Hardening di un web server Apache: differenze tra le versioni

← Differenza precedente

Hardening di un web server Apache (visualizza wikitesto)

Versione delle 16:07, 8 feb 2018

877 byte aggiunti , 8 feb 2018

→‎Disabilitare l'accesso pubblico a server-info e server-status

Ferdybassi

Burocrati, Amministratori

4 069

contributi

@@ Riga 1: / Riga 1: @@
-{{Versioni compatibili|Squeeze|Wheezy}}
+{{Versioni compatibili|Squeeze|Wheezy|Jessie|Stretch}}
 == Introduzione ==
@@ Riga 9: / Riga 9: @@
 == Direttive di Apache ==
 Debian prevede un file specifico per la configurazione e la gestione della sicurezza di Apache: <code>/etc/apache2/conf.d/security</code>.<br/>
+'''Attenzione'''. Da Debian Stretch il file si trova nel percorso: <code>/etc/apache2/conf.available/security.conf</code>.<br/>
 Si consiglia quindi di apportare in questo file tutte le modifiche seguenti che desiderate implementare nella vostra configurazione.
 === Impedire il controllo degli accessi per directory ===
@@ Riga 54: / Riga 56: @@
 <pre>
 <Files ~ "^\.ht">
-     Order allow,deny
+   # Fino a Jessie
-     Deny from all
+     #Order Allow,Deny
-     Satisfy All
+     #Deny from all
+    # Da Stretch
+     Require all denied
 </Files>
 </pre>
@@ Riga 65: / Riga 70: @@
 <pre>
 <FilesMatch \.(inc|conf)>
-     Order Allow,Deny
+     # Fino a Jessie
-     Deny from all
+    #Order Allow,Deny
+     #Deny from all
+    # Da Stretch
+    Require all denied
 </FilesMatch>
 </pre>
@@ Riga 83: / Riga 92: @@
 <pre>
 #<Location /server-status>
-#    SetHandler server-status
+   # SetHandler server-status
-#    Order deny,allow
+   # Fino a Jessie
-#    Deny from all
+    #Order Allow,Deny
-#    Allow from .your-domain.com
+   #Deny from all
+   #Allow from .your-domain.com
+    # Da Stretch
+    Require all denied
+    Require local
+    Require ip 192.168.1.0/24
 #</Location>
 #<Location /server-info>
 #    SetHandler server-info
-#    Order deny,allow
+   # SetHandler server-status
-#    Deny from all
+   # Fino a Jessie
-#    Allow from .your-domain.com
+    #Order Allow,Deny
+   #Deny from all
+   #Allow from .your-domain.com
+    # Da Stretch
+    Require all denied
+    Require local
+    Require ip 192.168.1.0/24
 #</Location>
 </pre>
@@ Riga 202: / Riga 224: @@
 # find /etc/apache2/ | xargs fgrep -nH evasive
 </pre>
-Su alcuni siti viene suggerito di aumentare la sicurezza del modulo aggiungendo alcuni parametri di configurazione al file <code>/etc/apache2/mods-available/mod-evasive.load</code>:
+Su alcuni siti viene suggerito di aumentare la sicurezza del modulo aggiungendo alcuni parametri di configurazione al file <code>/etc/apache2/mods-available/mod-evasive.load</code>.<br/>
+'''Attenzione'''. Da Debian Stretch il file da modificare è <code>/etc/apache2/mods-available/evasive.conf</code>:
 <pre>
 <IfModule mod_evasive20.c>
@@ Riga 341: / Riga 364: @@
 # apt-get install libapache2-mod-security2
 </pre>
+{{Warningbox|Da '''Debian Stretch''', il modulo arriva già configurato con le opzioni mostrate qui sotto, che erano necessarie per le vecchie versioni di Debian. Se state usando Debian Stretch '''dovete saltare il resto del paragrafo'''.}}
+===Fino a Jessie===
 Abilitiamo il modulo appena installato e ci troveremo già con una configurazione minimale funzionante:
 <pre>