• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Гостевая статья Как защитить веб сервер на Kali Linux от доступа посторонних



Предположим, для тренировки вы установили Mutillidae, или DVWA, или что-то подобное

Эти приложения имеют множество уязвимостей, в том числе для загрузки файлов (backdoors) и SQL injections. Такие сценарии могут привести к полному компромиссу не только веб-сервера, но и всего компьютера. Поэтому правильно ограничить доступ к веб-серверу извне.

Управление доступом (какие IP-адреса разрешены или не разрешены) настраивается в файле .htaccess. Но по умолчанию поддержка этого файла отключена - то есть настройки из этого файла не учитываются.

Чтобы включить .htaccess в Kali Linux откройте файл /etc/apache2/apache2.conf:

Код:
sudo gedit /etc/apache2/apache2.conf


Найдите там строки:

<Directory /var/www/>

Options Indexes FollowSymLinks

AllowOverride None

Require all granted

</Directory>

И замените их на:

<Directory /var/www/>

Options Indexes FollowSymLinks

AllowOverride All

Require all granted

</Directory>

1.png



Теперь перезапустите веб сервер, чтобы изменения вступили в силу:

Код:
sudo systemctl restart apache2


Корневой папкой сайтов является /var/www/html/, поэтому создайте там файл .htaccess:

Код:
sudo gedit /var/www/html/.htaccess


На самом деле, файл .htaccess можно создать в любой папке с сайтами. Помните, что на доступ к любой папки веб-сервера оказывают влияние как файл .htaccess в текущей директории, так и файлы .htaccess в родительских директориях.

Если вам нужно ограничить доступ для всех IP, кроме локальных, то используйте:

Код:
Require ip 10 172.20 192.168.2


Вы можете запретить все удалённые подключения директивой:

Require local

2.png


Обратите внимание, что несмотря на название local разрешены только соединения с этого же самого компьютера (localhost) и запрещены любые другие удалённые подключения, даже из локальной сети.

3.png



С помощью «Require ip» можно указывать одиночные IP или диапазоны сети в различных нотациях:



Require ip 10.1.2.3

# OR

Require ip 10.1

# OR

Require ip 10.1.0.0/16

# OR

Require ip 10.1.0.0/255.255.0.0

# OR

Require ip ::1

Директиву «Require ip» можно использовать много раз.
 

explorer

Platinum
05.08.2018
1 080
2 471
BIT
0
Такие сценарии могут привести к полному компромиссу не только веб-сервера
Не к компромиссу, а компрометации. А так всё гораздо проще - mutillidae in docker. Уязвимые машины нужно ставить в изолированной среде.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!