* [Sysadmins] #12898
@ 2007-09-25 12:26 Timur Batyrshin
2007-09-25 12:36 ` Alexander Volkov
2007-09-25 12:46 ` Anton Gorlov
0 siblings, 2 replies; 13+ messages in thread
From: Timur Batyrshin @ 2007-09-25 12:26 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
https://bugzilla.altlinux.org/show_bug.cgi?id=12898 :
> У меня предложение поставить по умолчанию Option -Indexes, т.к.
> возможность просмотра содержания каталога сайта -- потенциальная дыра
> в безопасности.
> --Additional Comment #1 From Michael Shigorin 2007-09-25
> 15:50[reply]--
> Не могу согласиться -- давайте обсудим в sysadmins@, осмысленно ли так
> закручивать эту гайку по умолчанию?
Его же всегда можно переопределить в .htaccess, причем просмотр
содержимого каталога редко когда нужно бывает.
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] #12898
2007-09-25 12:26 [Sysadmins] #12898 Timur Batyrshin
@ 2007-09-25 12:36 ` Alexander Volkov
2007-09-25 12:59 ` Timur Batyrshin
2007-09-25 16:42 ` Michael Shigorin
2007-09-25 12:46 ` Anton Gorlov
1 sibling, 2 replies; 13+ messages in thread
From: Alexander Volkov @ 2007-09-25 12:36 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On 2007-09-25 16:26:47 +0400, Timur Batyrshin wrote:
TB> https://bugzilla.altlinux.org/show_bug.cgi?id=12898 :
TB> > У меня предложение поставить по умолчанию Option -Indexes, т.к.
TB> > возможность просмотра содержания каталога сайта -- потенциальная дыра
TB> > в безопасности.
А оно по умолчанию разве включено?
TB> > --Additional Comment #1 From Michael Shigorin 2007-09-25
TB> > 15:50[reply]--
TB> > Не могу согласиться -- давайте обсудим в sysadmins@, осмысленно ли так
TB> > закручивать эту гайку по умолчанию?
TB> Его же всегда можно переопределить в .htaccess, причем просмотр
TB> содержимого каталога редко когда нужно бывает.
Согласен.
--
Regards, Alexander
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] #12898
2007-09-25 12:26 [Sysadmins] #12898 Timur Batyrshin
2007-09-25 12:36 ` Alexander Volkov
@ 2007-09-25 12:46 ` Anton Gorlov
1 sibling, 0 replies; 13+ messages in thread
From: Anton Gorlov @ 2007-09-25 12:46 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Timur Batyrshin пишет:
> https://bugzilla.altlinux.org/show_bug.cgi?id=12898 :
>> У меня предложение поставить по умолчанию Option -Indexes, т.к.
>> возможность просмотра содержания каталога сайта -- потенциальная дыра
>> в безопасности.
>> --Additional Comment #1 From Michael Shigorin 2007-09-25
>> 15:50[reply]--
>> Не могу согласиться -- давайте обсудим в sysadmins@, осмысленно ли так
>> закручивать эту гайку по умолчанию?
> Его же всегда можно переопределить в .htaccess, причем просмотр
> содержимого каталога редко когда нужно бывает.
Так... к слову- я своим юзерам вообще разрешаю через хтаццесс крутить
только
AllowOverride AuthConfig FileInfo Indexes Limit
Он некоторой "гибкости" рук спасает...
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] #12898
2007-09-25 12:36 ` Alexander Volkov
@ 2007-09-25 12:59 ` Timur Batyrshin
2007-09-25 16:42 ` Michael Shigorin
1 sibling, 0 replies; 13+ messages in thread
From: Timur Batyrshin @ 2007-09-25 12:59 UTC (permalink / raw)
To: sysadmins
Alexander Volkov (Tue, 25 Sep 2007 16:36:33 +0400):
> TB> https://bugzilla.altlinux.org/show_bug.cgi?id=12898 :
> TB> > У меня предложение поставить по умолчанию Option -Indexes, т.к.
> TB> > возможность просмотра содержания каталога сайта --
> TB> > потенциальная дыра в безопасности.
> А оно по умолчанию разве включено?
Включено.
> TB> > --Additional Comment #1 From Michael Shigorin 2007-09-25
> TB> > 15:50[reply]--
>
> TB> > Не могу согласиться -- давайте обсудим в sysadmins@, осмысленно
> TB> > ли так закручивать эту гайку по умолчанию?
>
> TB> Его же всегда можно переопределить в .htaccess, причем просмотр
> TB> содержимого каталога редко когда нужно бывает.
> Согласен.
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] #12898
2007-09-25 12:36 ` Alexander Volkov
2007-09-25 12:59 ` Timur Batyrshin
@ 2007-09-25 16:42 ` Michael Shigorin
2007-09-25 17:26 ` Aleksey Avdeev
` (2 more replies)
1 sibling, 3 replies; 13+ messages in thread
From: Michael Shigorin @ 2007-09-25 16:42 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Tue, Sep 25, 2007 at 04:36:33PM +0400, Alexander Volkov wrote:
> TB> https://bugzilla.altlinux.org/show_bug.cgi?id=12898 :
> TB> > У меня предложение поставить по умолчанию Option -Indexes, т.к.
> TB> > возможность просмотра содержания каталога сайта -- потенциальная дыра
> TB> > в безопасности.
> А оно по умолчанию разве включено?
Для /var/www/html -- включено.
Можно выключить для /var/www/vhosts, поскольку для собственно
виртхостов оно и рекомендуется. Можно повыключать везде.
Ещё из мест, где политика по индексам может отличаться --
/home/*/public_html/.
> TB> Его же всегда можно переопределить в .htaccess, причем просмотр
> TB> содержимого каталога редко когда нужно бывает.
> Согласен.
Понимаете, в чём дело.
Я не могу оценить, сколько существующих установок это
изменение сломает (поскольку рано или поздно оно попадёт
в updates/дистрибутив). Поскольку последний год ознаменовался
несколькими весьма несвоевременными наступления на грабли, где
были слишком закручены гайки там, где это ничего особенно не
решало -- теперь предпочитаю дуть хотя бы на свою воду.
Правило, что следует отключать автоиндексирование каталогов,
где оно не требуется (или использовать в качестве политики) --
вполне известно среди сколь-нибудь опытных вебмастеров. С одной
стороны, они могут и поставить (и отключить); с другой -- им
обычно влом делать рутинные действия, которые напрашиваются
в дефолт.
Поэтому мне сложно самому здесь решить: apache-1.3 у нас по таким
вот дефолтам скорее придерживается консервативной линии ("никому
ничего не сломать ненароком") или наоборот -- подстраивается под
тех предположительно опытных пользователей, которые до сих пор на
нём сидят.
Поэтому и попросил мнения общественности.
PS: если кто-либо смотрел сборку в Daedalus, которая
"гармонизирована" с apache2 -- буду благодарен за отзывы.
Его бы хорошо смержить, но времени и сил на оценку возможных
проблем не хватает.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] #12898
2007-09-25 16:42 ` Michael Shigorin
@ 2007-09-25 17:26 ` Aleksey Avdeev
2007-09-25 19:34 ` Anton Gorlov
2007-09-26 5:27 ` Timur Batyrshin
2 siblings, 0 replies; 13+ messages in thread
From: Aleksey Avdeev @ 2007-09-25 17:26 UTC (permalink / raw)
To: shigorin, ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 353 bytes --]
Michael Shigorin пишет:
...
>
> PS: если кто-либо смотрел сборку в Daedalus, которая
> "гармонизирована" с apache2 -- буду благодарен за отзывы.
> Его бы хорошо смержить, но времени и сил на оценку возможных
> проблем не хватает.
Она сильно устарела.
Работы в данном направлении продолжу, но позже...
--
С уважением. Алексей.
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 548 bytes --]
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] #12898
2007-09-25 16:42 ` Michael Shigorin
2007-09-25 17:26 ` Aleksey Avdeev
@ 2007-09-25 19:34 ` Anton Gorlov
2007-09-26 5:27 ` Timur Batyrshin
2 siblings, 0 replies; 13+ messages in thread
From: Anton Gorlov @ 2007-09-25 19:34 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Michael Shigorin пишет:
> Для /var/www/html -- включено.
> Можно выключить для /var/www/vhosts, поскольку для собственно
> виртхостов оно и рекомендуется. Можно повыключать везде.
Я (скромненько так) всеми чакрами за то что бы для /var/www/vhosts
вырубить автоиндексацию. В личку могу обяьснить чем мне атк не угодил
автоиндекс (на публику не могу...:-/)
--
np: silence
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] #12898
2007-09-25 16:42 ` Michael Shigorin
2007-09-25 17:26 ` Aleksey Avdeev
2007-09-25 19:34 ` Anton Gorlov
@ 2007-09-26 5:27 ` Timur Batyrshin
2007-09-26 10:54 ` Michael Shigorin
2 siblings, 1 reply; 13+ messages in thread
From: Timur Batyrshin @ 2007-09-26 5:27 UTC (permalink / raw)
To: sysadmins
Michael Shigorin (Tue, 25 Sep 2007 19:42:59 +0300):
> Я не могу оценить, сколько существующих установок это
> изменение сломает (поскольку рано или поздно оно попадёт
> в updates/дистрибутив).
При обновлении пакета конфиг же, вроде, не переписывается, а пишется
в .rpmnew -- т.е. существующие установки не должны поломаться.
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] #12898
2007-09-26 5:27 ` Timur Batyrshin
@ 2007-09-26 10:54 ` Michael Shigorin
2007-09-26 11:27 ` Timur Batyrshin
0 siblings, 1 reply; 13+ messages in thread
From: Michael Shigorin @ 2007-09-26 10:54 UTC (permalink / raw)
To: sysadmins
On Wed, Sep 26, 2007 at 09:27:30AM +0400, Timur Batyrshin wrote:
> > Я не могу оценить, сколько существующих установок это
> > изменение сломает (поскольку рано или поздно оно попадёт
> > в updates/дистрибутив).
> При обновлении пакета конфиг же, вроде, не переписывается, а
> пишется в .rpmnew -- т.е. существующие установки не должны
> поломаться.
Ммм... тоже да.
Хорошо, выключаем для /var/www/html или где? В идеале --
можете туда же в багу довесить желаемый патч на httpd.conf?
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] #12898
2007-09-26 10:54 ` Michael Shigorin
@ 2007-09-26 11:27 ` Timur Batyrshin
2007-09-26 16:46 ` Vyatcheslav Perevalov
0 siblings, 1 reply; 13+ messages in thread
From: Timur Batyrshin @ 2007-09-26 11:27 UTC (permalink / raw)
To: sysadmins
Michael Shigorin (Wed, 26 Sep 2007 13:54:56 +0300):
> > > Я не могу оценить, сколько существующих установок это
> > > изменение сломает (поскольку рано или поздно оно попадёт
> > > в updates/дистрибутив).
> > При обновлении пакета конфиг же, вроде, не переписывается, а
> > пишется в .rpmnew -- т.е. существующие установки не должны
> > поломаться.
> Ммм... тоже да.
>
> Хорошо, выключаем для /var/www/html или где?
Вот это бы, кстати, лучше и у людей спросить.
По хорошему бы, мне кажется, сделать -Indexes для корня, а потом для
чего надо (/home/*/public_html например) их включить.
Кто что скажет?
> В идеале -- можете туда же в багу довесить желаемый патч на
> httpd.conf?
Если возражений не будет -- довешу как выше указал.
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] #12898
2007-09-26 11:27 ` Timur Batyrshin
@ 2007-09-26 16:46 ` Vyatcheslav Perevalov
2007-09-26 16:49 ` Anton Gorlov
0 siblings, 1 reply; 13+ messages in thread
From: Vyatcheslav Perevalov @ 2007-09-26 16:46 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от 26 сентября 2007 Timur Batyrshin написал(a):
> Вот это бы, кстати, лучше и у людей спросить.
> По хорошему бы, мне кажется, сделать -Indexes для корня, а потом для
> чего надо (/home/*/public_html например) их включить.
>
> Кто что скажет?
Согласен. Обнаружение www/cgi-bin позволит провести масштабное исследование на
предмет уязвимости.
--
Всего хорошего
/vip
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] #12898
2007-09-26 16:46 ` Vyatcheslav Perevalov
@ 2007-09-26 16:49 ` Anton Gorlov
2007-09-26 22:24 ` Aleksey Avdeev
0 siblings, 1 reply; 13+ messages in thread
From: Anton Gorlov @ 2007-09-26 16:49 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Vyatcheslav Perevalov пишет:
>> Кто что скажет?
> Согласен. Обнаружение www/cgi-bin позволит провести масштабное исследование на
> предмет уязвимости.
Я вообще распологаю cgi-bin уровнем выше documentroot....
--
np: silence
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] #12898
2007-09-26 16:49 ` Anton Gorlov
@ 2007-09-26 22:24 ` Aleksey Avdeev
0 siblings, 0 replies; 13+ messages in thread
From: Aleksey Avdeev @ 2007-09-26 22:24 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Anton Gorlov пишет:
> Vyatcheslav Perevalov пишет:
>
>>> Кто что скажет?
>> Согласен. Обнаружение www/cgi-bin позволит провести масштабное исследование на
>> предмет уязвимости.
>
> Я вообще распологаю cgi-bin уровнем выше documentroot....
>
Помоему это у нас в конфигурации по умолчанию (что во втором, что в
первом apache)...
--
С уважением. Алексей.
^ permalink raw reply [flat|nested] 13+ messages in thread
end of thread, other threads:[~2007-09-26 22:24 UTC | newest]
Thread overview: 13+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2007-09-25 12:26 [Sysadmins] #12898 Timur Batyrshin
2007-09-25 12:36 ` Alexander Volkov
2007-09-25 12:59 ` Timur Batyrshin
2007-09-25 16:42 ` Michael Shigorin
2007-09-25 17:26 ` Aleksey Avdeev
2007-09-25 19:34 ` Anton Gorlov
2007-09-26 5:27 ` Timur Batyrshin
2007-09-26 10:54 ` Michael Shigorin
2007-09-26 11:27 ` Timur Batyrshin
2007-09-26 16:46 ` Vyatcheslav Perevalov
2007-09-26 16:49 ` Anton Gorlov
2007-09-26 22:24 ` Aleksey Avdeev
2007-09-25 12:46 ` Anton Gorlov
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git