In questo articolo verranno esposti alcuni accorgimenti per migliorare lo stato di sicurezza del web Server Apache. Alcune di queste dritte sono generali, si applicano a livello di sistema, altre ancora sono specifiche del web server.
Innanzitutto è necessario mantenere aggiornato il pacchetto apache, nuove release potrebbero includere patch di sicurezza importanti.
Ricordiamo che apache viene avviato dall’utente root, per poi passare all’utente definito dalla direttiva User ; è quindi necessario che ogni comando che venga eseguito da root non sia modificabile da un utente che non sia root, e quindi tutti i file di log, i file di avvio del servizio ed i file di configurazione.
Un altro problema viene generato dagli script CGI. Se lo script cgi viene sempre eseguito dal medesimo utente (definito dalla direttiva User), è possibile che in un server multi-dominio, uno script lanciato dall’utente A cancelli tutti i file dell’utente B. In questo caso è necessario utilizzare suEXEC per differenziare gli script eseguiti in diversi domini. Con questo comando si aggancia uno script ad uno specifico utente e si impedisce di fatto l’esecuzione di uno script dannoso come quello indicato in precedenza, nel caso in cui vi sia una corretta divisione delle cartelle e dei permssi. Un altro strumento simile a suEXEC è CGIWrap
Gli script CGI possono essere limitati solo all’interno di determinate cartelle, oppure si può scegliere di renderli eseguibili ovunque sul sistema locale.
Non esistono solo script cgi in grado di gestire contenuti dinamici, ma anche script php, perl python etc..
Per tutti questi strumenti vale il discorso effettuato per CGI
In caso di attacco è sempre vitale controllare il file di Log in modo da riuscire a capire se si è trattato di un attacco e scoprire la vulnerabilità sfruttata, cercando di correggerla.
