Страница 1 из 2

Подскажите как запретить доступ к директории /openserver/?

Добавлено: 08 сен 2013, 16:28
KlauS
Возникла необходимость ограничить доступ ко всем уязвимым местам, даже с локальных адресов 127.0.0.1, включил защиту сервера от внешнего доступа, но с локального адреса директория осталась доступна, подскажите пожалуйста как отключить вообще доступ к этой папке вплоть до локального?

Добавлено: 08 сен 2013, 16:30
Максим
Какая директория, где находится, где доступна, по какому протоколу. О чем вообще речь, не понятно.

Добавлено: 08 сен 2013, 16:41
KlauS
Директория http://127.0.0.1/openserver/ доступна с локальных адресов, а т.к все запросы поступают со внутреннего "Локального" сервиса то доступ к этой папке остается открытым, подскажите как заблокировать доступ к этой директории вообще?

Добавлено: 08 сен 2013, 16:49
Максим
Это не папка, а виртуальный адрес. Не хотите использовать, так удалите блоки отвечающие за него из конфига http модуля.

Добавлено спустя 2 минуты 18 секунд:
В Apache например надо такое потереть:
<Directory "%sprogdir%/modules/system/html/openserver">
    AllowOverride None
    Options -MultiViews -Indexes -FollowSymLinks -IncludesNoExec -Includes -ExecCGI
    Require all denied
    Require ip 127.0.0.0/8 ::1/128
    Require ip %ips%
    %allow%Require all granted
    <LimitExcept GET POST HEAD>
        Require all denied
    </LimitExcept>
    AddDefaultCharset Off
   <IfModule dir_module>
    DirectoryIndex index.php
    </IfModule>
</Directory>
<IfModule alias_module>
    Alias /openserver/ "%sprogdir%/modules/system/html/openserver/"
</IfModule>

Добавлено: 08 сен 2013, 16:54
KlauS
Возникла проблема, сделал как вы сказали удалил из конфига этот код, но сервер перестал запускаться, как быть?
2013-09-08 07:25:49 --------------------------------------------
2013-09-08 07:25:49 Начало процедуры запуска сервера
2013-09-08 07:25:49 Обновление Hosts файла
2013-09-08 07:25:49 Обновление конфигурации MySQL-5.1.71
2013-09-08 07:25:49 Обновление конфигурации Sendmail
2013-09-08 07:25:49 Обновление конфигурации PHP-5.2.17
2013-09-08 07:25:49 Обновление конфигурации PHPMyAdmin
2013-09-08 07:25:49 Обновление конфигурации Apache-2.2.25
2013-09-08 07:25:49 Запуск MySQL-5.1.71
2013-09-08 07:25:49 Запуск Apache-2.2.25
2013-09-08 07:25:50 Проверка состояния сервера
2013-09-08 07:26:09 Не удалось запустить Apache-2.2.25
2013-09-08 07:26:09 Сбой запуска!
2013-09-08 07:26:09 --------------------------------------------
2013-09-08 07:26:09 Начало процедуры остановки сервера
2013-09-08 07:26:09 Остановка системных модулей
2013-09-08 07:26:12 Отключение виртуального диска
2013-09-08 07:26:12 Веб-сервер успешно остановлен!
localhost: 127.0.0.1 [08/Sep/2013:07:26:09 -0700] "GET /openserver/check.html HTTP/1.0" 404 1061 "-" "Mozilla/4.0 (compatible; ICS)"
[Sun Sep 08 07:26:09 2013] [error] [client 127.0.0.1] File does not exist: C:/OpenServer/domains/localhost/openserver

Добавлено: 08 сен 2013, 17:27
Максим
Пуск - Панель управления - Язык, Часы и Регион. Или двойной клик на часах в трее.

Добавлено: 08 сен 2013, 17:51
KlauS
В будущих версиях openserver хотелось бы предложить защитить эту директорию (виртуальный адрес), паролем задаваемым в панели управления сервером. Это будет актуально для тех кто использует вашу сборку в качестве сервиса с доступом из интернета, т.к это является серьёзной дырой в защите сервера.

Добавлено: 08 сен 2013, 17:55
Максим
А ну да, ступил я. Верните конфиг, просто удалите всё из папки modules/system/html/openserver/ кроме файлов check*

После этого адрес будет все еще работать, но там уже не будет никаких инструментов. Полностью отключить адрес нельзя, он служебный и нужен для запуска.

Добавлено спустя 1 минуту 6 секунд:
KlauS писал(а):В будущих версиях openserver хотелось бы предложить защитить эту директорию (виртуальный адрес), паролем задаваемым в панели управления сервером. Это будет актуально для тех кто использует вашу сборку в качестве сервиса с доступом из интернета, т.к это является серьёзной дырой в защите сервера.
Эта папка защищена и никакой дыры там нет. Включайте защиту от внешнего доступа и инструменты будут доступны только с локальной машины.

Добавлено: 08 сен 2013, 18:17
KlauS
Эта папка защищена и никакой дыры там нет. Включайте защиту от внешнего доступа и инструменты будут доступны только с локальной машины.
У меня включена защита от внешнего доступа, но т.к обращение к серверу происходит с локального сервиса (роутера), то все адреса входящих соединений имеют адрес локальной машины "127.0.0.1" у которого как раз есть доступ к этой директории.
localhost: 127.0.0.1 [08/Sep/2013:08:06:06 -0700] "GET /openserver/tools.png HTTP/1.1" 200 10750 "http://10.96.72.218/openserver/" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
Я понимаю, это специфический случай, но имеет место быть. Все-таки хотелось бы защитить эту директорию паролем, это было-бы так-же полезно тем кому требуется удаленный доступ к серверу. И тем кто не хочет снижать производительность скриптов подключением функции "Защиты сервера от внешнего доступа". Спасибо за помощь))) У вас отличный проект, так-же отдельное спасибо за разработку OpenServer)))

P.S Я бы очень хотел надеяться что вы все-таки реализуете мое предложение))) думаю многие пользователи со мной бы согласились)

Добавлено: 08 сен 2013, 18:58
Максим
Как вы уже правильно заметили, это специфический случай.

Ваше предложение не будет реализовано и, вопреки вашему мнению, думаю никому эти пароли не нужны, потому что как правило доступ во внешнюю сеть осуществляется через реальный роутер (оборудование) который будет иметь адрес типа 192.168.1.1 или через интернет подключение самого сервера, которое тоже будет иметь отдельный IP адрес, а не локальный.

То, что у вас все внешние подключения приходят с адреса 127.0.0.1 это ненормально, это лишь частный случай какой-то экзотической конфигурации конкретно у вас.

Если вам нужны пароли, то вы без проблем можете сделать их себе самостоятельно стандартным способом который предлагает Apache через файл .htpasswd, а делать это для всех я не буду.

Добавлено спустя 8 минут 32 секунды:
Сорри, невнимательно прочитал ваше сообщение. Вы же еще на медлительность жалуетесь... Есть способ не включать ограничения для PHP, только для этой папки. Это уже обсуждалось здесь: http://open-server.ru/forum/viewtopic.p ... 5414#p5414