Citat:
Originally posted by KarlRoos@Aug 9 2008, 14:37
Htaccess så att ingen kommer åt *.log 
Jag tycker det är enklare att hålla reda på loggarna på det viset, enda anledningen.
|
.htaccess är inte din räddning då log poisoning oftast går till genom local file inclusions i webbsammanhang. Placerar du dina *.log's i DocumentRoot kommer användaren för Apache kunna läsa från dem (DocumentRoot) och dessutom skriva till dem (hur annars skall något loggas?).
Ingen .htaccess i världen kan hjälpa dig mot att någon inkluderar en av dina +rw'ade *.log's via en LFI efter att ha besökt en felaktig sida med
<?php passthru("$_GET['shell']"); ?> som user-agent. Error- och accesslogs har i regel att klienten
alltid kan skriva till dem för att det skall vara en användbar loggfil. user-agent, GET-request mm., listan kan göras lång.
Kontentan är alltså; Placera av säkerhetsskäl alltid *.log's utanför Apaches läsrättigheter (läs: inte DocumentRoot). /var/log/apache är utformat enbart för *.log's och det finns ingen anledning att ändra dem. Om du tycker att det är lättare att hålla reda på dem så symlinka istället dina *.log's från DocumentRoot till /var/log/apache. (man ln, flaggan s är vad du söker).
Mvh,
Niklas Femerstrand
Finhack HB