* [Sysadmins] #12898 @ 2007-09-25 12:26 Timur Batyrshin 2007-09-25 12:36 ` Alexander Volkov 2007-09-25 12:46 ` Anton Gorlov 0 siblings, 2 replies; 13+ messages in thread From: Timur Batyrshin @ 2007-09-25 12:26 UTC (permalink / raw) To: ALT Linux sysadmin discuss https://bugzilla.altlinux.org/show_bug.cgi?id=12898 : > У меня предложение поставить по умолчанию Option -Indexes, т.к. > возможность просмотра содержания каталога сайта -- потенциальная дыра > в безопасности. > --Additional Comment #1 From Michael Shigorin 2007-09-25 > 15:50[reply]-- > Не могу согласиться -- давайте обсудим в sysadmins@, осмысленно ли так > закручивать эту гайку по умолчанию? Его же всегда можно переопределить в .htaccess, причем просмотр содержимого каталога редко когда нужно бывает. ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] #12898 2007-09-25 12:26 [Sysadmins] #12898 Timur Batyrshin @ 2007-09-25 12:36 ` Alexander Volkov 2007-09-25 12:59 ` Timur Batyrshin 2007-09-25 16:42 ` Michael Shigorin 2007-09-25 12:46 ` Anton Gorlov 1 sibling, 2 replies; 13+ messages in thread From: Alexander Volkov @ 2007-09-25 12:36 UTC (permalink / raw) To: ALT Linux sysadmin discuss On 2007-09-25 16:26:47 +0400, Timur Batyrshin wrote: TB> https://bugzilla.altlinux.org/show_bug.cgi?id=12898 : TB> > У меня предложение поставить по умолчанию Option -Indexes, т.к. TB> > возможность просмотра содержания каталога сайта -- потенциальная дыра TB> > в безопасности. А оно по умолчанию разве включено? TB> > --Additional Comment #1 From Michael Shigorin 2007-09-25 TB> > 15:50[reply]-- TB> > Не могу согласиться -- давайте обсудим в sysadmins@, осмысленно ли так TB> > закручивать эту гайку по умолчанию? TB> Его же всегда можно переопределить в .htaccess, причем просмотр TB> содержимого каталога редко когда нужно бывает. Согласен. -- Regards, Alexander ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] #12898 2007-09-25 12:36 ` Alexander Volkov @ 2007-09-25 12:59 ` Timur Batyrshin 2007-09-25 16:42 ` Michael Shigorin 1 sibling, 0 replies; 13+ messages in thread From: Timur Batyrshin @ 2007-09-25 12:59 UTC (permalink / raw) To: sysadmins Alexander Volkov (Tue, 25 Sep 2007 16:36:33 +0400): > TB> https://bugzilla.altlinux.org/show_bug.cgi?id=12898 : > TB> > У меня предложение поставить по умолчанию Option -Indexes, т.к. > TB> > возможность просмотра содержания каталога сайта -- > TB> > потенциальная дыра в безопасности. > А оно по умолчанию разве включено? Включено. > TB> > --Additional Comment #1 From Michael Shigorin 2007-09-25 > TB> > 15:50[reply]-- > > TB> > Не могу согласиться -- давайте обсудим в sysadmins@, осмысленно > TB> > ли так закручивать эту гайку по умолчанию? > > TB> Его же всегда можно переопределить в .htaccess, причем просмотр > TB> содержимого каталога редко когда нужно бывает. > Согласен. ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] #12898 2007-09-25 12:36 ` Alexander Volkov 2007-09-25 12:59 ` Timur Batyrshin @ 2007-09-25 16:42 ` Michael Shigorin 2007-09-25 17:26 ` Aleksey Avdeev ` (2 more replies) 1 sibling, 3 replies; 13+ messages in thread From: Michael Shigorin @ 2007-09-25 16:42 UTC (permalink / raw) To: ALT Linux sysadmin discuss On Tue, Sep 25, 2007 at 04:36:33PM +0400, Alexander Volkov wrote: > TB> https://bugzilla.altlinux.org/show_bug.cgi?id=12898 : > TB> > У меня предложение поставить по умолчанию Option -Indexes, т.к. > TB> > возможность просмотра содержания каталога сайта -- потенциальная дыра > TB> > в безопасности. > А оно по умолчанию разве включено? Для /var/www/html -- включено. Можно выключить для /var/www/vhosts, поскольку для собственно виртхостов оно и рекомендуется. Можно повыключать везде. Ещё из мест, где политика по индексам может отличаться -- /home/*/public_html/. > TB> Его же всегда можно переопределить в .htaccess, причем просмотр > TB> содержимого каталога редко когда нужно бывает. > Согласен. Понимаете, в чём дело. Я не могу оценить, сколько существующих установок это изменение сломает (поскольку рано или поздно оно попадёт в updates/дистрибутив). Поскольку последний год ознаменовался несколькими весьма несвоевременными наступления на грабли, где были слишком закручены гайки там, где это ничего особенно не решало -- теперь предпочитаю дуть хотя бы на свою воду. Правило, что следует отключать автоиндексирование каталогов, где оно не требуется (или использовать в качестве политики) -- вполне известно среди сколь-нибудь опытных вебмастеров. С одной стороны, они могут и поставить (и отключить); с другой -- им обычно влом делать рутинные действия, которые напрашиваются в дефолт. Поэтому мне сложно самому здесь решить: apache-1.3 у нас по таким вот дефолтам скорее придерживается консервативной линии ("никому ничего не сломать ненароком") или наоборот -- подстраивается под тех предположительно опытных пользователей, которые до сих пор на нём сидят. Поэтому и попросил мнения общественности. PS: если кто-либо смотрел сборку в Daedalus, которая "гармонизирована" с apache2 -- буду благодарен за отзывы. Его бы хорошо смержить, но времени и сил на оценку возможных проблем не хватает. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] #12898 2007-09-25 16:42 ` Michael Shigorin @ 2007-09-25 17:26 ` Aleksey Avdeev 2007-09-25 19:34 ` Anton Gorlov 2007-09-26 5:27 ` Timur Batyrshin 2 siblings, 0 replies; 13+ messages in thread From: Aleksey Avdeev @ 2007-09-25 17:26 UTC (permalink / raw) To: shigorin, ALT Linux sysadmin discuss [-- Attachment #1: Type: text/plain, Size: 353 bytes --] Michael Shigorin пишет: ... > > PS: если кто-либо смотрел сборку в Daedalus, которая > "гармонизирована" с apache2 -- буду благодарен за отзывы. > Его бы хорошо смержить, но времени и сил на оценку возможных > проблем не хватает. Она сильно устарела. Работы в данном направлении продолжу, но позже... -- С уважением. Алексей. [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 548 bytes --] ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] #12898 2007-09-25 16:42 ` Michael Shigorin 2007-09-25 17:26 ` Aleksey Avdeev @ 2007-09-25 19:34 ` Anton Gorlov 2007-09-26 5:27 ` Timur Batyrshin 2 siblings, 0 replies; 13+ messages in thread From: Anton Gorlov @ 2007-09-25 19:34 UTC (permalink / raw) To: ALT Linux sysadmin discuss Michael Shigorin пишет: > Для /var/www/html -- включено. > Можно выключить для /var/www/vhosts, поскольку для собственно > виртхостов оно и рекомендуется. Можно повыключать везде. Я (скромненько так) всеми чакрами за то что бы для /var/www/vhosts вырубить автоиндексацию. В личку могу обяьснить чем мне атк не угодил автоиндекс (на публику не могу...:-/) -- np: silence ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] #12898 2007-09-25 16:42 ` Michael Shigorin 2007-09-25 17:26 ` Aleksey Avdeev 2007-09-25 19:34 ` Anton Gorlov @ 2007-09-26 5:27 ` Timur Batyrshin 2007-09-26 10:54 ` Michael Shigorin 2 siblings, 1 reply; 13+ messages in thread From: Timur Batyrshin @ 2007-09-26 5:27 UTC (permalink / raw) To: sysadmins Michael Shigorin (Tue, 25 Sep 2007 19:42:59 +0300): > Я не могу оценить, сколько существующих установок это > изменение сломает (поскольку рано или поздно оно попадёт > в updates/дистрибутив). При обновлении пакета конфиг же, вроде, не переписывается, а пишется в .rpmnew -- т.е. существующие установки не должны поломаться. ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] #12898 2007-09-26 5:27 ` Timur Batyrshin @ 2007-09-26 10:54 ` Michael Shigorin 2007-09-26 11:27 ` Timur Batyrshin 0 siblings, 1 reply; 13+ messages in thread From: Michael Shigorin @ 2007-09-26 10:54 UTC (permalink / raw) To: sysadmins On Wed, Sep 26, 2007 at 09:27:30AM +0400, Timur Batyrshin wrote: > > Я не могу оценить, сколько существующих установок это > > изменение сломает (поскольку рано или поздно оно попадёт > > в updates/дистрибутив). > При обновлении пакета конфиг же, вроде, не переписывается, а > пишется в .rpmnew -- т.е. существующие установки не должны > поломаться. Ммм... тоже да. Хорошо, выключаем для /var/www/html или где? В идеале -- можете туда же в багу довесить желаемый патч на httpd.conf? -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] #12898 2007-09-26 10:54 ` Michael Shigorin @ 2007-09-26 11:27 ` Timur Batyrshin 2007-09-26 16:46 ` Vyatcheslav Perevalov 0 siblings, 1 reply; 13+ messages in thread From: Timur Batyrshin @ 2007-09-26 11:27 UTC (permalink / raw) To: sysadmins Michael Shigorin (Wed, 26 Sep 2007 13:54:56 +0300): > > > Я не могу оценить, сколько существующих установок это > > > изменение сломает (поскольку рано или поздно оно попадёт > > > в updates/дистрибутив). > > При обновлении пакета конфиг же, вроде, не переписывается, а > > пишется в .rpmnew -- т.е. существующие установки не должны > > поломаться. > Ммм... тоже да. > > Хорошо, выключаем для /var/www/html или где? Вот это бы, кстати, лучше и у людей спросить. По хорошему бы, мне кажется, сделать -Indexes для корня, а потом для чего надо (/home/*/public_html например) их включить. Кто что скажет? > В идеале -- можете туда же в багу довесить желаемый патч на > httpd.conf? Если возражений не будет -- довешу как выше указал. ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] #12898 2007-09-26 11:27 ` Timur Batyrshin @ 2007-09-26 16:46 ` Vyatcheslav Perevalov 2007-09-26 16:49 ` Anton Gorlov 0 siblings, 1 reply; 13+ messages in thread From: Vyatcheslav Perevalov @ 2007-09-26 16:46 UTC (permalink / raw) To: ALT Linux sysadmin discuss В сообщении от 26 сентября 2007 Timur Batyrshin написал(a): > Вот это бы, кстати, лучше и у людей спросить. > По хорошему бы, мне кажется, сделать -Indexes для корня, а потом для > чего надо (/home/*/public_html например) их включить. > > Кто что скажет? Согласен. Обнаружение www/cgi-bin позволит провести масштабное исследование на предмет уязвимости. -- Всего хорошего /vip ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] #12898 2007-09-26 16:46 ` Vyatcheslav Perevalov @ 2007-09-26 16:49 ` Anton Gorlov 2007-09-26 22:24 ` Aleksey Avdeev 0 siblings, 1 reply; 13+ messages in thread From: Anton Gorlov @ 2007-09-26 16:49 UTC (permalink / raw) To: ALT Linux sysadmin discuss Vyatcheslav Perevalov пишет: >> Кто что скажет? > Согласен. Обнаружение www/cgi-bin позволит провести масштабное исследование на > предмет уязвимости. Я вообще распологаю cgi-bin уровнем выше documentroot.... -- np: silence ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] #12898 2007-09-26 16:49 ` Anton Gorlov @ 2007-09-26 22:24 ` Aleksey Avdeev 0 siblings, 0 replies; 13+ messages in thread From: Aleksey Avdeev @ 2007-09-26 22:24 UTC (permalink / raw) To: ALT Linux sysadmin discuss Anton Gorlov пишет: > Vyatcheslav Perevalov пишет: > >>> Кто что скажет? >> Согласен. Обнаружение www/cgi-bin позволит провести масштабное исследование на >> предмет уязвимости. > > Я вообще распологаю cgi-bin уровнем выше documentroot.... > Помоему это у нас в конфигурации по умолчанию (что во втором, что в первом apache)... -- С уважением. Алексей. ^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] #12898 2007-09-25 12:26 [Sysadmins] #12898 Timur Batyrshin 2007-09-25 12:36 ` Alexander Volkov @ 2007-09-25 12:46 ` Anton Gorlov 1 sibling, 0 replies; 13+ messages in thread From: Anton Gorlov @ 2007-09-25 12:46 UTC (permalink / raw) To: ALT Linux sysadmin discuss Timur Batyrshin пишет: > https://bugzilla.altlinux.org/show_bug.cgi?id=12898 : >> У меня предложение поставить по умолчанию Option -Indexes, т.к. >> возможность просмотра содержания каталога сайта -- потенциальная дыра >> в безопасности. >> --Additional Comment #1 From Michael Shigorin 2007-09-25 >> 15:50[reply]-- >> Не могу согласиться -- давайте обсудим в sysadmins@, осмысленно ли так >> закручивать эту гайку по умолчанию? > Его же всегда можно переопределить в .htaccess, причем просмотр > содержимого каталога редко когда нужно бывает. Так... к слову- я своим юзерам вообще разрешаю через хтаццесс крутить только AllowOverride AuthConfig FileInfo Indexes Limit Он некоторой "гибкости" рук спасает... ^ permalink raw reply [flat|nested] 13+ messages in thread
end of thread, other threads:[~2007-09-26 22:24 UTC | newest] Thread overview: 13+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2007-09-25 12:26 [Sysadmins] #12898 Timur Batyrshin 2007-09-25 12:36 ` Alexander Volkov 2007-09-25 12:59 ` Timur Batyrshin 2007-09-25 16:42 ` Michael Shigorin 2007-09-25 17:26 ` Aleksey Avdeev 2007-09-25 19:34 ` Anton Gorlov 2007-09-26 5:27 ` Timur Batyrshin 2007-09-26 10:54 ` Michael Shigorin 2007-09-26 11:27 ` Timur Batyrshin 2007-09-26 16:46 ` Vyatcheslav Perevalov 2007-09-26 16:49 ` Anton Gorlov 2007-09-26 22:24 ` Aleksey Avdeev 2007-09-25 12:46 ` Anton Gorlov
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git