{"id":145,"date":"2006-02-02T21:27:39","date_gmt":"2006-02-02T20:27:39","guid":{"rendered":"http:\/\/www.zarrelli.org\/new_blog\/?p=145"},"modified":"2006-02-02T21:27:39","modified_gmt":"2006-02-02T20:27:39","slug":"hardening-apachedownloade-installazione","status":"publish","type":"post","link":"https:\/\/www.zarrelli.org\/blog\/hardening-apachedownloade-installazione\/","title":{"rendered":"Hardening Apache,\rdownload\ne installazione"},"content":{"rendered":"

Aprire una porta su internet, lasciare che ignoti visitatori entrino e diano uno sguardo nell\u2019anticamera del vostro server \u00e8 sicuramente un\u2019operazione affascinante e, spesso, utile. Un server web dovrebbe proprio servire a questo, a creare uno spazio destinato ad accogliere le richieste pi\u00f9 diverse, a mostrare le informazioni che si vogliono condividere. Con il tempo, per\u00f2, le esigenze sono cresciute, sono divenute pi\u00f9 sofisticate, tanto che il semplice HTML \u00e8 diventato un linguaggio inadeguato ai nuovi scopi: pagine dinamiche, applicazioni su web, portali, weblog e tutta la teoria di strumenti interattivi ha reso pi\u00f9 sofisticati i siti e pi\u00f9 complessi i server web alle loro spalle.
\nApache \u00e8 un ottimo esempio di server versatile, potente e, tutto sommato, semplice da configurare: pu\u00f2 essere utilizzato da un utente di media esperienza per gestire il proprio sito Internet, come lo si pu\u00f2 riscontrare in portali o siti di classe enterprise a servire intranet ed extranet pi\u00f9 simili a vere e proprie applicazione browser-driven che a pagine di consultazione. Proprio la notevole interattivit\u00e0 delle applicazioni che possono essere costruite attorno a un web server ha portato all’emergere, nel corso degli anni, di una serie di problematiche legate alla sicurezza sia del framework, Apache, che dei programmi, scritti nei pi\u00f9 disparati linguaggi, dal Perl o C, per esempio, alle pagine PHP o JavaScript. Insomma, all’aumentare dell’interattivit\u00e0 delle pagine web \u00e8 corrisposta una crescita considerevole dei problemi legati alla sicurezza e delle contromisure che un amministratore di sistema deve essere in grado di porre in campo per assicurare una discreta sicurezza alle proprie installazioni.<\/p>\n

Sicurezza stratificata<\/h3>\n

Cosa comporta mettere in sicurezza un web server?
\nIl problema, come spesso accade, si riflette su diversi livelli di amministrazione su un server:<\/p>\n

    \n
  1. Mettere in sicurezza il sistema operativo;<\/li>\n
  2. Mettere in sicurezza il framework (Apache);<\/li>\n
  3. Mettere in sicurezza le applicazioni.<\/li>\n<\/ol>\n

    In questa occasione tralasceremo la sicurezza relativa al sistema operativo, un’operazione decisamente complessa che richiederebbe un intero ciclo di articoli a se stante. Di passaggio possiamo solo fornire un suggerimento: una prima soluzione potrebbe consistere nel ricompilare il kernel utilizzando le patch grsecurity (www.grsecurity.net), impostando un alto livello di protezione. Non \u00e8 la soluzione ottimale, dato che la difesa di un sistema operativo si basa anch’essa su pi\u00f9 livelli di intervento, che vanno dalla ricompilazione dei sorgenti degli applicativi alle operazioni, almeno le pi\u00f9 elementari, di auditing; per\u00f2, l\u2019installazione di grsecurity pu\u00f2 essere un primo punto di approccio al problema, dal quale partire e approfondire in seguito.<\/p>\n

    Ci\u00f2 che qui ci interessa \u00e8, primariamente, rendere pi\u00f9 affidabile Apache, partendo dalle \u201cradici\u201d del problema, iniziando a lavorare a livello di sorgente, per assicurarci della bont\u00e0 del programma e per mettere in gioco qualche diversivo in grado di disorientare i malintenzionati meno ferrati in materia di sicurezza.<\/p>\n

    Il nostro primo passo sar\u00e0, quindi scaricare i sorgenti di Apache: \u00e8 indifferente quale si decida di utilizzare, se appartenente alla versione 1.x o alla 2.x.<\/p>\n

    Verifichiamo i sorgenti<\/h3>\n

    La prima buona pratica da tenere a mente \u00e8 quella di preferire i server ufficiali del progetto Apache come fonte dalla quale scaricare i sorgenti sui quali si vuole lavorare. E’ una semplice questione di sicurezza: \u00e8 decisamente pi\u00f9 difficile per qualche malintenzionato penetrare in queste macchine piuttosto che in un computer gestito in maniera amatoriale da qualche volenteroso.<\/p>\n

    Una volta ottenuti i sorgenti, proseguiamo con una verifica della loro bont\u00e0: ogni sorgente fornito ufficialmente dal progetto Apache viene firmato digitalmente dal gestore della versione rilasciata e quindi bisogner\u00e0 provvedere a scaricare sia le firme PGP che gli hash MD5.<\/p>\n

    Nel nostro esempio utilizzeremo i sorgenti contenuti nell’archivio:<\/p>\n

    httpd-2.0.54.tar.gz<\/code><\/p>\n

    Una volta scaricato il sorgente, dobbiamo prelevare anche la relativa firma PGP e l’hash MD5:<\/p>\n

    httpd-2.0.54.tar.gz.md5
    \nhttpd-2.0.54.tar.gz.asc<\/code><\/p>\n

    Provvediamo a confrontare la firma ottenuta con i sorgenti scaricati, utilizzando un tool di gestione quale potrebbe essere GNU Privacy Guard:<\/p>\n

    ~$ gpg httpd-2.0.54.tar.gz.asc
    \ngpg: Signature made lun 11 apr 2005 23:06:14 CEST using DSA key ID DE885DD3
    \ngpg: Impossibile controllare la firma: chiave pubblica non trovata<\/code><\/p>\n

    Qui incontriamo il primo ostacolo. Non possiamo controllare la bont\u00e0 dei sorgenti, dato che non abbiamo la chiave pubblica corrispondente. Da notare che l’identificativo della chiave pubblica messa a disposizione dal gestore di questa versione dei sorgenti per verificare la loro integrit\u00e0 \u00e8:<\/p>\n

    DE885DD3<\/code><\/p>\n

    Il problema \u00e8 di facile soluzione: baster\u00e0 utilizzare un gestore pubblico di chiavi per scaricare quella corrispondente all’identificativo indicato. Nel nostro caso useremo keyserver.linux.it<\/code>, il quale \u00e8 fornito anche di una comoda interfaccia web che facilita notevolmente il compito a chi si trova un po’ a disagio nell’utilizzo di gpg:<\/p>\n

    ~$ gpg --keyserver keyserver.linux.it --recv-key DE885DD3
    \ngpg: requesting key DE885DD3 from hkp server keyserver.linux.it
    \ngpg: key DE885DD3: public key \"Sander Striker \" imported
    \ngpg: non \u00e8 stata trovata alcuna chiave definitivamente affidabile
    \ngpg: Numero totale esaminato: 1
    \ngpg: importate: 1<\/striker><\/code><\/p>\n

    Abbiamo installato la chiave pubblica che ci interessa, prendendola da keyserver.linux.it<\/code>: dato che i key server sono interconnessi fra di loro e si scambiano le chiavi, ognuno pu\u00f2 scegliere quello che ritiene migliore e pi\u00f9 affidabile.<\/p>\n

    Possiamo ora verificare che la firma apposta ai sorgenti sia buona e lo faremo utilizzando la chiave fornita da Sander Striker tramite il key server:<\/p>\n

    $ gpg httpd-2.0.54.tar.gz.asc
    \ngpg: Signature made lun 11 apr 2005 23:06:14 CEST using DSA key ID DE885DD3
    \ngpg: Good signature from \"Sander Striker \"
    \ngpg: aka \"Sander Striker <\/striker>\"
    \ngpg: ATTENZIONE: questa chiave non \u00e8 certificata con una firma fidata!
    \ngpg: Non ci sono indicazioni che la firma appartenga al proprietario.
    \nImpronta digitale della chiave primaria: 4C1E ADAD B4EF 5007 579C 919C 6635 B6C0 DE88 5DD3<\/striker><\/code><\/p>\n

    Attenzione. Abbiamo una buona e una cattiva notizia:<\/p>\n

      \n
    • La buona notizia consiste nel fatto che la firma sui sorgenti \u00e8 buona;<\/li>\n
    • La cattiva \u00e8 che la chiave con cui abbiamo gestito la verifica non \u00e8 affidabile.<\/li>\n<\/ul>\n

      Chiunque potrebbe creare un chiave pubblica corrispondente a una firma falsa sui sorgenti scaricati e indurci a credere che sia tutto a posto. Dobbiamo fare un passo ulteriore: siamo costretti a verificare che la chiave connotata dall’identificativo DE885DD3<\/code> sia stata creata davvero da Sander Striker, ovvero dobbiamo validarla:<\/p>\n

      $ gpg --fingerprint DE885DD3
      \npub 1024D\/DE885DD3 2002-04-10
      \n Key fingerprint = 4C1E ADAD B4EF 5007 579C 919C 6635 B6C0 DE88 5DD3
      \nuid Sander Striker
      \nuid Sander Striker <\/striker>
      \nsub 2048g\/532D14CA 2002-04-10<\/striker><\/code><\/p>\n

      In questo caso abbiamo verificato l’impronta della chiave che abbiamo scaricato, ma nemmeno questo \u00e8 sufficiente. Ci\u00f2 che ci potrebbe aiutare \u00e8 entrare in un web of trust<\/em>, ovvero costruire una rete di referenti affidabili, da cui abbiamo ricevuto direttamente l’impronta delle loro chiavi e quindi siamo sicuri della loro identit\u00e0. Se una delle maglie di questa rete ci porta a qualcuno che ha firmato la chiave di Sander Striker, potremo considerare affidabile la chiave di quest’ultimo e tutte le chiavi da lui firmate. Il metodo pi\u00f9 affidabile per verificare la chiave di qualcuno \u00e8 scambiare l’impronta \u201cde visu\u201d, in modo da essere sicuri di chi ci sta fornendo l’informazione, ma questo \u00e8 possibile solo per i nostri referenti diretti. Per poter ovviare al problema di incontrare faccia a faccia Sander Striker, operazione difficile e scomoda, possiamo scaricare dal sito del progetto Apache il file<\/p>\n

      http:\/\/www.apache.org\/dist\/httpd\/KEYS<\/code><\/p>\n

      contenente le chiavi pubbliche degli sviluppatori di Apache. Dato che gli sviluppatori hanno firmato reciprocamente le loro chiavi, considerando valide le chiavi pubbliche di uno, verranno considerate valide tutte:<\/p>\n

      $ gpg --edit-key DE885DD3
      \ngpg (GnuPG) 1.4.1; Copyright (C) 2005 Free Software Foundation, Inc.
      \nThis program comes with ABSOLUTELY NO WARRANTY.
      \nThis is free software, and you are welcome to redistribute it
      \nunder certain conditions. See the file COPYING for details.<\/p>\n

      gpg: controllo il trustdb
      \ngpg: non \u00e8 stata trovata alcuna chiave definitivamente affidabile
      \npub 1024D\/DE885DD3 created: 2002-04-10 expires: mai usage: CSA
      \n trust: undefined validity: sconosciuto
      \nsub 2048g\/532D14CA created: 2002-04-10 expires: mai usage: E
      \n[ unknown] (1). Sander Striker
      \n[ unknown] (2) Sander Striker <\/striker><\/p>\n

      Comando> trust
      \npub 1024D\/DE885DD3 created: 2002-04-10 expires: mai usage: CSA
      \n trust: undefined validity: sconosciuto
      \nsub 2048g\/532D14CA created: 2002-04-10 expires: mai usage: E
      \n[ unknown] (1). Sander Striker <\/striker>
      \n[ unknown] (2) Sander Striker <\/striker><\/p>\n

      Please decide how far you trust this user to correctly verify other users' keys
      \n(by looking at passports, checking fingerprints from different sources, etc.)<\/p>\n

      1 = I don't know or won't say
      \n 2 = I do NOT trust
      \n 3 = I trust marginally
      \n 4 = I trust fully
      \n 5 = I trust ultimately
      \n m = back to the main menu<\/p>\n

      Cosa hai deciso? 5
      \nDo you really want to set this key to ultimate trust? (y\/N) y<\/p>\n

      pub 1024D\/DE885DD3 created: 2002-04-10 expires: mai usage: CSA
      \n trust: ultimate validity: sconosciuto
      \nsub 2048g\/532D14CA created: 2002-04-10 expires: mai usage: E
      \n[ unknown] (1). Sander Striker <\/striker>
      \n[ unknown] (2) Sander Striker <\/striker>
      \nNota che la validit\u00e0 della chiave indicata non sar\u00e0 necessariamente corretta
      \nfinch\u00e8 non eseguirai di nuovo il programma.
      \nComando> quit<\/striker><\/code><\/p>\n

      A questo punto, la chiave di Sander Strike \u00e8 considerata valida a tutti gli effetti. Proviamo ora a verificare i sorgenti:<\/p>\n

      $ gpg --verify httpd-2.0.54.tar.gz.asc
      \ngpg: Signature made lun 11 apr 2005 23:06:14 CEST using DSA key ID DE885DD3
      \ngpg: controllo il trustdb
      \ngpg: 3 marginal(s) needed, 1 complete(s) needed, classic trust model
      \ngpg: depth: 0 valid: 1 signed: 3 trust: 0-, 0q, 0n, 0m, 0f, 1u
      \ngpg: depth: 1 valid: 3 signed: 9 trust: 3-, 0q, 0n, 0m, 0f, 0u
      \ngpg: Good signature from \"Sander Striker \"
      \ngpg: aka \"Sander Striker <\/striker><\/striker><\/code><\/p>\n

      La firma \u00e8 considerata valida ed \u00e8 stata utilizzata una chiave valida. Ovviamente, se riuscite a farvi dare l’impronta della chiave di prima mano, anche tramite un vostro buon web of trust, l’operazione \u00e8 da considerarsi ancora pi\u00f9 sicura.<\/p>\n

      Un secondo metodo per controllare l’integrit\u00e0 dell’archivio contenente i file sorgente \u00e8 costituito nella verifica della sua firma MD5. Senza addentrarci troppo nei dettagli tecnici, possiamo definire la firma MD5 come una stringa a 128 bit (hash) generato in base a una stringa di partenza variabile. Data la stessa stringa di partenza, si otterr\u00e0 sempre la stessa stringa di arrivo, ma non \u00e8 vero il contrario: dal codice ottenuto non si pu\u00f2 risalire alla stringa di partenza. Quindi, siamo di fronte a un algoritmo definito one way<\/code>, che non consente praticamente a un malintenzionato di alterare i dati di partenza senza che questi si riflettano nel codice di controllo. E nemmeno \u00e8 praticamente fattibile creare due stringhe di partenza che diano lo stesso hash finale. Insomma, data l’alta improbabilit\u00e0 di poter alterare la stringa di partenza senza che ci\u00f2 alteri anche il codice di controllo, \u00e8 possibile usare la l’algoritmo MD5, dandogli come input l’archivio contenente i file sorgente di Apache, per poi controllarne la stringa di hash con quella generata fornita tramite il sito del progetto: se i due hash corrispondono vi \u00e8 una probabilit\u00e0 molto alta, talmente alta da dare una certezza pratica, che il file in nostro possesso non sia stato alterato. Controlliamo quindi la firma del nostro file, generandola tramite l’utility md5sum<\/code>, contenuta nel pacchetto textutils<\/code>, riversandola in un file temporaneo che confronteremo tramite diff<\/code> con il file scaricato dal sito di Apache:<\/p>\n

      $ cat httpd-2.0.54.tar.gz.md5
      \n772503748ffb85301385d47fb2b96eca httpd-2.0.54.tar.gz
      \n$ md5sum httpd-2.0.54.tar.gz > verifica
      \n$ diff verifica httpd-2.0.54.tar.gz.md5
      \n$<\/code><\/p>\n

      L’output generato da diff<\/code> \u00e8 nullo, quindi i due file sono identici e ci\u00f2 significa che la firma generata dal file in nostro possesso \u00e8 identica alla firma generata con la copia ufficiale di Apache, quindi vi \u00e8 un’alta probabilit\u00e0 che anche i due file di partenza siano identici.<\/p>\n

      Patchwork<\/h3>\n

      Una volta ottenuti dei sorgenti affidabili, \u00e8 necessario assicurarsi che questi siano privi di bachi sensibili.
      \nIl primo accorgimento per evitare problemi nascosti nei sorgenti, consiste puntare all’URL http:\/\/archive.apache.org\/dist\/httpd\/patches\/<\/code> o a un mirror affidabile e aggiornato e controllare se per la versione in proprio possesso esiste una patch critica, che va quindi scaricata nella directory dei sorgenti e applicata utilizzando il comando:<\/p>\n

      patch -s < nome_patch.patch<\/code><\/p>\n

      Questo primo passo \u00e8 necessario ma non sufficiente a garantire che i sorgenti siano privi di bachi importanti, dato che questi spesso vengono rilevati a distanza dal loro rilascio, evidenziati durante l'utilizzo su numerose installazioni. Per evitare di rimanere con un server afflitto da bachi \u00e8 necessario rimanere sempre aggiornati sullo sviluppo dei sorgenti, iscrivendosi alla mailing list <\/code>announce@httpd.apache.org<\/code><\/p>\n

      (che \u00e8 pi\u00f9 bollettino che mailing list vera e propria, dato che vi circolano solo gli annunci di nuove versioni o di patch, inviati dalla Fondazione). Se vi saranno aggiornamenti critici, una volta iscritti questi arriveranno comodamente nella vostra casella postale, mettendovi al riparo da future, sgradite sorprese.<\/p>\n

      Mistificazioni<\/h3>\n

      Resistere all’attacco di un malintenzionato in gamba \u00e8 decisamente difficile, ma togliersi di torno l’improvvisato di turno non \u00e8 un’operazione che richieda grandi sforzi. Un semplice trucco per confondere le acque a chi stia cercando di collezionare pi\u00f9 informazioni possibile sul nostro server, come per esempio la versione utilizzata (utile per cercare bachi non patchati), quale PHP o libreria SSL vengano implementate, \u00e8 abbastanza semplice e richiede la modifica di un solo file header nei sorgenti.<\/p>\n

      Apache 1.x<\/b><\/p>\n

      Nella configurazione standard, Apache \u00e8 decisamente \u201cchiacchierone\u201d e rivela fin troppo facilmente la propria versione e i vari moduli compilati, consentendo a chiunque, semplicemente richiamando una pagina esistente, di sapere se sono installati i moduli PHP e SSL e le relative versioni, per esempio. Troppo semplice e troppo invitante soprattutto per uno \u201cscript kiddie\u201d, uno smanettone senza troppe competenze ma fornito all’inverosimile di script e programmi in grado di condurre autonomamente una vasta serie di attacchi.
      \nIl nostro scopo, ora, consiste non solo e non tanto nell’ammutolire Apache, ma nel renderlo menzognero, facendogli dire qualche piacevole fandonia. Per raggiungere questo risultato, con i sorgenti della versione 1.x, baster\u00e0 modificare il file<\/p>\n

      httpd.h<\/code><\/p>\n

      Nel nostro esempio, utilizzeremo i sorgenti contenuti nell’archivio<\/p>\n

      apache_1.3.33.tar.gz<\/code><\/p>\n

      Una volta decompresso, entriamo nella directory<\/p>\n

      apache_1.3.33\/src\/include<\/code><\/p>\n

      e apriamo in file httpd.h<\/code>, nel quale troveremo alcune righe interessanti:<\/p>\n

      #define SERVER_BASEVENDOR \"Apache Group\"
      \n#define SERVER_BASEPRODUCT \"Apache\"
      \n#define SERVER_BASEREVISION \"1.3.33\"<\/p>\n

      #define APACHE_RELEASE 10333100
      \n#define SERVER_SUPPORT \"http:\/\/www.apache.org\/\"<\/code><\/p>\n

      Sono le informazioni contenute in queste direttive a essere utilizzate per generare i messaggi \u201cdi sistema\u201d mostrati ai navigatori. Modifichiamoli leggermente:<\/p>\n

      #define SERVER_BASEVENDOR \"Suppa Lovva Group\"
      \n#define SERVER_BASEPRODUCT \"Lovva Server\"
      \n#define SERVER_BASEREVISION \"1.2.3.4.x.x.x\"<\/p>\n

      #define APACHE_RELEASE 99887766554433221100
      \n#define SERVER_SUPPORT \"http:\/\/www.suppalovva.net\"<\/code><\/p>\n

      Ora baster\u00e0 lanciare un semplice<\/p>\n

      .\/configure
      \nmake
      \nmake install<\/code><\/p>\n

      dalla directory radice dei sorgenti, avviare il server, richiamare una pagina inesistente e il risultato sar\u00e0 quello visibile nella figura sottostante.<\/p>\n

      \"Lovva
      \nIl nostro server appare decisamente strano. Suppa Lovva?<\/b><\/p>\n

      Apache 2.x<\/b><\/p>\n

      In Apache 2.x si pu\u00f2 ottenere lo stesso risultato modificando un differente file. Nel nostro esempio, abbiamo decompresso l’archivio httpd-2.0.54.tar.gz<\/code>, editando il file<\/p>\n

      httpd-2.0.54\/include\/ap_release.h<\/code><\/p>\n

      Al suo interno, ritroviamo delle stringhe decisamente familiari:<\/p>\n

      #define AP_SERVER_BASEVENDOR \"Apache Software Foundation\"
      \n#define AP_SERVER_BASEPRODUCT \"Apache\"
      \n#define AP_SERVER_MAJORVERSION \"2\"
      \n#define AP_SERVER_MINORVERSION \"0\"
      \n#define AP_SERVER_PATCHLEVEL \"54\"<\/code><\/p>\n

      Modifichiamole a piacere:<\/p>\n

      #define AP_SERVER_BASEVENDOR \"Free Love Foundation\"
      \n#define AP_SERVER_BASEPRODUCT \"StupidCupid\"
      \n#define AP_SERVER_MAJORVERSION \"99\"
      \n#define AP_SERVER_MINORVERSION \"00\"
      \n#define AP_SERVER_PATCHLEVEL \"11\"<\/code><\/p>\n

      Compiliamo i sorgenti, installiamoli, lanciamo Apache e richiamiamo una pagina inesistente. Il risultato sar\u00e0 quello mostrato nella figura sottostante.<\/p>\n

      \"Stupid
      \nVolendo giocare con gli header si possono apportare parecchie modifiche<\/b><\/p>\n

      Gli amministratori con uno spiccato senso dello humor potrebbero avere gi\u00e0 inteso cosa si pu\u00f2 fare giocando con gli header: basta modificare poche righe per simulare le risposte di IIS o di qualche altro server web a piacere.<\/p>\n

      La direttiva ServerTokens<\/h3>\n

      Se vogliamo rendere la vita ancora pi\u00f9 difficile al malintenzionato di turno, possiamo giocare un po’ con la configurazione del file httpd.conf<\/code>, abilitando la direttiva ServerTokens<\/code>, che gestisce la quantit\u00e0 di informazioni sul server restituite dagli header inviati da Apache ai client. Questa direttiva, per\u00f2, \u00e8 disponibile solo dalla versione 1.3 del server – ovviamente esiste anche nella 2.x, e accetta una serie di modificatori:<\/p>\n

        \n
      • ServerTokens Prod(uctOnly)<\/code>
        \nViene inviato solo il nome del web server, per es: Server: Apache Server;<\/li>\n

        <\/p>\n

      • ServerTokens Min(imal)<\/code>
        \nViene inviata anche la versione, per es.: Apache\/1.3.33 Server;<\/li>\n

        <\/p>\n

      • ServerTokens OS<\/code>
        \nViene inviato anche il tipo di sistema operativo: per es. : Apache\/1.3.33 (Unix);<\/li>\n

        <\/p>\n

      • ServerTokens Full (o senza argomento)<\/code>
        \nVengono inviati tutti i dati possibili, compresi quelli relativi ai moduli compilatiServer sends (e.g.): Server: Apache\/1.3.33 (Unix) PHP\/5.0.5<\/li>\n<\/ul>\n

        Attenzione per\u00f2: questa direttiva pu\u00f2 essere abilitata solo a livello di server e non pu\u00f2 essere modificata nei singoli host virtuali eventualmente configurati.<\/p>\n

        Prima di compilare<\/h3>\n

        Questo primo articolo sulla sicurezza in Apache si chiude con un consiglio di buona condotta al momento di configurare i sorgenti per la compilazione del server. Seguendo il sempre valido motto KISS<\/b>, Keep It Simple Stupid<\/em>, cerchiamo di mantenere il pi\u00f9 semplice possibile i binari installati sul nostro sistema. Certo, compilare monoliticamente o a moduli dinamici tutte le funzioni aggiuntive di Apache pu\u00f2 risultare comodo: prima o poi potrebbero servire e non bisogna nemmeno ricompilare. Per una maggiore sicurezza, per\u00f2, \u00e8 meglio non avere in giro funzionalit\u00e0 che non vengono utilizzate, magari lasciate attivate per una dimenticanza: meglio non compilare nemmeno ci\u00f2 che non serve. Gi\u00e0, ma cosa serve? Quali sono i moduli di base, il minimo indispensabile per avere un server web funzionale? Ecco quale \u00e8 l’insieme minimo di moduli da installare per poter servire pagine senza troppi fronzoli:<\/p>\n

          \n
        • httpd_core<\/code>
          \nModulo con le funzionalit\u00e0 di base, necessarie all’avvio di Apache; <\/li>\n

          <\/p>\n

        • mod_access<\/code>
          \nModulo che presiede alle direttive Allow, Deny e Order per l’accesso condizionato ai namespace;<\/li>\n

          <\/p>\n

        • mod_auth<\/code>
          \nModulo che offre l’autenticazione HTTP di base;<\/li>\n

          <\/p>\n

        • mod_dir<\/code>
          \nModulo che consente di implementare la direttiva DirectoryIndex, per indicare il file index di una directory;<\/li>\n

          <\/p>\n

        • mod_log_config<\/code>
          \nModulo per l’mplementazione delle funzioni di logging;<\/li>\n

          <\/p>\n

        • mod_mime<\/code>
          \nGestisce i set di caratteri l’encoding dei contenuti, il linguaggio predefinito delle pagine da servire e i tipi MIME dei documenti e altro ancora. Insomma, gestisce tutte le meta informazioni riguardanti le pagine servite.<\/li>\n<\/ul>\n

          Da disabilitare assolutamente, se non utilizzati:<\/p>\n

            \n
          • mod_auto_index<\/code>
            \nConsente di visualizzare il contenuto di una directory priva di file di indice;<\/li>\n
          • mod_info<\/code>
            \nFornisce una lista di informazioni sul server, sui moduli compilati e sulle direttive di configurazione.<\/li>\n<\/ul>\n

            Conclusioni<\/h3>\n

            Per ora abbiamo finito. Siamo arrivati fino alla configurazione dei sorgenti e compilazione del server. Nel prossimo articolo, approfondiremo quelle direttive di configurazione di Apache, che ci consentiranno di applicare delle direttive sufficientemente restrittive per limitare ragionevolmente la maggior parte degli attacchi pi\u00f9 triviali.
            \nUna volta configurato in maniera sicura il nostro server, lo sbatteremo in cella, in una chroot jail, dal quale un eventuale aggressore non uscir\u00e0 molto facilmente.<\/p>\n","protected":false},"excerpt":{"rendered":"

            Aprire una porta su internet, lasciare che ignoti visitatori entrino e diano uno sguardo nell\u2019anticamera del vostro server \u00e8 sicuramente un\u2019operazione affascinante e, spesso, utile. Un server web dovrebbe proprio servire a questo, a creare uno spazio destinato ad accogliere le richieste pi\u00f9 diverse, a mostrare le informazioni che si vogliono condividere. Con il tempo, …<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[13,62],"tags":[106,129,472,140,479,139,104,126,484,130,151],"class_list":{"0":"post-145","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"hentry","6":"category-computer","7":"category-sysadmin","8":"tag-acer","9":"tag-applicazioni","10":"tag-fon","11":"tag-free-software","12":"tag-internet","13":"tag-linux","14":"tag-mac","15":"tag-security","16":"tag-sicurezza","17":"tag-software","18":"tag-web","20":"without-featured-image"},"_links":{"self":[{"href":"https:\/\/www.zarrelli.org\/blog\/wp-json\/wp\/v2\/posts\/145","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.zarrelli.org\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.zarrelli.org\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.zarrelli.org\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.zarrelli.org\/blog\/wp-json\/wp\/v2\/comments?post=145"}],"version-history":[{"count":0,"href":"https:\/\/www.zarrelli.org\/blog\/wp-json\/wp\/v2\/posts\/145\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.zarrelli.org\/blog\/wp-json\/wp\/v2\/media?parent=145"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.zarrelli.org\/blog\/wp-json\/wp\/v2\/categories?post=145"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.zarrelli.org\/blog\/wp-json\/wp\/v2\/tags?post=145"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}