- Регистрация
- 03.06.2012
- Сообщения
- 6 202
- Репутация
Всем привет!
Хочу напомнить, а может кто и не знал, об интересной особенности при настройке серверов.
Во многих серверах, например Apache2, по умолчанию включены различные модули с защитой, что доступ может-быть только по локальному хосту, но например по айпи 127.0.0.1, а может вы и сами такую защиту делали...
Всё это конечно круто, если бы не НО...
Вот например я недавно поднял .onion ресурс в сети TOR, вот такой: mf5bwlzr7legiogx6tvrxm4bwms7hrlinpfipixgkyyz7j3ltxzo6eyd.onion
Ну и спросите вы что здесь такого, ну поднял и поднял...
А вот-что:
Вообще вкратце как это работает на моём сервере, сервер апаче слушает порт 8080 на локалхосте, а сервер TORa по этому триклятому локалхосту передаёт запрос апачу, а апач как сгенерирует страницу отдаёт её в сеть тор.
Это вкратце, также например работают гибридные сервера apache2+nginx и т.д.
Ну и вот как я потом вспомнил, у апача есть такой неприятный модуль server-status, если глянете настройки этого модуля, такие:
Понимаете чем пахнет, да ?
Вот именно, доступ к /server-status будут иметь все пользователи, при посещении сайта, через onion ресурс, ведь, по мнению apache их IP адрес 127.0.0.1.
Короче делаем такую штуку https://mf5bwlzr7legiogx6tvrxm4bwms7hrlinpfipixgkyyz7j3ltxzo6eyd.onion/server-status
И получаем примерно такой ответ от сервера:
Как видите, тут айпи-адреса посетителей и запросы которые посетители делают к апачу.)
Также и служебная информация о серваке есть.
В общем имейте это в виду, да и вообще ограничение по локалхосту, на самом деле такое-себе решение в плане безопасности.
Хочу напомнить, а может кто и не знал, об интересной особенности при настройке серверов.
Во многих серверах, например Apache2, по умолчанию включены различные модули с защитой, что доступ может-быть только по локальному хосту, но например по айпи 127.0.0.1, а может вы и сами такую защиту делали...
Всё это конечно круто, если бы не НО...
Вот например я недавно поднял .onion ресурс в сети TOR, вот такой: mf5bwlzr7legiogx6tvrxm4bwms7hrlinpfipixgkyyz7j3ltxzo6eyd.onion
Ну и спросите вы что здесь такого, ну поднял и поднял...
А вот-что:
Вообще вкратце как это работает на моём сервере, сервер апаче слушает порт 8080 на локалхосте, а сервер TORa по этому триклятому локалхосту передаёт запрос апачу, а апач как сгенерирует страницу отдаёт её в сеть тор.
Это вкратце, также например работают гибридные сервера apache2+nginx и т.д.
Ну и вот как я потом вспомнил, у апача есть такой неприятный модуль server-status, если глянете настройки этого модуля, такие:
Код:
<Location /server-status>
SetHandler server-status
Order deny,allow
Deny from all
Allow from 127.0.0.1
</Location>Понимаете чем пахнет, да ?
Вот именно, доступ к /server-status будут иметь все пользователи, при посещении сайта, через onion ресурс, ведь, по мнению apache их IP адрес 127.0.0.1.
Короче делаем такую штуку https://mf5bwlzr7legiogx6tvrxm4bwms7hrlinpfipixgkyyz7j3ltxzo6eyd.onion/server-status
И получаем примерно такой ответ от сервера:
Как видите, тут айпи-адреса посетителей и запросы которые посетители делают к апачу.)
Также и служебная информация о серваке есть.
В общем имейте это в виду, да и вообще ограничение по локалхосту, на самом деле такое-себе решение в плане безопасности.
