WN

WN (https://www.wn.se/forum/index.php)
-   Serversidans teknologier (https://www.wn.se/forum/forumdisplay.php?f=4)
-   -   Är detta bra ur säkerhetsynpunkt? (https://www.wn.se/forum/showthread.php?t=1055834)

secag 2012-11-22 12:47
Är detta bra ur säkerhetsynpunkt?
 
Hej,

Har nyss satt upp en enkel LAMP server.

Jag använder sen WinSCP för att ansluta till servern och därifrån kan jag se precis allting som finns på servern; /etc, /var m.m

Är detta säkert?
Sen en fråga om apache.

Nu kan man nå min sida på minwebbsida.se

Men om man t.ex. skriver minwebbsida.se/bilder så kan man se alla bilder. Det vet jag att sånt inte går på flera andra webbhotell. Men jag undrar, är såna här småsaker värt att tänka på. Om ni vet andra tips att säkra en ubuntu webbserver så kan ni väl skriva det också.

Tack på förhand.

tony-axbyte 2012-11-22 14:43
Vad som anses säkert beror på vilken nivå man vill lägga sig på. Får någon tag på dina inloggningsuppgifter så kan de ju göra vad som helst. Jag brukar säkra upp tjänster från Internet med ett extra steg så att man bara kan använda uppgifterna från utvalda datorer eller platser. I SSH tjänsten kan du ange vilka IP-adresser som får ansluta till den, alternativt aktiverar du en brandvägg t.ex. iptables.

Angående din bildmapp så antar jag att det är fillistningsläget du vill inaktivera. En webbserver kan rendera upp en sida som listar alla filer i en mapp automatiskt eller så kan den visa en felsida. Jag antar att det är den funktionen du vill stänga av, jag vet inte exakt hur det görs i just Apache.

secag 2012-11-22 15:19
Tack ska prova det nu.

alz 2012-11-23 10:18
Hej.

Om du lägger till "Options -Indexes" (utan citationstecken) i din .htaccess så skall det visas ett felmeddelande om man försöker lista innehållet i mappen.

/Anders

secag 2012-11-23 11:06
Okej, men är detta någonting som är farligt av något slag? Nu kan jag nästan ingenting om att hacka men det enda sättet att "hacka" är väl att få tag i pw till någon user?

tony-axbyte 2012-11-23 12:42
Nej det finns massor av sätt att ta sig in på en server nåbar utifrån. T.ex. säkerhetshål i SSH som det va för ett tag sedan och inte minst att man råkar göra en felinställning. Sen får man avgöra hur mycket tid och besvär det är värt att lägga på just säkerheten.

AmoZ 2012-11-23 17:44
Citat:
Ursprungligen postat av alz (Inlägg 20456036)
Hej.

Om du lägger till "Options -Indexes" (utan citationstecken) i din .htaccess så skall det visas ett felmeddelande om man försöker lista innehållet i mappen.

/Anders
(Lånar tråden lite, hoppas de är ok.)

Vi har precis en sådan lösning på vår site. Om vi vill att "felsidan" skall vara en speciell sida, tex "Denna sida finns inte" och att vi då har en egen design på den sidan.

Hur gör man då?
Vill du inte förstöra tråden så får du gärna skriva i PM. Tack!

secag 2012-11-23 21:07
Du får göra ngt i stil med "om denna sida är en 404, hänvisa till 404.php" eller något. Sök på .htaccess custom 404 page :)

aelander 2012-11-24 00:12
En massa teknikaliteter här. Varför inte bara lägga en tom fil index.html i den katalog som man inte vill ska kunna listas.

tartareandesire 2012-11-24 00:42
Citat:
Ursprungligen postat av aelander (Inlägg 20456125)
En massa teknikaliteter här. Varför inte bara lägga en tom fil index.html i den katalog som man inte vill ska kunna listas.
Så kanske man en dag vill rensa katalogen eller flytta filerna, då är det lätt hänt att man glömmer bort att lägga tillbaka en index-fil. Bättre med en stabil, långsiktig lösning.


Alla tider är GMT +2. Klockan är nu 20:23.

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson