Linux глазами хакера, Флёнов Михаил Евгеньевич

Linux глазами хакера

на обложку

Флёнов Михаил Евгеньевич

Шрифт:

□

Deny from параметр

— запрещение доступа к указанной директории. Параметры такие же, как у команды

allow from

, только в данном случае закрывается доступ для указанных адресов, доменов и т.д.;

□

Order параметр

— очередность, в которой применяются директивы

allow

deny

. Может быть три варианта:

•

Order deny, allow

— изначально все разрешено, потом первыми применяются запреты, а затем разрешения. Рекомендуется использовать только на общих директориях, в которые пользователи могут самостоятельно закачивать файлы, например, свои изображения;

•

Order allow, deny

— сначала все запрещено, вслед за этим применяются разрешения, затем запрещения. Рекомендуется применять для всех директорий со сценариями;

•

Order mutual-failure

— исходно запрещен доступ всем, кроме перечисленных в

allow

и в то же время отсутствующих в

deny

. Советую использовать для всех каталогов, где находятся файлы, используемые определенным кругом лиц, например, администраторские сценарии;

□

Require параметр

— позволяет задать пользователей, которым разрешен доступ к каталогу. В качестве параметра можно указывать:

•

user

— имена пользователей (или их ID), которым разрешен доступ к каталогу. Например,

Require user robert FlenovM

;

•

group

— названия групп, пользователям которых позволен доступ к каталогу. Директива работает так же, как и

user

;

•

valid-user

— доступ к директории разрешен любому пользователю, прошедшему аутентификацию;

□

satisfy параметр

— если указать значение

any

, то для ограничения доступа используется или логин/пароль или IP-адрес. Для идентификации пользователя по двум условиям одновременно надо задать

all

;

□

AllowOverwrite параметр

— определяет, какие директивы из файла .htaccess в указанном каталоге могут перекрывать конфигурацию сервера. В качестве параметр можно указать одно из следующих значений:

None

All

AuthConfig

FileInfo

Indexes

Limit

Options

;

□

AuthName

— домен авторизации, который должен использовать клиент при определении имени и пароля;

□

Options [+ | -] параметр

— определяет возможности Web-сервера, которые доступны в данном каталоге. Если у вас есть директория, в которую пользователям разрешено закачивать картинки, то вполне логичным является запрет на выполнение в ней любых сценариев. Не надо надеяться, что вы сумеете программно запретить загрузку любых файлов, кроме изображений. Хакер может найти способ закачать злостный код и выполнить его в системе. С помощью опций можно сделать так, чтобы сценарий не выполнился Web-сервером.

Итак, после ключевого слова можно ставить знаки плюс или минус, что соответствует разрешению или запрещению опции. В качестве

параметр

указывается одно из следующих значений:

•

All

— все, кроме

MultiView

. Если указать строку

Option + All

, то в данном каталоге будут разрешены любые действия, кроме

MultiView

, который задается отдельно;

•

ExecCGI

— разрешено выполнение CGI-сценариев. Чаще всего для этого используется отдельная директория /cgi-bin, но и в ней можно определить отдельные папки, в которых запрещено выполнение;

•

FollowSymLinks

— позволяет использовать символьные ссылки. Убедитесь, что в директории нет опасных ссылок и их права не избыточны. Мы уже говорили в разд. 3.1.3 о том, что ссылки сами по себе опасны, поэтому с ними нужно обращаться аккуратно, где бы они ни были;

•

SymLinksIfOwnerMatch

— следовать по символьным ссылкам, только если владельцы целевого файла и ссылки совпадают. При использовании символьных ссылок в данной директории лучше указать этот параметр вместо

FollowSymLinks

. Если хакер сможет создать ссылку на каталог /etc и проследует по ней из Web-браузера, то это вызовет серьезные проблемы в безопасности;

•

Includes

— использовать SSI (Server Side Include, подключение на сервере);

•

IncludesNoExec

— использовать SSI, кроме

exec

include

. Если вы не используете в сценариях CGI эти команды, то данная опция является предпочтительнее предыдущей;

•

Indexes

— отобразить список содержимого каталога, если отсутствует файл по умолчанию. Чаще всего, пользователи набирают адреса в укороченном формате, например, www.cydsoft.com. Здесь не указан файл, который нужно загрузить. Полный URL выглядит как www.cydsoft.com/index.htm. В первом варианте сервер сам ищет файл по умолчанию и открывает его. Это могут быть index.htm, index.html, index.asp или index.php, default.htm и т.д. Если один из таких файлов по указанному пути не найден, то при включенной опции

Indexes

будет выведено дерево каталога, иначе — страница ошибки. Я рекомендую отключать эту опцию, потому что злоумышленник может получить слишком много информации о структуре каталога и его содержимом;

•

MultiViews

— представление зависит от предпочтений клиента.

Все выше описанные директивы могут использоваться не только в файле /etc/httpd/conf/httpd.conf, но и в файлах .htaccess, которые могут располагаться в отдельных директориях и определять права этой директории.

Права доступа могут назначаться не только на директории, но и на отдельные файлы. Это описание делается между двумя следующими строками:

</Files>

Это объявление может находиться внутри объявления прав доступа к директории, например:

Order allow,deny

Allow from all

Deny from all

</Files>

</Directory>

Директивы для файла такие же, как и для директорий. Исходя из этого, в данном примере к подкаталогу /var/www/html разрешен доступ всем пользователям, а к файлу /var/www/html/admin.php из этой директории запрещен доступ абсолютно всем.