[WikiDyd] [TitleIndex] [WordIndex

Cel zajęć

Uruchomienie, skonfigurowanie i zabezpieczenie usług serwera WWW. Demonstracja z jakimi uprawnieniami działa serwer i jak to wpływa na bezpieczeństwo danych.

Wprowadzenie

Pierwszym zadaniem będzie zainstalowanie serwera Apache, wstępne skonfigurowanie i przetestowanie poprawnej pracy. Wszystkie zmiany dotyczą pliku konfiguracyjnego nazywanego najczęściej httpd.conf. W przypadku problemów konieczna będzie analiza logów znajdujących się w katalogu /var/log.

Konfiguracja dotycząca wybranych katalogów może być przechowywana w pliki httpd.conf w znacznikach <Directory ...>, albo w pliku .htaccess. Szczególnie istotny jest parametr: Options, który można ustawić na: ExecCGI, FollowSymLinks, Includes, Indexes

Do ograniczenia dostępu do katalogu można wykorzystać mechanizmy uprawnień systemu plików, albo też specjalnego parametru konfiguracyjnego Require. Korzystając z programu htpasswd łatwo można stworzyć bazę użytkowników mających dostęp do zasobów.

Podstawą dzisiejszych aplikacji internetowych są programy działające po stronie serwera. Mamy wiele technologii, które wspierają ten proces: SSI, CGI, PHP, itd. Trzeba mieć świadomość z jakimi uprawnieniami działa ten program. Jest to szczególnie ważne jeżeli dojdzie do ataku, bo atakujący będzie działał w systemie właśnie z takimi uprawnieniami.

Potrzebna wiedza

Dodatkowe informacje

Hasła dla Google: apache, freebsd handbook

Przykładowe zadania

  1. Uruchomienie serwera Apache, zmiana strony głównej i przetestowanie.
  2. Ochrona wybranych katalogów przez indeksowaniem.
  3. Ochrona wybranych katalogów przez dostępem.
  4. Dostęp do katalogu na hasło (użycie htpasswd)
  5. Uruchomienie mechanizmu CGI oraz przetestowanie uprawnień z jakimi on działa.
  6. Uruchomienie mechanizmu SSI oraz przetestowanie uprawnień z jakimi on działa.
  7. Uruchomienie mod_php i przetestowanie z jakimi uprawnieniami on działa.
  8. Uruchomienie mod_python i przetestowanie z jakimi uprawnieniami on działa.

2015-09-23 06:44