متى يجب استخدام "Apache: Apache" أو "لا أحد: لا أحد" على ملفات خادم الويب الخاصة بي؟

Question

خلفية: أتذكر في مكان عملي القديم كيف سيجعلني مسؤول خادم الويب دائما أدلة تحميل الملفات التي يمكن الوصول إليها HTTPD بحيث كانت مملوكة لأباش: أباتشي أو لا أحد: لا أحد.

قال إن هذا كان لأسباب أمنية.

سؤال: هل يمكن أن تخبرني ماذا كانت على وجه التحديد الآثار الأمنية لهذا؟ هل هناك أيضا طريقة للحصول على Apache لتشغيلها كأحد: لا أحد، وهل هناك آثار أمنية لذلك أيضا؟

تيا

Answer 1

هناك سبب وجيه، وفترض أن httpd (Apache) كان مملوكا من قبل الجذر وينتمي إلى جذر المجموعة أيضا، وأن هناك ثغرة أمنية تم العثور عليها في الكود نفسه، على سبيل المثال، طلب مستخدم ضار عن عنوان URL أطول مما كان متوقعا و httpd seg-diveded. الآن، أن استغلال هذا الاستغلال قد كشف الوصول إلى الجذر مما يعني أنه سيطر على النظام، وبالتالي سيحتوي المستخدم الخبيث على التحكم في نهاية المطاف وإنشاء الخراب في المربع.

هذا هو السبب وراء تشغيل ملكية DAEMON HTTPD تحت أحد: لا أحد أو اباتشي: Apache. إنه إجراء وقائي فعال لضمان عدم اكتشاف أي استغلال / مشكلة عدم حصانة الوصول إلى الجذر. تخيل الآثار الأمنية إذا حدث ذلك.

لحسن الحظ، الآن، اعتمادا على توزيع Linux، متغيرات BSD (OpenBSD / FreeBSD / NETBSD) أو المتغيرات التجارية ل UNIX التجارية، يعمل محرك HTTPD DAEMON تحت مجموعة مستخدم لها امتيازات أقل. وعلاوة على ذلك، سيكون من الآمن أن نقول أن الكثير من رمز Apache قد تم اختباره جيدا بما فيه الكفاية ومستقرة. حوالي 49٪ من الخوادم عبر جميع المجالات هي تشغيل أباتشي. يعمل IIS في Microsoft 29٪ من المجالات. هذا وفقا لموقع مسح NetCraft هنا.

في سياق آخر، يظهر أن وجود برنامج يعمل تحت أقل امتيازات سيعتبر "آمنة" وتخفيف أي فرص محتملة في الاستغلال، وثلاثية الثغرات.

Answer 2

هذا هو الموقع الخطأ لهذا السؤال. عادة ما تكون ليس نريد أن تكون شفرة المصدر مملوكة من قبل نفس المستخدم كاباش. إذا تنشأ عيوب أمان في Apache أو البرامج النصية من جانب الخادم، فيمكن للمهاجم تعديل ملفات موقع الويب الخاص بك بشكل ضار دون تصعيد امتياز.

الاستثناء الوحيد سيكون الدلائل تحميل الملفات، كما قلت. في هذه الحالة، تريد Apache إجراء تغييرات على هذا الدليل.