Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Sécurité Apache /server-status accessible

Franckyfroggy

Bonjour,
Je me suis permis de lire la doc ubuntu sur la sécurité et d'installer openvas.
Après exécution de ce dernier j'obtiens ce genre de message dans le rapport :
"Reported by NVT "Apache /server-status accessible" (1.3.6.1.4.1.25623.1.0.10677):
Requesting the URI /server-status gives information about
the currently running Apache.
Risk factor : Low
Solution :
If you don't use this feature, comment the appropriate section in
your httpd.conf file. If you really need it, limit its access to
the administrator's machine."

Mon problème vient de ce que je ne trouve pas le httpd.conf et que je ne comprends donc pas cette "faille" !
Merci de m'aider à comprendre et à traiter la question.
Salutations,

PS : OS Ubuntu 14.04

wild dagger

Bonjour Franckyfroggy,

Le rapport est maigre. Si j'ai bien compris le script analyse les ports ouverts sur ton serveur de pages web Apache 2. Le fichier de configuration httpd.conf comme indiqué dans le rapport est à traduire au sens large tel "votre fichier de configuration Apache".

La documentation ubuntu indique que l'emplacement des fichiers de configuration sont dans le répertoire : /etc/apache2/ (http://doc.ubuntu-fr.org/apache2#etcapache2)

Pas plus d'information à apporter à cette faille si ce n'est que Risk factor : Low (faible)

http://plugins.openvas.org/index.php?oid=10677

Franckyfroggy

Merci pour ces informations wild dagger !
Je planche sur le sujet mais je n'ai toujours pas trouvé la solution.
Je vous tiens au courant.

Franckyfroggy

Ok j'ai une "Solution"

Apres plusieurs tentatives infructueuses de modification des fichiers security.conf j'ai eu une autre idée en m'inspirant de : www.cyberciti.biz/faq/apache-server-status/

J'ai donc ajouté le bloc suivant dans le apache2.conf :
<Location /server-status>
SetHandler server-status
Order Deny,Allow
Deny from all
Allow from X.X.X.X
</Location>

ou X.X.X.X est l'adress IP d'une machine autre que celle depuis laquelle je lance le test open vas.

Ainsi, à moins d'interroger depuis cette machine, il est impossible de récupérer l'information et de fait le warning open vas disparaît du rapport.

J'ai maintenant un autre problème dans le rapport avec netbios-ns (137/UDP) mais ça, c'est une autre histoire...

Merci pour cette lumière wild dagger

😉

wild dagger

Sinon pour connaître tes ports ouverts sur ton serveur, il reste les très bonnes commandes :
Uniquement les ports TCP :

sudo netstat -nltp

Tous les ports (UDP + TCP)

sudo netstat -plantu