4 069
contributi
Hardening di un web server Apache: differenze tra le versioni
Hardening di un web server Apache (visualizza wikitesto)
Versione delle 23:03, 10 nov 2010
, 10 nov 2010→Direttive di Apache
(Nuova pagina: == Introduzione == Apache come ogni software usato in rete, è soggetto a bug che lo può rendere vulnerabile ad attacchi di diversa natura: Denial of Service, Information Disclosure, ...) |
|||
| Riga 6: | Riga 6: | ||
== Direttive di Apache == | == Direttive di Apache == | ||
=== Impedire il controllo degli accessi per directory === | |||
Tramite l'uso dei file ''.htaccess'' è possibile definire direttive di configurazione specifiche in ogni singola directory, direttamente da parte di chi ci uploada file. Su un server su cui possono uploadare documenti anche webmaster non noti, è opportuno limitare il più possibile questa funzionalità con una radicale disabilitazione dell'uso degli ''.htaccess'' su ogni directory: | |||
<pre> | |||
<Directory /> | |||
AllowOverride None | |||
</Directory> | |||
</pre> | |||
E' poi possibile "aprire" per directory e funzionalità selezionate, la possibilità di fare l'override della conf generale tramite i file ''.htaccess'' locali. | |||
Le diverse opzioni di <code>AllowOverride</code> controllano quali direttive possono essere definite nei file ''.htaccess'': <code>All, AuthConfig, FileInfo, Indexes, Limit, Options, None</code>. | |||
=== Impedire la lettura via Web a file ''.htaccess'' === | |||
Nella configurazione di Apache di default è presente un provvidenziale: | |||
<pre> | |||
<Files ~ "^\.ht"> | |||
Order allow,deny | |||
Deny from all | |||
Satisfy All | |||
</Files> | |||
</pre> | |||
che impedisce la lettura via Web di file che iniziano con ''.ht'' e di conseguenza evita che un utente via Web possa leggere le informazioni delicate che possono essere presenti nei file ''.htaccess''. Ovviamente se si decide di cambiare il nome del file che controlla gli accessi sulle singole directory (direttiva di default: <code>AccessFileName .htaccess</code>) si dovrà adattare anche questa configurazione. | |||
=== Impedire la lettura via Web a file di configurazione === | |||
Analogamente al caso precedente può essere utile impedire l'accesso diretto a file che possono contenere parametri di configurazione (che finiscono con inc o conf): | |||
<pre> | |||
<FilesMatch \.(inc|conf)> | |||
Order Allow,Deny | |||
Deny from all | |||
</FilesMatch> | |||
</pre> | |||
=== Disattivare l'uso di .cgi e .shtml al di fuori di directory predefinite === | |||
Tramite la direttiva <code>AddHandler</code> si può dire al server web di trattare file con determinate estensioni con un apposito handler (per esempio un modulo per gestire pagine dinamiche). Di default sulla conf di Apache sono disattivati gli handler per script .cgi e .shtml: | |||
<pre> | |||
#AddHandler cgi-script .cgi | |||
#AddType text/html .shtml | |||
#AddHandler server-parsed .shtml | |||
</pre> | |||
per cui se si vogliono usare dei Server Side Includes o degli script CGI al di fuori della directory predefinita con la direttiva <code>ScriptAlias /cgi-bin/ "@@ServerRoot@@/cgi-bin/"</code>, queste righe vanno scommentate. | |||
=== Disabilitare l'accesso pubblico a server-info e server-status === | |||
Apache prevede due location speciali che possono essere utilizzate per visualizzare informazioni utili al sysadmin sullo stato del server web e la sua configurazione. Di default questo sono disabilitate, ma possono essere abilitate limitando gli IP da cui possono essere visualizzate. In genere è consigliabile non renderle visibili pubblicamente (in particolare server-info, che di fatto espone la configurazione completa di Apache). | |||
<pre> | |||
#<Location /server-status> | |||
# SetHandler server-status | |||
# Order deny,allow | |||
# Deny from all | |||
# Allow from .your-domain.com | |||
#</Location> | |||
#<Location /server-info> | |||
# SetHandler server-info | |||
# Order deny,allow | |||
# Deny from all | |||
# Allow from .your-domain.com | |||
#</Location> | |||
</pre> | |||
Se si vogliono visualizzare server-status e server-info, scommentare queste righe e specificare i domini o gli IP da cui è permesso visualizzarli. | |||
===Disabilitare il file listing in directory senza index.html (o analoghi nomi di file predefiniti) === | |||
Con la direttiva <code>DirectoryIndex</code> si definiscono quali file Apache automaticamente cerca, e visualizza, quando il client richiede un URI che contiene solo il nome di una directory, senza specificare il nome della pagina web. Se il client accede ad una directory che non contiene uno di questi index predefiniti, Apache visualizza direttamente tutti i file contenuti nella directory stessa, esponendo infomazioni potenzialmente riservate. | |||
Se si vuole disabilitare il listing di tutti i file presenti in una directory, quando non è presente il file di indice, si usa la direttiva <code>Options -Indexes</code>: | |||
<pre> | |||
<Location /> | |||
Options -Indexes | |||
</Location /> | |||
</pre> | |||
Per disabilitare il directory listing si può anche direttamente rimuovere il caricamento (o la compilazione) del modulo ''mod_autoindex''; se invece si vuole abilitarlo, ma al contempo escludere dal listing dei file potenzialmente sensibili si può usare una direttiva come: | |||
<pre> | |||
IndexIgnore .??* *.bak *.swp *# HEADER* README* RCS | |||
</pre> | |||
=== Limitare le richieste del client === | |||
Di default Apache permette al client di eseguire richieste particolarmente esose che possono essere impropriamente utilizzate per un Denial Of Service attack. Esistono alcune direttive che limitano alcune caratteristiche delle richieste che il client può eseguire: | |||
* <code>LimitRequestBody 10240</code>: Limita a meno di 10 Kb le dimensioni del body di una richiesta HTTP (PUT o POST). Di default questo valore è 0 (infinito). Si può specificare un valore in byte diverso, avendo cura di non interferire con il normale funzionamento di un sito. | |||
* <code>LimitRequestFields 30</code>: Imposta a 30 il numero massimo di header HTTP che il client può inserire nella sua richiesta. Il valore di default è 100, in genere è difficile avere richieste che abbiamo più di 20-30 header. | |||
* <code>LimitRequestFieldSize 500</code>: Imposta a 500 byte la dimensione massima di ogni singolo header HTTP in una richiesta. Il valore di default è 8190. | |||
* <code>LimitRequestLine 500</code>: Imposta a 500 byte le dimensioni della richiesta HTTP (metodo, URL e protocollo), limitando di fatto le dimensioni dell'URL stesso che un client può chiedere (attenzione a dimensionarlo secondo i nomi e i parametri passati negli URL del proprio sito). Valore di default 8190. | |||
=== Disabilitare l'uso di symlink === | |||
Di default Apache se trova in una directory di un suo sito Web un link simbolico all'infuori della directory stessa, prova a seguirlo e fornire il file linkato. | |||
Questo comportamento può essere usato per far vedere via web dati che non dovrebbero essere visibili (immaginare un webmaster che digita il seguente comando nella sua home: | |||
<pre> | |||
ln -s /etc/passwd passwd.html. | |||
</pre> | |||
Per impedirlo si deve definire, nella conf generale o in un specifico contenitore: | |||
<pre> | |||
Options -FollowSymLinks | |||
</pre> | |||
Esiste anche la possibilità di configurare Apache per seguire solo i symlink a file posseduti dall'utente, permettendo il symlinking all'interno del proprio sito web (e appesantendo non poco il server, per la quantità di controlli aggiuntivi che deve fare per ogni file servito): | |||
<pre> | |||
Options -FollowSymLinks +SymLinksIfOwnerMatch. | |||
</pre> | |||