Назад | Перейти на главную страницу

Журнал ошибок Apache - «Веб-путь» вместо пути к файловой системе

Я использую Apache в Linux, и я использую OpenSSH для предоставления SFTP-доступа некоторым клиентам, чтобы они могли загружать свои страницы, а также просматривать журналы соответствующих сайтов (доступ и ошибки). Я использую новую функцию OpenSSH, чтобы заблокировать их доступ к SFTP, и пока все хорошо.

Моя проблема в том, что в error_log каждая ссылка на «Файл не найден ...» дается с использованием пути файловой системы ОС, а не пути «Интернет». Я бы предпочел иметь веб-путь в журнале ошибок, чтобы не раскрывать путь к ОС. Поскольку я уже подключаю пользователей, я не хочу раскрывать, ГДЕ в ОС на самом деле находятся их файлы ...

Можно ли изменить это поведение с помощью какой-либо директивы? Пытался найти, но ничего не нашел :(

Спасибо, Кракония

Я бы подумал об этом шаге в царство безопасность через безвестность. Если вы считаете, что путь, раскрываемый локальному пользователю, представляет собой риск, я бы рекомендовал пересмотреть вопрос о том, является ли пользователь, имеющий доступ к системе, большим риском, чем оправдание для него доступа.

Также примечательно, что Apache часто раскрывает более рискованные данные, чем пути файловой системы, в результате ошибок приложения. Если вы настаиваете на скрытии пути в журналах, в Apache нет встроенной поддержки для этого. Тем не менее, вы могли бы создать эту производительность, передавая журналы Apache по конвейеру через скрипт или, возможно, используя sed, используя Трубопроводные бревна.

Если вы хотите еще больше укрепить локальную систему против локальных пользователей, существует ряд более ощутимых методов, которые могут оказаться полезными. Приведенный ниже список ориентирован на локальное упрочнение и не является исчерпывающим, но должен быть полезной отправной точкой.

  • Удаление бита SUID из большинства файлов
  • Аудит всех файлов и каталогов, которые доступны для записи всем.
  • Удаление инструментов компиляции кода.
  • Удаление абсолютно всего программного обеспечения, включая инструменты пользовательского уровня, которые не являются неотъемлемой частью роли системы.
  • Настройка фильтрации пакетов для ограничения внешнего доступа только тем, который оправдан для конкретной цели роли и работы системы.
  • Включение и настройка SELinux
  • Применить и настроить Расширенный атрибут файла политика
  • С помощью ACL файловой системы для дальнейшего уточнения доступа к данным в локальной системе

Хотя выпусков не было с 2008 г., некоторые политики, применяемые в Bastille Linux также обеспечивают общую основу для усиления защиты серверов Linux.

Многие из этих вещей сделают систему более сложной в использовании и администрировании, что может расстроить пользователей многопользовательской системы, у которых есть доступ к оболочке. Тем не менее, если безопасность является абсолютным приоритетом, перечисленные методы укрепят вашу систему по сравнению с обычной многопользовательской системой.

Вы должны изменить LogFormat для журналов доступа ваших пользователей. Переменная %U содержит запрошенный путь URL-адреса, не включая строку запроса, что, вероятно, именно то, что вы ищете.