Início / user-295855

rb612's questions

Martin Hope
rb612
Asked: 2019-04-18 16:12:08 +0800 CST
  • 0

Atualmente estou executando um proxy reverso Nginx na frente de um servidor Apache PHP no Ubuntu. Eu tenho um arquivo, log.txt, no mesmo diretório que eu sirvo arquivos PHP para o meu site. PHP grava neste arquivo de log com atividade de API. Posso acessar o arquivo de log alterando o URL de lookup.phppara log.txtao visitar em um navegador da Web, o que é completamente inseguro. Eu só quero acessar o arquivo de log quando estou conectado ao SSH.

Mudei a propriedade do arquivo de log para www-data, o grupo no qual o PHP está sendo executado atualmente. O que eu queria que acontecesse é que os arquivos PHP pudessem gravar nesse arquivo de log, mas não que os usuários pudessem navegar para o caminho do arquivo de log no navegador da Web e exibi-lo. Eu acho que o problema é que, como o Nginx também está sendo executado como www-data, alterando o proprietário do arquivo de log para www-dataque o PHP possa escrever nele, o Nginx agora pode lê-lo.

Aqui estão algumas das ideias que eu estava pensando, mas não tenho certeza se elas têm grandes falhas de segurança:

  • Alterando o arquivo de log para ser somente gravação para o proprietário do arquivo, www-data. Eu estava fazendo uma pesquisa e isso parecia ser uma abordagem rara.

  • Fazendo o PHP e o Nginx rodarem como grupos separados, dando ao PHP um acesso rwx e nenhum ao nginx.

  • Criando um novo diretório fora da raiz da web para que não haja uma URL da web associada ao arquivo, mas tendo o diretório de propriedade www-data(para PHP e Nginx). Eu não tinha certeza se isso tem vulnerabilidades.

  • Proibindo o acesso ao arquivo de log através do Nginx. Isso parece um pouco "hacky" para mim.

Qual seria um caminho adequado a tomar?

security permissions
Martin Hope
rb612
Asked: 2018-11-30 21:46:08 +0800 CST
  • 0

Estamos executando um servidor dev em algum IP e temos nossa API exposta na porta 5000 e nginx escutando na 80. No entanto, todo o backend irá travar quando alguém fizer uma solicitação HTTPS para a porta 5000. Assim, notei uma vulnerabilidade, que quando um acessa https://SERVER_IP:5000 , pois não pode lidar com a solicitação HTTPS, a solicitação trava e todo o back-end trava (portanto, a API trava para qualquer outra solicitação também). Eu só quero que essa solicitação nunca chegue ao back-end.

Eu tenho as seguintes regras configuradas para o UFW.

To                         Action      From
--                         ------      ----
8000                       ALLOW       Anywhere
22/tcp                     ALLOW       Anywhere
80                         ALLOW       Anywhere
5000                       ALLOW       Anywhere
443/tcp                    DENY        Anywhere
8000 (v6)                  ALLOW       Anywhere (v6)
22/tcp (v6)                ALLOW       Anywhere (v6)
80 (v6)                    ALLOW       Anywhere (v6)
5000 (v6)                  ALLOW       Anywhere (v6)
443/tcp (v6)               DENY        Anywhere (v6)

No entanto, quando se navega para https://SERVER_IP:5000 , o servidor ainda trava. Eu acho que isso ocorre porque o tráfego https não está necessariamente chegando na porta 443, mas sim na 5000 e isso é exposto (o que precisa ser apenas para tráfego HTTP). Então, existe alguma maneira de não permitir o tráfego HTTPS no 5000 através do UFW ou tenho que configurar algo com o nginx?

networking webserver