mod_proxy 安全

mod_proxy 安全

我在 Debian Lenny 上使用 apache2。在我的 proxy.conf 中,我尝试添加

Allow from localhost

按照其他论坛的建议让代理工作。没有用。只有当我说

Allow from all

我的问题是:允许所有用户访问这个指令是否有安全隐患?大多数人都说要尽可能地限制这个指令,但“所有用户”是指客户端吗?我希望任何人,无论他们的 IP 是什么,都能被正确转发。有没有更好的方法来配置它?

答案1

因此答案是允许来自全世界的顶部代理将使您回到 apache1.3 级别的安全,如果您小心使用 mod_proxy,这是没问题的。

以下是我在 apache2.2 中执行代理以保留严格限制的方法,在本例中为我的 APT 缓存的代理:

<VirtualHost *:80>
        Servername apt.lan

        ProxyPass               / http://127.0.0.1:1723/
        ProxyPassReverse        / http://127.0.0.1:1723/

        <Proxy http://127.0.0.1:1723/>
                Order allow,deny
                Deny from none
                Allow from all
        </Proxy>
</VirtualHost>

显然,只有“代理”行和块与问题相关,但我认为我应该包括一个完整的例子。

答案2

我想我需要多了解一些有关您的配置的信息。“ProxyRequests”是关键指令。它决定您的服务器是否将充当 HTTP 代理。如果是这样,这是一个严重的安全风险,因为任何人都可以通过您的服务器连接到网络。我相信人们会定期扫描这种漏洞。

但是,如果您的 ALLOW 规则位于“目录”或“位置”指令中,那么这可能不是什么大问题,只要您希望该目录可以通过互联网访问即可。

相关内容