Citat:
|
Ursprungligen postat av Finhack
Citat:
|
Ursprungligen postat av KarlRoos
Htaccess så att ingen kommer åt *.log
Jag tycker det är enklare att hålla reda på loggarna på det viset, enda anledningen.
|
.htaccess är inte din räddning då log poisoning oftast går till genom local file inclusions i webbsammanhang. Placerar du dina *.logs i DocumentRoot kommer användaren för Apache kunna läsa från dem (DocumentRoot) och dessutom skriva till dem (hur annars skall något loggas?).
Ingen .htaccess i världen kan hjälpa dig mot att någon inkluderar en av dina +rwade *.logs via en LFI efter att ha besökt en felaktig sida med ?php passthru(_GET[shell]); ? som user-agent. Error- och accesslogs har i regel att klienten alltid kan skriva till dem för att det skall vara en användbar loggfil. user-agent, GET-request mm., listan kan göras lång.
Kontentan är alltså; Placera av säkerhetsskäl alltid *.logs utanför Apaches läsrättigheter (läs: inte DocumentRoot). /var/log/apache är utformat enbart för *.logs och det finns ingen anledning att ändra dem. Om du tycker att det är lättare att hålla reda på dem så symlinka istället dina *.logs från DocumentRoot till /var/log/apache. (man ln, flaggan s är vad du söker).
Mvh,
Niklas Femerstrand
Finhack HB
|
Råd från självaste säkerhetsexperten
Tack så mycket!
Trodde att jag var säker men det var jag inte, har nu placerat loggarna utanför DocumentRoot!