4 069
contributi
Hardening di un web server Apache: differenze tra le versioni
Hardening di un web server Apache (visualizza wikitesto)
Versione delle 00:14, 11 nov 2010
, 11 nov 2010→Il modulo <code>mod_security</code> di Apache
| Riga 362: | Riga 362: | ||
/etc/init.d/apache restart | /etc/init.d/apache restart | ||
</pre> | </pre> | ||
A questo punto potremmo voler abilitare la protezione per alcuni attacchi comuni attraverso le cosiddette [http://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project Core Rules]. | A questo punto potremmo voler abilitare la protezione per alcuni attacchi comuni attraverso le cosiddette [http://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project Core Rules], che possiamo scaricare da qui: http://sourceforge.net/projects/mod-security/files/modsecurity-crs/0-CURRENT/modsecurity-crs_2.0.8.tar.gz/download | ||
<br/> | |||
Una volta scaricato il file delle regole (al momento della stesura di questa guida il file più aggiornato è modsecurity-crs_2.0.8.tar.gz), copiamolo al posto giusto e scompattiamolo: | |||
<pre> | |||
# cp -rpf ~/modsecurity-crs_2.0.8.tar.gz /etc/apache2/ | |||
# cd /etc/apache2/; tar -zxvvf modsecurity-crs_2.0.8.tar.gz | |||
# mv modsecurity-crs_2.0.8 modsecurity-crs | |||
</pre> | |||
Apriamo il file di configurazione di mod_security: | |||
<pre> | |||
# nano /etc/apache2/conf.d/mod_security | |||
</pre> | |||
e aggiungiamo alla fine del file le righe: | |||
<pre> | |||
Include /etc/apache2/modsecurity-crs/*.conf | |||
Include /etc/apache2/modsecurity-crs/base_rules/*.conf | |||
</pre> | |||