jst*_*str 5 security linux apache-2.2
Apache 2 默认记录整个请求 URI,包括每个请求的查询字符串。
防止 Apache 2 Web 服务器记录敏感数据(例如密码、信用卡号等)但仍记录请求的其余部分的直接方法是什么?
我想记录所有登录尝试,包括默认情况下 Apache 所做的尝试用户名,并防止 Apache 直接记录密码。
我已经查看了 Apache 2 文档,除了完全阻止记录这些请求(使用 SetEnvIf)之外,似乎没有其他简单的方法可以做到这一点。
我怎样才能做到这一点?
mie*_*iek 13
您可以通过将 CustomLog 指令与一些 sed 魔法相结合(如/sf/answers/663176041/ 中的说明),在它们最终出现在 access.log 之前屏蔽密码:
这将取代所有出现password=secret与password=[FILTERED]在/your/path/access.log:
CustomLog "|/bin/sed -u -E s/'param=[^& \t\n]*'/'param=\[FILTERED\]'/g >> /your/path/access.log" combined
话虽如此,如果可能的话,最好避免将敏感数据放入查询字符串中。
小智 6
Apache 2 默认记录整个请求 URI,包括每个请求的查询字符串。
防止 Apache 2 Web 服务器记录敏感数据(例如密码、信用卡号等)但仍记录请求的其余部分的直接方法是什么?
我没看错,您在 URI 中将敏感信息作为 QueryString 发送?我建议更改应用程序,以便它首先这样做。
然后,不需要更改 apache,因为默认情况下它不会做任何这样的事情。
| 归档时间: |
|
| 查看次数: |
6156 次 |
| 最近记录: |