apache2 - 安全问题 - 没有特定域的虚拟主机
apache2 - security concern - no virtual host for specific domain
在没有虚拟主机的情况下让域链接到您的 apache2 会很危险吗?是否可以将 apache 配置为拒绝未知域?
例如:虚拟主机中未引用域,因此当 apache2 响应它时,它采用服务器上引用的第一个虚拟主机。
同理,当我们输入服务器的ip地址时,取第一个VH来回答请求。
通常我不会考虑它 "dangerous",它更多地取决于您希望服务器如何运行。就个人而言,除非有理由不这样做,否则我总是阻止未知域。
Apache 可以拒绝未定义的域,只需将 "catch all" 域放在虚拟主机配置文件的顶部(或者,如果您使用多个 conf 文件,则放在按字母顺序排列的第一个文件中),然后配置它无条件响应 403 的域(或者您可以配置您认为合适的任何其他响应):
<VirtualHost *:80>
ServerName default
RewriteRule ^ - [F]
</VirtualHost>
<VirtualHost *:80>
ServerName example.com
# ...
</VirtualHost>
在没有虚拟主机的情况下让域链接到您的 apache2 会很危险吗?是否可以将 apache 配置为拒绝未知域?
例如:虚拟主机中未引用域,因此当 apache2 响应它时,它采用服务器上引用的第一个虚拟主机。 同理,当我们输入服务器的ip地址时,取第一个VH来回答请求。
通常我不会考虑它 "dangerous",它更多地取决于您希望服务器如何运行。就个人而言,除非有理由不这样做,否则我总是阻止未知域。
Apache 可以拒绝未定义的域,只需将 "catch all" 域放在虚拟主机配置文件的顶部(或者,如果您使用多个 conf 文件,则放在按字母顺序排列的第一个文件中),然后配置它无条件响应 403 的域(或者您可以配置您认为合适的任何其他响应):
<VirtualHost *:80>
ServerName default
RewriteRule ^ - [F]
</VirtualHost>
<VirtualHost *:80>
ServerName example.com
# ...
</VirtualHost>