L'accesso di un server web a determinate directory dovrebbe essere limitato?

0

Oggi c'era un aggiornamento per la sicurezza di Roundcubemail e ho appena applicato una patch al mio web / mail-server. All'interno dei file di aggiornamento, c'erano alcuni consigli per limitare l'accesso del server Web a determinate directory. E 'necessario, e se lo è, come dovrei andare a implementarlo in Nginx?

Check .htaccess settings (some php settings could become required)

Non ho letteralmente idea di cosa dovrei cercare nelle impostazioni .htaccess. Inoltre:

Access through the webserver to the following directories should be denied:

/config
/temp
/logs

Roundcube uses .htaccess files to protect these directories, so be sure to allow override of the Limit directives to get them taken into account. The package also ships a .htaccess file in the root directory which defines some rewrite rules. In order to properly secure your installation, please enable mod_rewrite for Apache webserver and double check access to the above listed directories and their contents is denied.

Sto eseguendo Nginx, non Apache, e ho trovato questo - Nginx di base che consiglia alle persone di non utilizzare .htaccess a causa di motivi di prestazioni.

    
posta Atte Juvonen 07.12.2016 - 16:30
fonte

1 risposta

2

Nginx dovrebbe infatti avere accesso bloccato a posizioni arbitrarie sul tuo filesystem. In breve, se non ha bisogno di accesso, non dargli alcunché, perché limita il danno che potrebbe fare. Questo vale sia per la lettura di che per e può essere eseguita eseguendo nginx come proprio utente (probabilmente l'impostazione predefinita sul sistema), non aggiungendo tale utente ai gruppi comuni e restringendo le autorizzazioni del filesystem sul resto del sistema (cioè non usare 777 solo perché hai problemi a ottenere il giusto set di autorizzazioni). Potresti anche voler guardare in SELinux per controlli più avanzati.

L'avviso che hai lì è un'estensione di questa idea. Gli utenti esterni non devono essere in grado di leggere la tua configurazione di nginx, ma l'utente di nginx lo fa. Questi file non dovrebbero mai trovarsi in una delle tue radici di documenti, ma dovresti comunque avere regole di nginx che bloccano qualsiasi richiesta (le specifiche delle regole sono off-topic per questo, ma si adatterebbero bene su Server Fault).

    
risposta data 07.12.2016 - 17:41
fonte

Leggi altre domande sui tag