apache – 21點情報網

Ubuntu Linux更新Apache至最新版本方法

blackjack — Mon, 27 Dec 2021 12:41:54 +0000

使用Ubuntu內建的更新方法來更新Apache，會發現並無法更新到最新版本，如又遇上有資安要求必須更新至最新版本，那該如何排除呢?
別擔心~今天小編要介紹快速又便捷的方法，讓你在Ubuntu系統上簡單更新至Apache最新版本。

[範例環境]
作業系統：Ubuntu 20.04.3 LTS
Apache：2.4.41

[更新步驟]
Set01、透過「apt-get update」更新Ubuntu 至最新
步驟可以參考：
https://ailog.tw/lifelog/2019/08/18/ubuntu-update/

Set02、確認目前的Apache版本
語法：
apache2 -v

Set03、新增 Apache PPA
語法：
sudo add-apt-repository ppa:ondrej/apache2 -y && sudo apt update

Set04、升級 Apache Web 服務器
語法：
sudo apt install apache2

Set05、驗證更新後的Apache版本
語法：
apache2 -v

Apache HTTP伺服器發現CVE-2021-44224與44790漏洞

blackjack — Mon, 27 Dec 2021 12:23:09 +0000

2021年底真是不平靜的日子，離log4j沒幾個禮拜，Apache HTTP Server又發佈了CVE-2021-44224及CVE-2021-44790漏洞。
呼籲管理者盡快更新，才可安心跨年呀~

[遭受影響的版本]
CVE-2021-44224：
Apache HTTP Server 2.4.7至2.4.51(含)版本

CVE-2021-44790：
Apache HTTP Server 2.4.51(含)以前版本

[應對措施]
將Apache HTTP Server版本更新至2.4.52

[Apache更新參考]
https://ailog.tw/lifelog/2021/12/27/ubuntu-apache-update/

Apache官方網頁相關說明：
https://httpd.apache.org/security/vulnerabilities_24.html

CVSS 3.0評定滿分的CVE-2021-44228漏洞

blackjack — Tue, 14 Dec 2021 14:42:51 +0000

Apache於2021年12月份發布了Log4j 2.15.0的修補版本，該版本修補了CVE-2021-44228漏洞，該漏洞會被評定為最高等級原因是該套件被應用的很廣泛，所多知名廠商都被影響到。漏洞流程說明：

圖片來自fortinet官方網頁：https://www.fortinet.com/blog/psirt-blogs/apache-log4j-vulnerability

Juniper 官方Blog有更詳細的攻擊過程說明：
https://blogs.juniper.net/en-us/security/apache-log4j-vulnerability-cve-2021-44228-raises-widespread-concerns

漏洞影響程度：
攻擊者透過Log4j的漏洞，將可以控制LDAP與其他JNDI有關的端點。

漏洞評分：
為10分，被評定最高危險等級。

小編推工具-線上檢測伺服器TLS支援版本

blackjack — Fri, 18 Jun 2021 19:36:46 +0000

小編今天遇到鬼打牆的事情，半夜被叫起來檢測伺服器(Server)TLS的版本，老天啊，為了避免這種打擾我清夢的狀況，一定要大力推薦這個線上檢測TLS版本狀況的工具給大家。

官方網址：
https://testtls.com/

TLS的檢測種類：
TLS檢測工具有分為「使用者(clinet)」端、「伺服器(Server)」端兩種，小編今天要介紹的是「伺服器(Server)」端的TLS檢測情境。
※如果需要檢測Clinet瀏覽器支援TLS的版本狀況，請參考小編的另一篇文章。
https://ailog.tw/lifelog/2021/05/27/xp-2003-tls12/

[檢測操作步驟]
01、透過瀏覽器連線至testtls官網，https://testtls.com/

02、輸入要檢測的網址，本範例輸入「http://www.google.com.tw」
※如下圖檢測出來的結果是支援TLS 1.2及TLS 1.3

FreeBSD如何讓網頁執行需要root權限的script

blackjack — Sat, 26 Dec 2020 07:01:22 +0000

小編遇到了一個案例，需要透過網頁來執行需要root才可以運作的script，當下當然覺得這是非常危險的動作，溝通過後了解到對方是在要企業的內部系統網頁執行，好吧!今天小編就來分享如何透過web程式去執行需要root才可以執行的script。

一、作業系統情境：
FreeBSD

二、安裝Sudo軟體：
(1)、透過pkg安裝：
pkg install sudo

(2)、透過ports安裝：
cd /usr/ports/security/sudo
make && make install

三、設定權限
在命令提示字元下輸入「visudo」
在文件的最下面新增新增要賦予的權限及程式

範例一：
www ALL=NOPASSWD:/var/carddata/md5check.sh

範例二：
apache ALL=NOPASSWD:/var/carddata/md5check.sh

注意事項：
設定時最前方是要用www或apache得看系統是用哪一個帳號來運作web server。

Apache 2.X 啟動網頁認證

blackjack — Wed, 02 Oct 2019 12:31:50 +0000

Apache除了是老牌的web server之外，也內建了簡易的網頁認證機制，下面就來介紹如何快速啟動htpasswd的驗證機制吧!

小編的系統環境如下：
作業系統：Ubuntu 16.04.5 LTS
Apache：2.4.18

一、變更Apache設定檔
sudo vi /etc/apache2/sites-enabled/000-default.conf
在設定檔裡最下方加入

AuthType Basic
AuthName “login System”
AuthUserFile /etc/apache2/userpwd/.htpasswd
Require valid-user

設定檔參數說明：
Directory “/var/www/html”：該路徑是你希望有帳號密碼驗證的路徑。
AuthUserFile /etc/apache2/userpwd/.htpasswd：使用者帳號密碼檔案存放的路徑。
AuthName “login System”：網頁出現驗證畫面時的名稱。

二、重新啟動Apache服務
sudo service apache2 restart

三、建立使用者帳號密碼
將下方指令裡面的帳號密碼變更成你所要建立的資訊，接著在Linux命令提示字元下執行即可。
sudo sh -c “echo -n ‘123456:’ >> /etc/apache2/userpwd/.htpasswd”;echo 654321 > /tmp/pw.txt ;sudo sh -c “openssl passwd -apr1 -in /tmp/pw.txt >> /etc/apache2/userpwd/.htpasswd”;rm -rf /tmp/pw.txt

指令說明：
(1)、下面的指令是建立一個123456的帳號，密碼為654321，並將該資訊寫入「/etc/apache2/userpwd/.htpasswd」這個檔案。
(2)、請注意「/etc/apache2/userpwd/.htpasswd」這個路徑必須與上面的相呼應。

四、驗證
登入你剛剛設定的網頁路徑應該又可以看到下方的驗證畫面。