Archive

‘未分類’ 分類過的Archive

Apache Porxy 代理強化安全性

2011年2月18日 尚無評論

又一案例客戶主機變慢了,經查apache log出現了很多怪log

82.146.62.95 – – [23/Feb/2011:13:58:09 +0800] “GET http://zevsmail1.joinvps.com/test_url/dump.php HTTP/1.0” 404 282
82.146.62.95 – – [23/Feb/2011:13:58:09 +0800] “CONNECT 74.125.232.49:443 HTTP/1.1” 400 378
187.158.158.47 – – [23/Feb/2011:13:58:09 +0800] “GET http://www.larednoticias.com/ HTTP/1.1” 200 335
68.169.86.222 – – [23/Feb/2011:13:58:09 +0800] “POST http://www.navanakorn.co.th/reply.php HTTP/1.1” 404 286

82.146.62.95 – – [23/Feb/2011:13:58:09 +0800] “GET http://zevsmail1.joinvps.com/test_url/dump.php HTTP/1.0” 404 28282.146.62.95 – – [23/Feb/2011:13:58:09 +0800] “CONNECT 74.125.232.49:443 HTTP/1.1” 400 378187.158.158.47 – – [23/Feb/2011:13:58:09 +0800] “GET http://www.larednoticias.com/ HTTP/1.1” 200 33568.169.86.222 – – [23/Feb/2011:13:58:09 +0800] “POST http://www.navanakorn.co.th/reply.php HTTP/1.1” 404 286

看來好像變成了代理伺服器,經瞭解,原來他的apache開了mod_proxy, 上網查了一下~~這個東東可不能亂用~@@,但客戶又有系統上的需求,非開不可,所以只好看看有什麼可以防治,以下是防範的作法,與大家分享:

1.似乎網路上有人建議如果是只需要domain 的網站,那該IP封起來不要給連即可!!  這是不錯的方法~可惜客戶連IP都要用@@

2.在IP那個預設的Directory 裡,將 ProxyRequests Off (不過怪了~似乎其它Virtual Host 有使用好像就關不起來,不過還是加上去保平安)

3.為了增加apache的安全性,所以只限GET POST OPTIONS 才能使用

<Directory “/var/www/html/root”>
AllowOverride none
Options FllowSymLinks
# 先允許能夠進行 GET, POST 與 OPTIONS 啦!
<Limit GET POST OPTIONS>
Order allow,deny
Allow from all
</Limit>

# 再規定除了這三個動作之外,其他的動作通通不允許啦!
<LimitExcept GET POST OPTIONS>
Order deny,allow
Deny from all
</LimitExcept>
</Directory>

經這樣使用後,系統運行後就正常多了,只是原本要找代理的請求都轉變成找不到檔案的error 佔滿了error log,原本是想看能不能將連至本網站但 GET 其它網站連結 都擋掉,想連log都看不到,不過查了一下~看來沒法子!!    只好等這個IP從Free代理主機名單中自行消失。

參考資料:

分頁: 上一頁 1 2