it-swarm.com.de

Was bedeutet "Alles Erfordern" in Directory / (root) WIRKLICH? (Apache 2.4 unter CentOS 7

ich bin sicher, diese Frage sieht zuerst wirklich dumm aus. aber ich brauche eine "zweite meinung" dazu, auch wenn ich selbst recherchiert habe, bin mir diesbezüglich aber immer noch unsicher.

Standardmäßig verweigert die Apache-Konfiguration unter CentOS7 und so ziemlich jeder bisher bekannten Distribution den rekursiven Zugriff auf das ROOT-Dateisystem (/) mit einer Directory-Anweisung wie der folgenden:

Standard: /etc/httpd/conf/httpd.conf

<Directory />
    AllowOverride none
    Require all denied 
</Directory>

Gewöhnlich gefolgt von einigen Directory Statements (Blöcken), die die Berechtigungen für die Teile des Dateisystems "lockern", die HTML- oder andere Webserver-Inhalte enthalten.

Jetzt muss ich mich in letzter Zeit mit "irgendeiner Web-App" von "irgendeiner Firma" befassen, die die folgende Änderung an der Apache-Konfigurationsdatei anfordert/erfordert:

Von der Softwarefirma angefordert: /etc/httpd/conf/httpd.conf

<Directory />
    AllowOverride none
    Require all granted
</Directory>

Dies ließ eine rote Fahne in meinem Kopf aufsteigen und ich versuchte dies im Internet zu recherchieren. Ich habe noch nichts gefunden, das genau angibt, was diese Konfiguration effektiv bedeuten würde. Aber ich würde raten, dies gewährt Lesezugriff auf so ziemlich jede Datei auf dem gesamten Linux-Server, die von der Benutzergruppe "other" oder dem Apache-Dienstkonto oder der Dienstgruppe gelesen werden kann. Also, wenn ich recht habe, wäre es eine wirklich sehr, sehr gute Idee, jemals so etwas auf einem Internet-Webserver zu machen.

bin ich in dieser Annahme richtig? oder fehle ich hier etwas?

danke für jeden hinweis/tipp/erklärung dazu!

viele Grüße Axel

2
Axel Werner

Dies ist ein Problem, auf das ich einige Male gestoßen bin und das aus einer Änderung der Terminologie von Apache 2.2 auf Apache 2.4 ( hier detailliert ) resultiert. Zugriffssteuerungsoptionen, die zuvor mit "X bestellen", "Zulassen" oder "Von X verweigern" angesprochen wurden, können jetzt mit "X anfordern" verwaltet werden. Das einfachste Anwendungsbeispiel wäre ...

Apache 2.2:

Order allow,deny
Allow from all

..auf die neuere Apache würde gleichzusetzen mit ...

Apache 2.4:

Require all granted

Im Grunde genommen, ja - Sie sind zu Recht der Ansicht, dass diese Änderung die Zugriffsberechtigungen auf Ihrem Server erheblich beeinträchtigt (wobei natürlich alle anderen gleich bleiben).

1
Matthew Haeck