Я использую Apache в Linux, и я использую OpenSSH для предоставления SFTP-доступа некоторым клиентам, чтобы они могли загружать свои страницы, а также просматривать журналы соответствующих сайтов (доступ и ошибки). Я использую новую функцию OpenSSH, чтобы заблокировать их доступ к SFTP, и пока все хорошо.
Моя проблема в том, что в error_log каждая ссылка на «Файл не найден ...» дается с использованием пути файловой системы ОС, а не пути «Интернет». Я бы предпочел иметь веб-путь в журнале ошибок, чтобы не раскрывать путь к ОС. Поскольку я уже подключаю пользователей, я не хочу раскрывать, ГДЕ в ОС на самом деле находятся их файлы ...
Можно ли изменить это поведение с помощью какой-либо директивы? Пытался найти, но ничего не нашел :(
Спасибо, Кракония
Я бы подумал об этом шаге в царство безопасность через безвестность. Если вы считаете, что путь, раскрываемый локальному пользователю, представляет собой риск, я бы рекомендовал пересмотреть вопрос о том, является ли пользователь, имеющий доступ к системе, большим риском, чем оправдание для него доступа.
Также примечательно, что Apache часто раскрывает более рискованные данные, чем пути файловой системы, в результате ошибок приложения. Если вы настаиваете на скрытии пути в журналах, в Apache нет встроенной поддержки для этого. Тем не менее, вы могли бы создать эту производительность, передавая журналы Apache по конвейеру через скрипт или, возможно, используя sed, используя Трубопроводные бревна.
Если вы хотите еще больше укрепить локальную систему против локальных пользователей, существует ряд более ощутимых методов, которые могут оказаться полезными. Приведенный ниже список ориентирован на локальное упрочнение и не является исчерпывающим, но должен быть полезной отправной точкой.
Хотя выпусков не было с 2008 г., некоторые политики, применяемые в Bastille Linux также обеспечивают общую основу для усиления защиты серверов Linux.
Многие из этих вещей сделают систему более сложной в использовании и администрировании, что может расстроить пользователей многопользовательской системы, у которых есть доступ к оболочке. Тем не менее, если безопасность является абсолютным приоритетом, перечисленные методы укрепят вашу систему по сравнению с обычной многопользовательской системой.
Вы должны изменить LogFormat для журналов доступа ваших пользователей. Переменная %U
содержит запрошенный путь URL-адреса, не включая строку запроса, что, вероятно, именно то, что вы ищете.