Hardening di un web server Apache: differenze tra le versioni

Riga 353: Riga 353:
* ''SecFilterDebugLevel (0-9)'': mod-security ha 10 livelli di debug: 0 (non vengono loggate informazioni di debug) - 9 (viene loggato tutto).
* ''SecFilterDebugLevel (0-9)'': mod-security ha 10 livelli di debug: 0 (non vengono loggate informazioni di debug) - 9 (viene loggato tutto).
* ''SecFilterScanPost (On|Off)'': di default, mod-security scansiona solo le richieste GET datas. Abilitando questa direttiva gli faremo scansionare anche i dati POST
* ''SecFilterScanPost (On|Off)'': di default, mod-security scansiona solo le richieste GET datas. Abilitando questa direttiva gli faremo scansionare anche i dati POST
Verifichiamo la nuova configurazione:
<pre>
# apache2ctl -t
Syntax OK
</pre>
e riavviamo Apache:
<pre>
/etc/init.d/apache restart
</pre>
A questo punto potremmo voler abilitare la protezione per alcuni attacchi comuni attraverso le cosiddette [http://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project Core Rules].