Apr 022014
 

apache

Articolo di Kerry Blake

Apache è il server web più usato su Internet. È stato sviluppato per lavorare in ambiente Unix, ma è stato portato su altri sistemi operativi per server come Windows. Il server web Apache serve milioni di siti web e applicazioni web. Supporta una vasta gamma di schemi di autenticazione e un sacco di interfacce e caratteristiche di sicurezza lo rendono il server Web preferito di milioni di utenti in tutto il mondo.

La notorietà e la popolarità fa anche dei siti web che sono serviti da Apache il bersaglio preferito tra gli hacker. I siti web che sono serviti da Apache spesso cadono preda di attacchi di hacker e non a causa dei rischi per la sicurezza e bugs in Apache, ma soprattutto a causa del codice scritto male e altre questioni di sicurezza connesse con i Database, Apache e Linux una combinazione fornisce una buona sicurezza, ma le cose potrebbero andare male se non si prendono alcune misure. Ci sono diverse cose che si devono fare per mettere in sicurezza Apache. Abbiamo compilato una lista di cose semplici, che è necessario seguire per rendere il vostro server Web sicuro.

Prima cosa: Aggiornamento

I buchi di sicurezza e rischi potenziali sono trovati e risolti in ogni versione di Apache. La comunità di sviluppatori è costantemente al lavoro su nuove questioni di sicurezza e non possiamo sottolineare abbastanza quanto sia importante aggiornare.
Una politica buona politica di aggiornamento e la sicurezza lavorano mano nella mano. Non si deve solo aggiornare Apache quando vi è una major release, ma è anche necessario installare tutte le patch. E’ inoltre consigliato aggiornare PHP (se lo utilizzate) quando si aggiorna Apache.
È possibile controllare la versione corrente di Apache utilizzando il seguente comando.

# http -v
Server version: Apache/2.*.** (Unix)
Server built: Mar 12 2014 13:20:23

Se si vede che la versione di Apache in esecuzione non è aggiornata, fare l’aggiornamento.

Versione di Apache e OS

Se si verifica un errore, il server potrebbe restituire le informazioni sull’errore con la versione di Apache ed i dettagli sul sistema operativo. Una semplice pagina 404 può fornire informazioni cruciali sul server Web e il sistema operativo. In alcuni casi, potrebbe anche tornare dettagli sui moduli di Apache che sono installati nel server.
Per disattivare questa funzione, aprire il file di configurazione (httpd.conf) con un editor di testo e trovare la stringa “ServerSignature On.” Dovrebbe essere attiva per impostazione predefinita. Disattivarlo semplicemente sostituendo ad “On” la parola “Off”.
Ora l’intestazione del sito HTTP e le pagine di errore visualizzeranno solo che viene servito da Apache e non mostrerà la versione.

Disabilitare il Directory Listing.

Se non c’è alcun file di index nella directory principale, Apache, mostrerà l’elenco di tutti i file nella directory principale. Ci sono diversi modi per prevenire che Apache mostri i file nella cartella principale. Anche in questo caso è necessario aggiungere un paio di righe al file di configurazione. Ci sono 2 modi per farlo. O impostare la direttiva opzione “-Index” o “None”. Se non avete idea di che cosa stiamo parlando è sufficiente aggiungere le seguenti righe al file di configurazione.

<directory /var/www/html>
Options -Indexes
Order allow,deny
Allow from all
</directory>

O usate il seguente codice:

<directory></directory>
Options None
Order allow,deny
Allow from all

In alcune distribuzioni queste direttive sono già presenti, ma è sempre bene verificare.

Mettete in sicurezza il file di configurazione

Se siete un principiante ed avete seguito i passi di cui sopra, si dovrebbe avere capito il fatto che, il file httpd.conf è molto importante nel mantenere il vostro server sicuro. Quindi è meglio nascondere il file. È sempre possibile mostrarlo quando volete.
Utilizzare il seguente comando per immunizzare il file di configurazione.

chattr +i /httpd/conf/httpd.conf

Dalla pagina man di chattr:

“A file with the `i’ attribute cannot be modified: it cannot be deleted or renamed, no link can be created to this file and no data can be written to the file. Only the superuser or a process possessing the CAP_LINUX_IMMUTABLE capability can set or clear this attribute.”

Prevenite gli attacchi DoS limitando le dimensioni delle richieste

La maggior parte degli attacchi Denial of service potrebbe essere impedito da non consentire grandi richieste. Per impostazione predefinita, il LimitRequestBody è impostato ad illimitato. In base al requisito del tuo sito web la dimensione potrebbe essere alterata. Si potrebbe anche limitare le richieste alle directory più vulnerabili, come le cartelle di upload.

Disattivare i moduli indesiderati

Disabilitando diversi moduli che non sono di alcuna utilità per voi, è possibile ridurre la vulnerabilità di sicurezza del server. Per scoprire l’elenco di tutti i moduli nel vostro server Web, è possibile utilizzare il seguente comando.

# grep LoadModule /etc/httpd/conf/httpd.conf

Analizzate tutti i moduli della lista di output e capite quelli che sono inutili. Non avete nemmeno bisogno di eliminare le righe. Basta aggiungere “#” all’inizio e sarà disattivato dopo il riavvio del servizio.

Non eseguite Apache come root

Apache non dovrebbe essere eseguito come root. E’ sempre bene eseguire Apache come utente separato. Verrà eseguito come daemon o nobody per impostazione predefinita. Impostate un account non privilegiato dedicato per Apache. Mai mettere root come utente con cui opera Apache.

# vi httpd.conf
Group apache
User apache

Scegliere il giusto fornitore di hosting

Questo non ha nulla a che fare con il web server. Alcuni dei più popolari servizi di web hosting sono in America o in Europa. Popolare non significa, altamente sicuro. Non necessariamente c’è bisogno di comprare il vostro web hosting da questi fornitori di hosting. Se non si vive negli Stati Uniti, è possibile trovare un sacco di affidabili, accessibili, sicuri fornitori di hosting nel proprio paese. Vivete in Australia? Cercate un sito australiano che fornisca hosting come EZI Hosting e scegliete i fornitori di hosting più popolari i cui indirizzi IP non sono spesso attaccati dagli hacker.

Sito web di Apache : http://httpd.apache.org/

Popular Posts:

Flattr this!

  2 Responses to “8 suggerimenti semplici da seguire per proteggere il Web server Apache”

  1. In addition to all of the above, I would also run the server under chrooted jail.

    ex: ChrootDir /var/www/html

  2. Another good security practice is to install mod_security. It is very useful Apache module that provides protection from various attacks against web applications and allows us to monitor traffic on a real time basis.

 Leave a Reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(required)

(required)

*