4 069
contributi
Hardening di un web server Apache: differenze tra le versioni
Hardening di un web server Apache (visualizza wikitesto)
Versione delle 22:54, 8 mar 2014
, 8 mar 2014→Il modulo mod_security di Apache
S3v (discussione | contributi) mNessun oggetto della modifica |
|||
| Riga 340: | Riga 340: | ||
# a2enmod mod-security | # a2enmod mod-security | ||
# /etc/init.d/apache2 restart | # /etc/init.d/apache2 restart | ||
</pre> | |||
Come prima cosa, possiamo sostituire la stringa di informazioni della direttiva <tt>ServerTokens</tt> e renderla ancora più anonima: | |||
<pre> | |||
# nano /etc/apache2/conf.d/security | |||
</pre> | |||
Cerchiamo la direttiva <tt>ServerTokens</tt> e cambiamola in modo apparentemente meno sicuro: | |||
<pre> | |||
ServerTokens Full | |||
</pre> | |||
Quindi cerchiamo la direttiva <tt>ServerSignature</tt> e cambiamola così: | |||
<pre> | |||
#ServerSignature On | |||
SecServerSignature Web_Server_di_Ferdy | |||
</pre> | </pre> | ||
La forza di questo modulo, però, risiede nella sua possibilità di tuning. Creiamo quindi il file <code>/etc/apache2/conf.d/mod_security</code> e impostiamo una prima configurazione di base personalizzata: | La forza di questo modulo, però, risiede nella sua possibilità di tuning. Creiamo quindi il file <code>/etc/apache2/conf.d/mod_security</code> e impostiamo una prima configurazione di base personalizzata: | ||