RootForum Community

Hallo,

habe gerade AWStat installiert und bekomme beim update via browser die Fehlermeldung

Error: Couldn't open server log file "/var/log/apache/logfile" : Permission denied

nach

chmod o+r /var/log/apache/logfile

klappt es jetzt.

Ist das ein Sicherheitsproblem, das Apache-Logfile für alle lesbar zu machen, wie löst man das Problem sonst?

Zunächstmal solltest du das Webinterface von AWStats nicht öffentlich zugänglich machen. Das hatte in der Vergangenheit schon böse Sicherheitslücken und der Quellcode ist nicht gerade ein Vorbild an Codekunst. Benutze statt dessen statische Reports (awstats_buildstaticpages.pl).

Bezüglich der Rechte des Apache-Logs lässt sich nichts ändern, sofern AWStats weiterhin unter der UID des Webservers läuft. Die Logs gehören normalerweise 'root'.

habe das AWStat-Webinterface mit BasicAuth gesichert, haltet Ihr das für ausreichend?

Zum Log hatte ich folgende Idee.
Im cronjob, der die Aktualisierung (bzb. Aufbereitung der statischen Seiten) vornimmt, die apachelogfiles kopieren, an apacheuser verschenken (chown), awstat updaten, kopierte logs löschen.
Was haltet Ihr von der Idee, bringt das nen Sicherheitszuwachs?

micho wrote:habe das AWStat-Webinterface mit BasicAuth gesichert, haltet Ihr das für ausreichend?

Besser wären mod_auth_digest und Verbindungen ausschließlich über SSL zuzulassen (siehe http://httpd.apache.org/docs/2.2/howto/auth.html).

Außerdem halte ich es für fahrlässig, mit dem CGIs von Awstats Statistiken on the fly zu generieren (Gründe siehe Post von Roger Wilco). Dafür gibt es das awstats.pl Skript. Zusammen mit einer passenden Konfiguration generiert man damit Statistiken als statisches HTML, was sich wunderbar per Cron-Job erledigen lässt, ohne dass dafür die Logs world-readable sein müssen.

DAnke!

Hatte gar nicht bedacht, dass ich das readable Promlem mit den statischen statistiken gleich miterschlage, wenn der cronjob als root läuft. (das ist OK, oder)

micho wrote:Hatte gar nicht bedacht, dass ich das readable Promlem mit den statischen statistiken gleich miterschlage, wenn der cronjob als root läuft. (das ist OK, oder)

Nein, da man beispielsweise per Referrer wunderbar belibiege Befehle in die Logs schreiben kann, um diese von diversen (anfälligen) Tools ausführen zu lassen. Insbesondere bei root tödlich...

Was macht man dagegen?

sollen die logs nicht root gehören?, wenn ja, wie kann man das änderen?
oder ist es gefährlich den cronjob der die logs auswertet als root laufen zu lassen?

Logs, wie alle anderen Files auch, sollten immer sowenig Rechte wie möglich besitzen. Daraus ergibt sich für Logs im Allgemeinen maximal root:root/0640, nur selten mehr. Will man Logs automatisiert auswerten, nutzt man dafür einen (stark) eingeschränkten User und lässt ihn eine Kopie (user:group/0600) auswerten.

Am einfachsten erstellst du eine eigene Gruppe für AWStats und gibst dieser Gruppe dann Leserechte auf die Datei. So muss AWStats nicht als root laufen und die Logdatei ist trotzdem nicht für alle lesbar.

Danke,
ISt das dass so OK

- logs gehören root:root mit rechten /0640
- cronjob als root, der das logfile kopiert und dem wenig-privilegierten user schenkt (chown)
- cronjob als wenig-privilegierten user der die Statistiken erzeugt und das kopierte log löscht.

IMHO die beste Lösung.