goto 10
      - clms
        
        2013-09-16 23:14
        
        User since
        2010-08-29
        373 Artikel
        BenutzerIn
        
        2013-09-16T16:56:16 bianca
        2013-09-16T16:49:48 clms
        Ungewöhnliche Pfade zu wählen, kann sinnvoll sein, wenn eine URL/ein Skript nicht öffentlich ist, sondern nur für einen begrenzeten Benutzerkreis gedacht ist.
        
        Aber wenn doch den ganzen URL nur ein ausgewählter Personenkreis kennt, wozu dann noch verschleierte Verzeichnisnamen?
        
        Die URL nur einem begrenzten Benutzerkreis zu nennen, reicht als Sicherheitsmaßnahme nicht aus. Vielleicht stößt ja doch ein Bösewicht drauf.
        
        Aber was die Verschleierung im konkreten Beispiel für Vorteile haben soll, habe ich auch noch nicht kapiert. Habe ich das richtig gesehen: Die URL für das Skript ist /index.html - das findet also jeder Robot -, der Verzeichnispfad für das Skript /project/scripts/cgi/ (kein Unterverzeichnis der HTML-Root /project/html), nur intern in der Apache-Config wird /tzx25u8/ statt /project/scripts/cgi/ verwendet?
    - +3 replies
    - jan
      
      2013-09-16 19:44
      
      User since
      2003-08-04
      2536 Artikel
      ModeratorIn
      
      2013-09-16T16:49:48 clms
      Auf einem Server, den ich betreue, wird z.B. regelmäßig die - nicht vorhandene - Seite admin.php angefordert.
      
      Nicht nur bei dir ...
      Da gibt es einfach ganze Toolkits, die erstmal mit ein paar Checks festzustellen versuchen, welche Software Du laufen hast (von den "großen"/"gebräuchlichen") und dann darauf spezielle ihre Exploits ansetzen. Die prüfen dann auch die gebräuchlichsten Pfade, z.b. /phpMyAdmin/ für phpmyadmin oder /blog/ ob sich da nicht ein altes Wordpress verbirgt.
      Leider haben sie damit immer noch erfolg und bekommen dann über schlecht konfigurierte Kisten wieder ganze Server unter Kontrolle und nutzen die weiter zum Scannen und für DDOS, Spam etc pp.
      - +2 replies
      - GwenDragon
        
        2013-09-16 20:57
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        2013-09-16T17:44:59 jan
        Toolkits, die erstmal mit ein paar Checks festzustellen versuchen, welche Software Du laufen hast (von den "großen"/"gebräuchlichen") und dann darauf spezielle ihre Exploits ansetzen. Die prüfen dann auch die gebräuchlichsten Pfade, z.b. /phpMyAdmin/ für phpmyadmin oder /blog/ ob sich da nicht ein altes Wordpress verbirgt.
        Die bekommen dann eben mit fail2ban oder iptables eine auf die Goschn und werden länger in die böse Bubi-Ecke verbannt.
        Hähä...
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
        
        jan
        
        2013-09-17 00:32
        
        User since
        2003-08-04
        2536 Artikel
        ModeratorIn
        
        Ja, das geht nach X Versuchen, aber wäre natürlich uncool, wenn irgendwer daraus einen Pseudoangriff macht indem er die verdächtigen URLs auf irgendeiner Seite per Ajax / JSONP laden lässt und einfach den status (und mehr) checkt. Dann sperrst Du am Ende nur den Unschuldigen Doofen, der mit aktiviertem JavaScript auf Seiten geht, denen er nicht vertraut.
        
        Dazu kommt: ich habe keine Erfahrungen mit fail2ban, aber auf einem Server den ich betreue hatte ich kürzlich zu Spitzenzeiten auf HTTP rund 10k Hits / Minute von rund 6k Clients.
        Würde fail2ban da nicht potentiell viel Last erzeugen, wenn es clientbasiert aus access logs filtern will? Läuft es da eigentlich als Daemon mit tail oder geht es ab und an die logs durch und beginnt an der letzten Position?
        
        Bei SSH und FTP ist der Traffic ja recht überschaubar, vor allem, wenn man, was ich immer empfehle, die Standardports meidet. Aber bei HTTP?
        Klar, man könnte sich nur auf's Errorlog stürzen, aber z.B. WordPress (ja, damit habe ich zuletzt sehr viel zu tun) liefert seine eigenen Sachen dabei aus, die wiederum nicht im normalen errorlog von Apache als Error auftauchen, weil mit mod_rewrite ja auf die index.php umgeleitet wurde und die existiert.
        
        Meine ganz wilde Vision für den Professionellen Einsatz ist immer noch eine Art DNSBL auch für HTTP-clients. Das komplette Sperren aller RZ-IP-Ranges finde ich zu hart, aber einen schnellen (+Cache!) DNS-Check, ob die IP in letzter Zeit für Angriffe/Scans/Spam/AggressiveSpidering/etc genutzt wurde, das wäre doch schon mal was wert.

View all threads created 2013-09-16 09:40.