Нови статии
bash scripts
CPU-frequency scalin...
Oбновявания на ОС W...
install zoneminder 1...
Installing mysql Mar...
Теми във форума
Нови теми
Малък лек и удобен д...
Клавишни комбинации ...
Инсталация на Arch L...
Защитна стена за мик...
Linux
Най-активни теми
Color console linux [4]
Клавишни комбинац... [1]
Защитна стена за ... [1]
Linux [1]
Малък лек и удобе... [0]
Приятели
Сега
Времето
Йерархия на статиите
Статии » Сигурност » Как да си защитим страницата.
Как да си защитим страницата.
В Интернет може да намерите достатъчно сайтове посветени на пробивите в сигурността на различни web-приложения и техните версии. Много от хакерските атаки започват именно с разгадаването на продукта и версията, която използвате за определена web-услуга на сървера Ви. Също така някои от script-kiddies атаките започват с такава проверка.


След като определи продукта и версията на приложението атакуващият най-често търси в специализираните сайтове дали съществуват пробиви за съответното приложение и преценява дали атаката му ще има резултат.
Един от най-лесните методи за определяне на продукта и неговата версия е чрез така наречените "банери", които изпращат самите приложения. Всеки от Вас е виждал под съобщението за грешка 404 информация от вида на "Apache/1.3.31 Server at XXX.XXX.XXX.XXX Port 80", а в някои случаи и по-подробно.
Настоящата статия има за цел да покаже как да отстраним или променим тези банери с цел повишаване на сигурността.

2. Решения за някои web-приложения

2.1. Apache

Най-лесната операция в случая е да промените/добавите директивите в конфигурационния файл httpd.conf по следния начин:

ServerSignature Off
ServerTokens ProductOnly


Това ще доведе до скриване на информацията за версията на Apache и инсталираните модули към него, но няма да скрие името на продукта (Apache).
Вторият, но по-труден вариант е да промените сорса на Apache преди да го компилирате. Отворете include/httpd.h и променете:
#define SERVER_BASEVENDOR "Apache Group"
#define SERVER_BASEPRODUCT "Apache"
#define SERVER_BASEREVISION ""

Примерно на (BASEVENDOR: Microsoft, BASEPRODUCT: Microsoft-IIS, BASEREVISION: 5.0).

2.2. PHP

За PHP4, Apache редактирайте php.ini, като промените директивата:
ExposePHP off


2.3. ProFTPd

Отворете в директорията, където сте разархивирали пакета, src/main.c и потърсете за:

if((id = find_config(server->conf,CONF_PARAM,"ServerIdent",FALSE))
Коментирайте (/* if-блок */) целия if-блок и добавете под него следния ред:

send_response("220", "%s", server->ServerName);
Прекомпилирайте proftpd. След това редактирайте proftpd.conf и променете "ServerName" примерно на "Microsoft FTP Service (Version 5.0).".

2.4. OpenSSH

Отворете в директорията, където сте разархивирали пакета version.h и променете реда:
#define SSH_VERSION "OpenSSH_4.1"
Прекомпилирайте.

2.5. Postfix

Редактирайте main.cf, като търсите за smtpd_banner. В случая, обаче съшествува един проблем - ако искате да представите се представите за Microsoft’s ESMTP - този сървер връща текущата дата, докато Postfix не. За да отстраните този проблем, редактирайте /src/smtpd/smtpd.c и потърсете реда:
smtpd_chat_reply(state, "220 %s", var_smtpd_banner);
Сменете го с тези два реда:
state->time = time((time_t *) 0);
smtpd_chat_reply(state, "220 %s ready at %s", var_smtpd_banner, mail_date(state->time));

Прекомпилирайте, редактирайте main.cf с "Microsoft ESMTP MAIL Service, Version: 5.0.2195.5329" и сте готови.

2.6. Sendmail

Отворете /etc/mail/sendmail.cf и променете следния ред:
O SmtpGreetingMessage=$j Sendmail $v/$Z; $b
на
O SmtpGreetingMessage=OpenSMTP 2.1.1;
или нещо по Ваш .

2.7. Qmail

Доколкото ми е известно Qmail не подава банери при опит за връзка.

2.8. Bind

Редактирайте named.conf, като промените/добавите примерно:
....
options {

version "smallDNS 2.1";
.....



3. Заключение

В статията бях дадени начини за промяна на банерите подавани от някои от най-често използваните web-приложения. Тази промяна, като цяло, води до повишаване на сигурността на цялата система. В повечето от случаите дори и nmap дава невярна информация за стартираните приложения.
Все пак, не трябва да се разчита много на постигнатата по този начин сигурност. Изградете си добри защитни стени, следете за обновявания на използваните от Вас приложения, както и за новооткритите пробиви в тях.

4. Използвани материали

[1] http://projects.vanscherpenseel.nl/documents/howto_banners.html
[2] http://bulhack.org/educ/secure/bannersfaking.pdf

Публикувана от Linux на January 16 2007
Коментари
Няма написани коментари
Напишете коментар
Трябва да сте регистриран за да напишете коментар
Оценки
Оценяването е достъпно единствено за потребителите.

Влезте в акаунта си или се регистрирайте за да можете да давате оценки.

Няма оценки
Вход
Потребител

Парола



Не сте потребител?
Натиснете тук за да се регистрирате.

Забравихте паролата си?
Поискате си нова тук.
Downloads

New Downloads

NAVIGON-Europe ...
NAVIGON Europe ...
NAVIGON Europe ...
NAVIGON Europe ...
µTorrent 3.4.1 ...
BitTorrent 7.9....
ProgDVB 7.04.2 ...
ProgDVB 7.04.2 ...
Wine 1.7.17
sakis3g
Wise Disk Clean...
DAEMON Tools Li...
opam
TurboFTP 6.30 B...
Skype 6.3.73.10...
FileZilla 3.7.0...
ChrisTV 5.75
BSPlayer Pro 2....
Rotativki
SquirrelMail + ...

Top 10 Downloads

n-Track Studio ... [9299]
Super MP3 Downl... [9066]
Registry Mechan... [9047]
Microsoft Secur... [8963]
Rotativki [8148]
Hiren`s v10.0.9 [7766]
K-Lite Mega Cod... [7291]
BitComet 1.21 F... [7232]
Slax + Hiren's ... [5251]
WinSetup From USB [4931]
Ново от Калдата