چگونه XAMPP را امن تر کنیم، بخش دوم

حذف پوشه های بلا استفاده  و یا جلوگیری از دسترسی به آنها

این مقاله بخشی از سری مقالات مربوط به امن تر ساختن XAMPP است. می توانید بخش اول آن را در اینجا مطالعه کنید.

نصب XAMPP شامل نصب بسیاری از دموها و آیتم های متفرقه آن هم می شود. احتمال دارد که شما برای میزبانی محدود یا برخی برنامه نویسی ها، نیازی به بسیاری از این پوشه ها و فایل ها نداشته باشید. آنها را می توان بدون هیچ مشکل یا خطری حذف نمود و در عین حال وب سرور شما به طور معمول و بی مشکل به کار خود ادامه دهد. برای افزایش امنیت هم، ایده خوبی است که اینگونه موارد بلا استفاده را به حداقل برسانید. این عمل مکان هایی که ممکن است به صورت بالقوه باعث نقض امنیتی شوند را کاهش می دهد.

اگر شما برنامه ای برای استفاده از این پوشه ها ندارید، توصیه می کنیم آپاچی (Apache) را طوری پیکربندی کنید که دسترسی به آنها امکان پذیر نباشد. علاوه بر این برای امنیت بیشتر، حتی توصیه می کنیم این پوشه ها را به طور کامل حذف کنید.

شما می توانید تمام پوشه هایی را که XAMPP اجازه مشاهده آنها را می دهد با جستجوی عبارات “<Directory>” یا “Alias” (عین عبارات بدون گیومه) در آدرس زیر، مشاهده کنید:

c:\xampp\apache\conf\httpd.conf

همچنین می توانید در تمام فایل های با پیشوند conf در آدرس زیر هم به دنبال این پوشه ها بگردید:

c:\xampp\apache\conf\extra

در زیر لیستی از پوشه هایی که در این مقاله موردنظر ما هستند، آورده شده :

c:\xampp\cgi-bin
c:\xampp\security\htdocs
c:\xampp\webdav
c:\xampp\htdocs\contrib or c:\xampp\contrib
c:\xampp\htdocs\fonts
c:\xampp\htdocs\forbidden
c:\xampp\htdocs\restricted
c:\xampp\htdocs\xampp

توصیه میکنم دو پوشه با عنوان های phpMyAdmin و webalizer را نگه دارید، زیرا پوشه های مفیدی هستند. در مقاله آینده، شما را با طریقه انجام تنظیمات برای افزایش امنیت این صفحات آشنا می کنیم، به طوری که بتوانید آنها را بدون نیاز به حذف ،امن نگه دارید.

برای جلوگیری از امکان دسترسی به پوشه های لیست شده در بالا، نیاز به ویرایش فایل پیکربندی (config) خواهید داشت که دسترسی به این پوشه ها را میسر می سازد. سه نوع فایل پیکربندی که اجازه دسترسی به پوشه های ذکر شده را می دهند وجود دارد.

• تنظیمات پوشه c:\xampp\webdav در آدرس c:\xampp\apache\conf\extra\httpd-dav.conf

• تنظیمات پوشه c:\xampp\cgi-bin در آدرس c:\xampp\apache\conf\httpd.conf

• تنظیمات پوشه های دیگر غیر از c:\xampp\webdav و c:\xampp\cgi-bin در این آدرس قرار دارند: c:\xampp\apache\conf\extra\httpd-xampp.conf

توجه: اگر شما از پوشه cgi-bin استفاده نمی کنید، ایده بسیار خوبی است که دسترسی به آن را محدود کنید. به طور پیش فرض، یک اسکریپت پرل در این پوشه وجود دارد (printenv.pl) که نشانگر مقادیر (values) متغیرهای محیط در یک صفحه وب است. این اطلاعات برای هکرها بسیار ارزشمند هستند. اگر هم ترجیح می دهید این پوشه را قابل دسترسی باقی بگذارید، پیشنهاد می کنیم حداقل فایل printenv.pl را حذف کرده و در مورد چیزهایی که در این پوشه قرار می دهید بسیار محتاط باشید

در داخل هر یک از فایل های پیکربندی که در بالا گفته شد، خطوط دستوری شبیه به این وجود دارد:

Alias /web_folder_name c:\xampp\…
<Directory c:\xampp\…>
…
…
</Directory>

البته در بعضی پوشه ها ، خط دستور شروع شونده با “Alias” وجود ندارد.
 

دو راه کلی برای محدود کردن دسترسی به پوشه ها و فایل ها وجود دارد:

راه اول این است که همه خطوط دستور بین Alias (یا<Directory>اگر هیچ خط Alias وجود ندارد) و </Directory> را حذف کنیم، و در واقع تمام ردپاهای ممکن از فایل پیکربندی پاک خواهد شد. اگر می خواهید این پوشه ها را برای همیشه پاک کرده و هرگز برنامه ای برای استفاده از آنها ندارید، این روش خوبی است. توجه داشته باشید که حتی اگر این خطوط را هم حذف کنید، پوشه های تحت htdocs (مانند c:\xampp\htdocs\xampp) هنوز قابل دسترس اند، که باید آنها را حذف کنید. اگر نمی خواهید این پوشه ها را حذف کنید، باید از روش بعدی استفاده کنید.

راه دوم آثار تخریبی بسیار کمتری دارد و برای پوشه های تحت htdocs جواب می دهد (حتی اگر آنها را نخواهید حذف کنید). این روش پوشه های فوق رادر فایل پیکربندی به صورت مرجع (reference) نگه می دارد، اما به شما اجازه می دهد تا مانع دسترسی به کلیه این پوشه ها شوید. به این ترتیب، اگر خواستید به بعضی از امکانات آن در آینده دسترسی داشته باشید، می توانید آن ها را دوباره فعال نمایید. برای استفاده از این روش، دو خط دستور زیر را جایی بین <Directory…> و </Directory> قرار دهید:

Order deny, allow Deny from all

توجه داشته باشید که دستورهای مشابهی با عنوان های “Order”, “Allow from” و “Deny from” از قبل در بین دستورات وجود دارد ، بنابراین اگر خواستید از این روش استفاده کنید ابتدا باید از شر آنها راحت شوید.(آنها را حذف کنید)

به علاوه ، شما می توانید پس از دستور “Deny from” دستور “Allow from” را وارد کنید تا دسترسی را تنها به آدرس های آی پی خاصی محدود کنید. همچنین می توانید دسترسی را به کاربران خاصی با کلمه عبور محدود کنید. برای جزئیات بیشتر، نگاهی به  اسناد آپاچی در مورد mod_access بیاندازید.

برای پوشه “forbidden”، در واقع httpd-xampp.conf یک <Directory c:\xampp\htdocs\fonts> دارد، و از “forbidden” برای مجوزهای دسترسی استفاده می کند. توصیه میکنم تمام این خطوط دستور را در فایل پیکربندی پاک کرده و همچنین پوشه forbidden را حذف کنید. (اگر بخواهید می توانید از دستور “Deny from all” استفاده نمایید). توجه داشته باشید که این پوشه درون htdocs است، بنابراین اگر شما تنها خطوط دستور در فایل پیکربندی را حذف کرده اما پوشه را حذف نکنید، پوشه هنوز هم قابل دسترس خواهد بود. در مقالات بعدی، درباره پوشه “forbidden” بیشتر صحبت خواهیم کرد.

httpd-xampp.conf برای پوشه “restricted” از <Location> به جای <Directory> استفاده می کند. پس این دستور و همچون خط دستور زیر را حذف کنید.

<IfModule auth_remote_module> </IfModule>

توجه داشته باشید که در فایل پیکربندی httpd-xampp.conf یک خط دستور به این صورت وجود دارد:

<Directory c:\xampp\contrib>

اما این پوشه وجود خارجی ندارد. در عوض، یک دایرکتوری به این آدرس وجود دارد:

c:\xampp\htdocs\contrib

که آدرس آن را درون فایل کانفیگ نمی یابید. توصیه می شود هم این خطوط دستور را در فایل پیکربندی حذف کنید و هم فولدر c:\xampp\htdocs\contrib را حذف نمایید.
حال که شما این مراحل را با موفقیت انجام دادید، برای حرکت به سوی تمیز کردن پوشه cgi-bin آماده می شویم.

تمیز کردن پوشه cgi-bin
به طور پیش فرض ، XAMPP اسکریپتی به نام "printenv.pl" در شاخه c:\xampp\cgi-bin نصب می کند. این اسکریپت در واقع مقادیر تمام متغیرهای محیطی شما را بر روی یک صفحه وب نشان می دهد. این اسکریپت همچنین ممکن است اطلاعات بیشتر و ارزشمندتری برای یک هکر که تلاش برای نفوذ به سایت شما دارد، فراهم کند. پیشنهاد می کنیم این اسکریپت را حذف کنید.

اگر ترجیح می دهید پوشه cgi-bin را حفظ کنید. اسکریپتهای دیگر، cgi.cgi و perltest.cgi بی خطر هستند. اما اگر شما نیازی به آنها حس نمی کنید، برای احتیاط بیشتر می توانید آنها را نیز حذف کنید.

گام بعدی
حالا آماده رفتن به گام بعدی امنیتی هستیم. پس منتظر مقالات آینده نگهبان باشید.