Sitat av
vidarlo
For det første vil jo ikkje kildekoden i PHP-filer bli vist om du har konfigurert webserveren din rett. Den vil vise output frå PHP. Dvs. at variabler og alt slikt ikkje er synleg. Om det ikkje er tilfelle har du konfigurert webserveren feil.
Ja, det er jeg fullt klar over, og det er ikke det som er problemet. Som jeg har gitt uttrykk for så er bl.a. et bash-script med token fullt lesbart om man har navnet på filen.
Sitat av
vidarlo
Uansett er det ingen grunn til at configfiler skal vere tilgjengeleg over HTTP. Plasser dei utanfor webroot, eller hiv på ein directory-stanza som forbyr tilgang
Kode
<Directory "/var/www/config/">
Require all denied
</Directory>
Om du plasserer dei utanfor webroot, men ein plass apache-brukeren har lesetilgang kan du fortsatt lese dei med include().
Flott, jeg vil tro dette er det jeg er ute etter!
Sitat av
vidarlo
Forøvrig treng du ikkje å bytte kjerne på Ubuntu for AppArmour. Meg bekjent støtter Ubuntu AppArmour by default, og bruker det på t.d. MySQL. Viare er det første du må gjere å definere opp trusler, for å kunne beskytte deg mot dei. Det er stor skilnad på å beskytte seg mot ein som har eit lokalt shell og ein som kun har tilgang via HTTPS.
Trusselen er vel ukjent, da jeg ikke vet hvem som skulle ha interesse av å lete etter dette. Det kan potensielt være alle som besøker siden(som inntil videre kun er meg selv og kinesiske hackere) Det er litt derfor jeg spurte etter best practice, ingen grunn til å gjøre ting på feil måte uansett størrelse på prosjekt. Forøvrig har jeg ikke SSL sertifikat enda da jeg har forstått det slik at man må ha domene for dette.