¿Debe limitarse el acceso de un servidor web a ciertos directorios?

Navega tus respuestas
0

Hoy había una actualización de seguridad para Roundcubemail y acabo de parchear mi servidor web / correo. Dentro de los archivos de actualización, había algunas recomendaciones para restringir el acceso del servidor web a ciertos directorios. ¿Es esto necesario y, si es así, cómo debo implementarlo en Nginx?

  

Verifique la configuración de .htaccess (algunas configuraciones de php podrían ser necesarias)

Literalmente no tengo idea de lo que debo buscar en la configuración de .htaccess. Además:

  

El acceso a través del servidor web a los siguientes directorios debe ser   denegado:

     

/ config
  / temp
  / logs

     

Roundcube usa archivos .htaccess para proteger estos directorios, por lo que debe estar   Asegúrese de permitir la anulación de las directivas Limit para que sean tomadas en   cuenta. El paquete también envía un archivo .htaccess en el directorio raíz   que define algunas reglas de reescritura. Para asegurar adecuadamente su   instalación, por favor habilite mod_rewrite para el servidor web Apache y   Verifique el acceso a los directorios mencionados anteriormente y sus contenidos.   es negado.

Estoy ejecutando Nginx, no Apache, y encontré esto - básicamente, Nginx aconseja a las personas que no usen .htaccess debido a razones de rendimiento.

    
pregunta Atte Juvonen 07.12.2016 - 16:30
fuente

1 respuesta

2

Nginx debería tener bloqueado el acceso a ubicaciones arbitrarias en su sistema de archivos. En resumen, si no necesita acceso, no le dé ninguno, porque eso limita el daño que podría hacer. Esto se aplica tanto a la lectura de como a la , y se puede hacer ejecutando nginx como su propio usuario (probablemente el valor predeterminado en su sistema), no agregando ese usuario a grupos comunes y restringiendo los permisos de su sistema de archivos en el resto del sistema (es decir, no use 777 solo porque tiene problemas para obtener el conjunto de permisos correcto). También puede desear consultar SELinux para obtener controles más avanzados.

La advertencia que tienes allí es una extensión de esa idea. Los usuarios externos no necesitan poder leer su configuración nginx, pero el usuario nginx lo hace. Estos archivos nunca deben ubicarse en una de las raíces de su documento, pero no obstante, debe tener reglas nginx que bloqueen cualquier solicitud para ellos (los detalles de las reglas no están incluidos en el tema aquí, pero encajarían bien en Server Fault).

    
respondido por el Xiong Chiamiov 07.12.2016 - 17:41
fuente

Lea otras preguntas en las etiquetas

¿Puede mi proveedor de Internet / gobierno / cualquier persona rastrear o ver lo que sigo en Tumblr? Amenazas de usar una versión craqueada del sistema operativo [cerrado]