我有一个Apache服务器,我想检查服务器是否容易受到SSL重新协商漏洞。 我执行这个代码: openssl s_client -connect ****:443 输出中有这一行: 支持安全重协商 当我尝试这个: HEAD / HTTP/1.0 R 输出是这样的: depth=1 C = FR, O = KEYNECTIS, CN = CLASS 2 KEYNECTIS CA verify error:num=20:unable to get local issuer certificate read:errno=0 这台服务器容易受到攻 这是发现这种types的漏洞的正确方法吗?
在我之前的问题中 ,SSL证书不适合我,直到我使用相对path而不是绝对path工作。 问题:为什么我的VirtualHost / httpd不接受绝对path? 有一些configuration什么的? 我的VirtualHost(非工作); <VirtualHost *:80> ServerName www.example.com ServerAlias example.com RewriteEngine on RewriteRule ^/?(.*) https://example.com/$1 [R,L] </VirtualHost> <VirtualHost *:443> ServerName example.com DocumentRoot /var/www/msdfw ErrorLog /var/iwww/logs/e-msdfw CustomLog /var/iwww/logs/c-msdfw combined DirectoryIndex index.php SSLEngine on SSLCertificateFile /var/iwww/certs/msdfw/c.pem SSLCertificateKeyFile /var/iwww/certs/msdfw/p.key SSLCertificateChainFile /var/iwww/certs/msdfw/b.pem <Directory /var/www/msdfw/> Require all granted </Directory> </VirtualHost> 错误日志: Sep 26 17:00:11 localhost systemd[1]: Starting […]
PHP FPM与Apache和mod_fastcgi相结合,我有一个非常奇怪的问题。 每当请求PHP文件时,Apache都会将Content-Language: de到响应头文件中。 对于我的生活,我无法弄清楚为什么会发生这种事情! 我使用Ubuntu 16.04,我的Apache版本是2.4.18。 我的PHP FPM是一个自定义的版本。 我正在使用下面的configuration来处理PHP文件: <FilesMatch ".+\.php$"> SetHandler php-fcgi </FilesMatch> Action php-fcgi /php-fcgi Alias /php-fcgi /foo.fcgi FastCgiExternalServer /foo.fcgi -socket /bar.sock -pass-header Authorization 启用了以下Apache模块:actions,alias,autoindex,dir,env,fastcgi,filter,headers,mime,negotiation和setenvif。 模块configuration保持不变。 据我所知,没有DefaultLanguage集合。 任何想法的标题来自哪里,我可以如何删除它? 编辑 当请求一个普通的.html文件时,会发送以下标题:Date,Server,Connection,Keep-Alive,ETag。 当请求<?php exit('Hello World');的PHP文件时<?php exit('Hello World'); ,将发送以下标题:date,服务器,Vary,内容编码,保持活动,连接,传输编码,内容types,内容语言。 我不明白为什么PHP会添加Content-Language: de ,特别是因为这个服务器上的所有软件都是英文的。
Apache/2.4.18 (Ubuntu) Ubuntu 16.04 这是我的000-default.conf文件: <VirtualHost *:80> ServerAdmin [email protected] ServerName myserver.net DocumentRoot /home/utils/rails/public <Directory /home/utils/rails/public> AllowOverride all Options -MultiViews Require all granted </Directory> LogLevel warn ErrorLog ${APACHE_LOG_DIR}/myserver.net_error.log CustomLog ${APACHE_LOG_DIR}/myserver.net_access.log combined </VirtualHost> / home / utils / rails / public目录的文件设置被设置为0755 我正进入(状态: Forbidden You don't have permission to access / on this server. 这是我第一次碰到这个。 有任何想法吗?
我正在使用Apache 2.4和几个虚拟主机。 这是在Windows上,顺便说一句。 在每个虚拟主机中,我有以下日志文件configuration: CustomLog "|bin/rotatelogs.exe -l ${SRVROOT}/logs/dev.ssl_request.%Y.%m.%d.log 86400" \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" env=HTTPS ErrorLog "|bin/rotatelogs.exe -l ${SRVROOT}/logs/dev.error.%Y.%m.%d.log 86400" TransferLog "|bin/rotatelogs.exe -l ${SRVROOT}/logs/dev.access.%Y.%m.%d.log 86400" 这将是DEV虚拟主机。 其他(testing/ ua /等)基本上是相同的,除了ServerName和日志被命名为{环境} .error等。 现在,当我启动Apache的时候,错误日志文件会被一遍又一遍地重复一遍。 该消息是: Incorrect number of arguments Usage: C:\Program Files\Apache Software Foundation\Apache24\bin\rotatelogs.exe [-v] [-l] [-L linkname] [-p prog] [-f] [-t] [-e] [-n number] <logfile> […]
我有一个在http和https上运行的网站(mysitedomain.com)。 这里是httpd.conf, Listen 80 Listen 443 Listen 81 <VirtualHost *:80> ServerName mysitedomain.com DocumentRoot "c:/wamp/www/" </VirtualHost> <VirtualHost *:443> ServerName mysitedomain.com DocumentRoot "c:/wamp/www/" SSLEngine on SSLCertificateFile C:/SSL/S-WildCard.cer SSLCertificateKeyFile C:/SSL/S-WildCard.key SSLCACertificateFile C:/SSL/S_chain_cert.crt </VirtualHost> 现在我想在mysitedomain.com:81上运行另一个网站,所以我补充说, <VirtualHost *:81> ServerName mysitedomain.com:81 DocumentRoot "c:/wamp/www2/" </VirtualHost> 但是这不起作用。 我错过了什么?
我想从mod安全性中排除一个目录。 我已经尝试了在每个configuration文件在太阳下的一切无济于事。 我已经把东西放在vhost文件,crs-setup文件,modsecurity.conf文件,规则目录中的例外文件,无论我把它放在什么地方。 我已经尝试了以下代码的一百万个变体: <Directory /www/html/directory/> SecRuleInheritance Off SecRuleEngine Off </Directory> 如果我删除目录标签,它将禁用mod安全性,但是在目录标签内没有任何工作。 我试过Location和LocationMatch – 什么都没有。 我也不能排除文件名! 编辑:这是我添加到各个地方的规则。 我已经将它添加到/ rules /目录中的httpd.conf,crs-setup.conf,modsecurity.conf 000.conf的顶部。 它解除阻止目录,但不在该目录中的所有图像和CSS都被剥离。 SecRule REQUEST_URI“@beginsWith / directory”“phase:1,id:12345,允许” 还试过: SecRule REQUEST_URI“@beginsWith / directory”“phase:1,id:12345,ctl:ruleEngine = off” 示例url:domain.com/directory/javascript.php?sqlinectioncode
我在Ubuntu 16上运行Apache 2.4.18。我安装了mpm_prefork模块,但是我注意到有两个configuration指令。 /etc/apache2/mods-available/mpm_prefork.conf的设置以及/etc/apache2/mods-available/mpm_prefork.conf的标准模块块。 用干净的安装这两个configuration文件都包含设置 – 大致相同的值。 我想知道的问题是哪些文件选项优先,或者他们甚至都应该有mpm_prefork模块的设置? 如果不是,应该在哪个设置中设置?
我已经把我的规定放在下面的任何一个: SecRule REQUEST_URI "@beginsWith /directory" "phase:1,id:12345,allow" SecRule REQUEST_URI "@beginsWith /directory" "phase:1,id:12345,ctl:ruleEngine=off" 当我浏览/directory/javascript.php?sqlinjection时,将允许显示/目录中的HTML,但不显示驻留在根目录/ css /和/ images /中的CSS和图像。 看起来他们被阻止,因为在页面上有SQL注入,但没有排除这些目录。 我如何configuration它来完全closures/目录下的mod_security并显示所有图像和CSS?
HTTP通过Apache 2.4 / Chrome over LAN: http : //i.imgur.com/btwsH.png 通过FileZilla服务器/局域网浏览器访问FTP: http : //i.imgur.com/rJvvV.png HTTP下载似乎也通过本地主机慢。 我不太清楚是什么问题,我尝试了closures内存映射和发送文件。 服务器:Windows XP专业版使用统一服务器,NetLimiter,Hamachi,Windows防火墙,没有AV我应该提到DocumentRoot托pipe在外部USB硬盘上。 客户端:Windows 7 我已经注意到了它暂停的几点:4,68,132 … 64n + 4MB(不知道它是MiB还是MB,只是关掉Chrome)