我们有一个使用 Capistrano 部署的 subversion 中的 rails 应用程序,但我们注意到我们可以访问 '/.svn' 中的文件,这会带来安全问题。
我想知道最好的方法是什么。一些想法:
我不太喜欢删除文件夹或使用 svn 导出的想法,因为我想保留“svn 信息”。
【问题讨论】:
标签: svn apache deployment capistrano
最好的选择是使用 Apache 配置。
使用 htaccess 或全局配置主要取决于您是否控制服务器。
如果你这样做,你可以使用类似的东西
如果不这样做,您可以使用 FilesMatch 在 .htaccess 文件中执行类似的操作
【讨论】:
<DirectoryMatch .*\.(svn|git|hg|bzr|cvs)/.*> Deny From All </DirectoryMatch> 这也匹配所有子目录/文件。它仅显示顶级目录是否存在(否则它将返回 404)但 .svn/doesnotexist 返回 403。
<DirectoryMatch "/\.svn"> Require all denied </DirectoryMatch>
另一种保护 .svn 文件的方法是在 Apache 配置中使用重定向:
RedirectMatch 404 /\\.svn(/|$)
因此,您得到的不是 403 禁止(并为可能的攻击者提供线索),而是 404,这是我们在随机输入路径时所期望的。
【讨论】:
我不喜欢每个文件以点开头的 404 的想法。 我会使用更具选择性的方法,或者使用我在项目中使用的 cvs(示例中为 svn)
RedirectMatch 404 /\\.svn(/|$)
或者一个捕获所有 cvs 系统
RedirectMatch 404 /\\.(svn|git|hg|bzr|cvs)(/|$)
-- 过时的答案如下(见 cmets)--
我还不会写 cmets 所以... csexton 的答案不正确,因为用户无法访问 .svn 文件夹,但可以访问其中的任何文件! 例如你可以访问 http://myserver.com/.svn/entries
正确的规则是
RedirectMatch 404 /\\.svn(/.*|$)
【讨论】:
RedirectMatch 404 /\.svn(/|$) 并通过 /.svn/entries 获得 404
我认为 Riccardo Galli 是对的。甚至 apache 已经有我禁止的 .svn 设置,但 .svn/entries 肯定是可用的...暴露我的 svn 服务器、端口号、用户名等。
我实际上想,为什么不限制 .git 作为预防措施(假设您还没有使用 git,但可能有一天您不会考虑目录限制)。
然后我想,为什么不限制所有应该隐藏的东西呢?谁能想到这个问题?
RedirectMatch 404 /\\..*(/.*|$)
我在初始句号之后添加了“.*” - 与 Riccardo 的唯一区别。似乎是 404 .svn、.git、.blah 等。
【讨论】:
RedirectMatch 404 /\.
RedirectMatch 404 /\..*$
我宁愿拒绝访问所有点文件(例如:.htaccess、.svn、.xxx 等),因为它们通常不需要可通过网络访问。
这是实现这一点的规则(直到包括 Apache 2.2):
<LocationMatch "\/\..*">
Order allow,deny
Deny from all
</LocationMatch>
(更新) 或者您可以使用以下内容(适用于 Apache 2.2 和 2.4):
# Deny access to dot-files, as 404 error
# (not giving hint about potential existence to the file)
RedirectMatch 404 ".*\/\..*"
【讨论】:
RedirectMatch 会以 404 响应,这很好。
但是,如果启用“选项+索引”,那么用户仍然可以从父目录中看到“.svn”目录。
用户将无法进入该目录 - 这就是“404 Not Found”的来源。但是,他们将能够看到该目录并为可能的攻击者提供线索。
【讨论】:
在我看来,Apache conf 应该是:
<Directory ~ "\.svn">
Order allow,deny
Deny from all
</Directory>
【讨论】:
这个:
RedirectMatch permanent .*\.(svn|git|hg|bzr|cvs)/.* /
如果您不想将错误发送回用户,也可以使用。
它只是重定向回站点根页面。此外,这是一个永久重定向,因此机器人不会尝试重新索引此 URL。
【讨论】:
我不是很喜欢 RedirectMatch,所以我改用了 RewriteRule:
RewriteRule /\..*(/.*|$) - [R=404,L]
连字符的意思是“不要做任何替换”。我也不明白为什么在上面的例子中,正则表达式有两个反斜杠:
/\\..*(/.*|$)
所以我拿出了一个,它工作正常。我不明白为什么你会在那里使用两个。有人愿意开导我吗?
【讨论】:
RewriteRule /\. - [R=403,L] 适合我。
Apache Subversion 常见问题解答建议使用此解决方案:
# Disallow browsing of Subversion working copy administrative dirs.
<DirectoryMatch "^/.*/\.svn/">
Order deny,allow
Deny from all
</DirectoryMatch>
来源:https://subversion.apache.org/faq.html#website-auto-update
【讨论】:
RedirectMatch 与 mod_alias 中的其他指令一样,即使在不区分大小写的文件系统上也区分大小写(请参阅 mod_alias documentation)。所以上面关于所有版本控制系统的匹配和阻止文件的答案是不正确的。
代替
RedirectMatch 404 /\\.(svn|git|hg|bzr|cvs)(/|$)
或
RedirectMatch permanent .*\.(svn|git|hg|bzr|cvs)/.* /
这样的事情是必要的
RedirectMatch 404 "(?i)/\.?(cvs|svn|git|hg|bzr)"
真正阻止一切,因为
希望对你有帮助。
【讨论】:
在您的服务器配置文件的 .htaccess 中。
(1)
RewriteEngine on
RewriteRule "^(.*/)?\.git/" - [F,L]
并且 (2)
RedirectMatch 404 /\.git
将这两种方法都放在.htaccess 文件中。
它通过返回 404 隐藏任何名称以 .git 开头的文件或目录,例如 .git 目录或 .gitignore 文件。
【讨论】:
在您的 Subversion 服务器安装中创建访问权限文件。
例如,如果您的文件夹结构是
/svn
/svn/rights/svnauth.conf
创建一个配置文件并在您的 apache subversion 配置文件中输入该文件的路径,您通常可以在 /etc/httpd/conf.d/subversion.conf
中找到该配置文件在您的 svnauth.conf 文件中将权限定义为:
[foo.com:/trunk/source]
dev1=rw
dev2=rw .....
通过这种方式,您可以从一个文件进行更精细的访问权限控制。
有关更多信息,请阅读 svn 红皮书。
【讨论】: