Apache de Kısa Yolların Performans ve Güvenlik Üzerine Etkileri |
Yanıt Yaz |
Yazar | |
megabros
Security Professional Kayıt Tarihi: 08-06-2009 Konum: Turkey Status: Aktif Değil Points: 752 |
Mesaj Seçenekleri
Yanıt Yaz
Alıntı megabros
Bu mesaj kurallara aykırıysa buradan yöneticileri bilgilendirebilirsiniz.
Gönderim Zamanı: 24-08-2009 Saat 00:16 |
Güvenlik ile performans ya da işlevsellik birçok bilgi sistemi varlığında olduğu gibi Apache web sunucusunda da bazı yapılandırma seçeneklerinde karşı karşıya gelmektedir. Bunlardan birisi de FollowSymLinks parametresidir. Apache web sunucusu FollowSymLinks parametresi ile işletim sistemi üzerinde oluşturulmuş kısa yolları takip ederek web üzerinden istemcilere sunabilir. Dizin tabanlı yapılandırmada Options parametresine girdi olarak verilen bu seçenek, aşağıda örneği verilen direktif ile aktif hale getirilir. <Directory Dizin_Ismi> Options +FollowSymLinks </Directory> Güvenlik bakış açısından düşünüldüğünde, işletim sisteminde oluşturulan kısa yolların takip edilmesi aşağıdaki problemlere yol açabilir:
Bu sebeple FollowSymLinks özelliğinin tüm dizinlerden kaldırılması en güvenli çözümdür. Öte yandan bu çözüm aşağıda sıralanan sebeplerden ötürü tercih edilmez. Öncelikle FollowSymLinks özelliği mod_rewrite modülünün çalışması için gereklidir [1]. Eğer bu modülün kullanılması gerekiyorsa ilgili dizinde FollowSymLinks yerine SymLinksifOwnerMatch özelliği etkinleştirilmelidir. Bu şekilde, erişim sadece kısa yolun sahibi olan kullanıcının sahibi olduğu dosyalara kısıtlanır. Örneğin kısa yol wwwrun kullanıcısı adına oluşturuluyor ise /etc/passwd gibi sahibi root olan bir dosyaya verilen linkler çalışmaz. Böylece risk azaltılmış olur. Aşağıda örnek bir kullanım yer almaktadır. <Directory Dizin_Ismi> Options SymLinksifOwnerMatch RewriteEngine on RewriteRule tahsin.html$ index.php </Directory> İkinci sebep ise FollowSymLinks seçeneğinin kullanılmamasının performansa olan etkileridir [2][3][4]. Kök dizininde (/) FollowSymLinks özelliği kaldırılırsa ya da SymLinksifOwnerMatch özelliği devreye alınırsa /usr/local/apache/htdocs dizini altında yer alan bir dosya, istemci tarafından çağırıldığında Apache # /usr # /usr/local # /usr/local/apache # /usr/local/apache/htdocs dizinlerinin her birinin kısa yol olup olmadığının kontrolünü yapar. Bu bilgileri ön bellekte tutmadığı için her çağrıda tekrarlar. Sonuç olarak bir performans problemi yaşanır. FollowSymLinks parametresinin güvenlik ve performans üzerine olan bu etkileri düşünüldüğünde uygulanacak en iyi çözüm kök dizininde kısa yollara izin verip web’den erişime açık dizinlerde kapatmak, ihtiyaç varsa SymLinksIfOwnerMatch parametresini devreye almaktır. Aşağıda bir örnek yer almaktadır: DocumentRoot /webroot/docs <Directory /> Options FollowSymLinks </Directory> <Directory /usr/local/apache/htdocs> Options -FollowSymLinks +SymLinksIfOwnerMatch </Directory> Gerek Apache konfigürasyon yapılandırmalarında gerekse işletim sistemi seviyesinde kısa yollar hakkında bilinmesi gerekli diğer hususlar şunlardır:
[komut_satiri]# ls -l /hedef_dosya.html link.html lrwxrwxrwx 1 root root 11 May 18 09:42 link.html -> /hedef_dosya.html -rw-r–r– 1 root root 1972 Mar 2 11:21 hedef_dosya.html [komut_satiri]# chown oracle link.html [komut_satiri]# ls -l /hedef_dosya.html link.html lrwxrwxrwx 1 root root 11 May 18 09:42 link.html -> /hedef_dosya.html -rw-r–r– 1 oracle root 1972 Mar 2 11:21 /hedef_dosya.html
RewriteEngine On RewriteCond %{REQUEST_METHOD} ^TRACE RewriteRule .* – [F] Saygılar..
|
|
Yanıt Yaz | |
Tweet |
Forum Atla | Forum İzinleri Kapalı Foruma Yeni Konu Gönderme Kapalı Forumdaki Konulara Cevap Yazma Kapalı Forumda Cevapları Silme Kapalı Forumdaki Cevapları Düzenleme Kapalı Forumda Anket Açma Açık Forumda Anketlerde Oy Kullanma |