# installazione di apache2

## dboogieman

Ciao a tutti ho appena terminato l'installazione di una macchina con a bordo:

-apache2 con annesse direttive per php ed ssl

-mysql

entrambe l'installazioni le ho fatte da emerge

mi sapreste consigliare come "hardenizzare" l'installazione di apache2? Mi bastano anche delle dritte generiche o URL a cui fare riferimento.

Ogni consiglio che i vorrete inviare sara' ben accetto  :Smile: 

ciao

dboogieman

----------

## .:chrome:.

che tipo di hardening vuoi fare?

----------

## dboogieman

Ho avuto l'idea di fare l'hardening del web server dopo aver letto:

http://www.securityfocus.com/infocus/1786

dove io penso si esageri proponendo un chroot del webserver.

Io per ora ho visto bene di fare girare apache con un suo utente, ed ho customizzate apache2.conf seguendo le direttive consigliate nel manuale httpd-docs downlodata da apche.org.

Se hai qualche ragguaglio o consiglio e' ben accetto.

Grazie dell'attenzione

Ciao

dboogieman

----------

## dboogieman

Ciao accidenti  :Smile:  nessuno che mi puo' consigliare?

ciao dboogieman

----------

## .:chrome:.

 *dboogieman wrote:*   

> Ho avuto l'idea di fare l'hardening del web server dopo aver letto:
> 
> http://www.securityfocus.com/infocus/1786
> 
> dove io penso si esageri proponendo un chroot del webserver.
> ...

 

due cose:

 - il server in chroot non è nulla di trascendentale. è più facile da fare che da spiegare

 - apache gira sempre con il suo utente (apache). il processo supervisore DEVE essere di root, altrimenti non potrebbe aprire socket, ma poi lui non si occupa di rispondere alle richieste. per quello ci sono i processi figli, che una volta creati e che hanno fatto il bind, fanno un CAP_SET_UID sull'UID di apache

----------

## dboogieman

Ciao grazie k.gothmog sono del parere che allora abbia gia' afferrato i concetti utili per "hardenizzare" il mio webserver..se proprio la mia paranoia aumentasse allora prima di metterlo in produzione gli "do un giro" di nessus  :Wink: 

grazie davvero

ciao

dboogieman

----------

## .:chrome:.

 *dboogieman wrote:*   

> Ciao grazie k.gothmog sono del parere che allora abbia gia' afferrato i concetti utili per "hardenizzare" il mio webserver..se proprio la mia paranoia aumentasse allora prima di metterlo in produzione gli "do un giro" di nessus 

 

non ho capito... alla fine hai deciso quindi di non fare nessun hardening?

----------

## dboogieman

allora aggiungo 2 info + in meito allo stato attuale del mio web-server di modo che tuaabia qualche riferimento:

#less /etc/passwd ==> situazione dell'utente apache: apache:x:81:81:apache:/home/httpd:/bin/false

#less /etc/paswd ==> situazione del grupppo a cui appartine l'utente apache: apache::81:

come e' in runnig attulamente il mio web server:

#ps aux

root     12467  0.0 10.9  31880 13776 ?        Ss   11:51   0:00 /usr/sbin/apache2 -k start -D SSL

apache   12469  0.0  9.6  30884 12068 ?        S    11:51   0:00 /usr/sbin/apache2 -k start -D SSL

apache   12470  0.0 12.7  33764 15984 ?        S    11:51   0:00 /usr/sbin/apache2 -k start -D SSL

apache   12471  0.0 12.3  33148 15468 ?        S    11:51   0:00 /usr/sbin/apache2 -k start -D SSL

apache   12472  0.0 12.8  33744 16108 ?        S    11:51   0:01 /usr/sbin/apache2 -k start -D SSL

apache   12473  0.0 12.3  33264 15496 ?        S    11:51   0:00 /usr/sbin/apache2 -k start -D SSL

apache   12474  0.0 12.3  33152 15444 ?        S    11:51   0:00 /usr/sbin/apache2 -k start -D SSL

apache   12479  0.0 12.2  33144 15408 ?        S    11:53   0:00 /usr/sbin/apache2 -k start -D SSL

apache   12491  0.0 12.3  33124 15424 ?        S    11:57   0:00 /usr/sbin/apache2 -k start -D SSL

non ho intenzione di "spegnere" i vari moduli non utilizzati dal web serevr dal suo file di configurazione come consigliato dal How To (mi pare che ogni singolo modulo venga caricato solo quando "richiamato"...) di security focus e non so se ad installazione ultimata con gia' i contenuti a bordo (come nel mio caso) io possa svolgere la procedura di chroot del web server..dubito...per il resto se hai qualche altro consiglio ho dritta che io debba tenere in considerazione sono tutto orecchie  :Wink:  non ne ho fatte molte di installazioni di apache2 e sentendo pareri in giro (per i quali ancora si avvalgono di apache 1.3.x) pensavo dopo aver installato il web server di verificarlo bene prima di metterlo in produzione.

ogni info che vorrai inviarmi sara' per me utile.

grazie

ciao

dboogieman

----------

## !equilibrium

```
emerge -av mod_security
```

e configuri le tue regole come ti pare e piace, l'ultima versione 1.8.x consente di far girare apache in un chroot particolare

----------

## .:chrome:.

 *dboogieman wrote:*   

> 
> 
> #less /etc/passwd ==> situazione dell'utente apache: apache:x:81:81:apache:/home/httpd:/bin/false
> 
> #less /etc/paswd ==> situazione del grupppo a cui appartine l'utente apache: apache::81:
> ...

 

direi che è tutto normale

 *dboogieman wrote:*   

> non ho intenzione di "spegnere" i vari moduli non utilizzati dal web serevr dal suo file di configurazione come consigliato dal How To (mi pare che ogni singolo modulo venga caricato solo quando "richiamato"...) di security focus e non so se ad installazione ultimata con gia' i contenuti a bordo (come nel mio caso) io possa svolgere la procedura di chroot del web server..dubito...per il resto se hai qualche altro consiglio ho dritta che io debba tenere in considerazione sono tutto orecchie  non ne ho fatte molte di installazioni di apache2 e sentendo pareri in giro (per i quali ancora si avvalgono di apache 1.3.x) pensavo dopo aver installato il web server di verificarlo bene prima di metterlo in produzione.

 

c'è un errore: i moduli vengono caricati all'avvio del server. ad ogni modo è mia idea che questo non sia una cosa importante.

è però vero che è impensabile di installare un software e usarlo così com'è senza un minimo di configurazione; soprattutto se si tratta di un server distinato alla produzione. alla luce di questo, anche se per una semplice questione di pulizia, direi che sarebbe buona cosa rimuovere dalla configurazione i moduli che non ti interessano (in fondo si tratta solo di commentare la riga di ogni modulo).

parlando poi del discorso sicurezza, il pacchetto apache È STABILE per cui non vedo il motivo di tanto allarmismo e/o paranoia. casomai meritano attenzione i moduli esterni. comuqnue sia, i problemi si risolvono tenendo d'occhio i bollettini di sicurezza e facendo regolarmente (a cadenza giornaliera) gli aggiornamenti.

in fondo fare il sistemista vuol dire questo. mettere in produzione server con la configurazione standard è indice di scarsissima capacità e qualità del lavoro, e mantenere la configurazione aggiornata è essenziale.

per il discorso chroot... quello ha senso solo se accetti la possibilità che il tuo server possa essere sfondato, ed è una misura contenitiva. per la verità è una misura abbastanza debile, perché è aggirabile facilmente, se non si prendono provvedimenti anche a livello kernel

considera comuque che una chroot è una replica ridotta del tuo sistema, fatta per contenere il server web, e contenente il minimo indispensabile per farlo funzionare... ed è una cosa che ti devi costruire te a mano. non è complesso, ma nemmeno la più immediata delle operazioni. devi avere ottima dimestichezza con le librerie di sistema e con i metodi di accesso a passwd, shadow, ecc...

io trovo più comodo l'uso di modsecurity, piuttosto che di una chroot, perché sotto certe ipotesi è molto più probabile che arrivi un exploit del codice, piuttosto che in qualche modo riescano a sfondare il server.

una cosa... prova a dare un'occhiata alla versione di apache che adesso è hard-masked. se ne parlava in un articolo ufficiale di gentoo (apache package refresh). è indubbiamente molto migliore, dal punto di vista della configurazione, e permettendoti di scegliere l'MPM da usare, garantisce anche migliori prestazioni, se gli dedichi un po' di tempo per la configurazione

----------

## dboogieman

Ciao a tutti voglio ringraziare vivamente sia k.gothmog, che con le sue precisazioni mi ha reso chiaro su cosa poggiare la mia attenzione, ringrazio anche darkangel76 per il consiglio dato.

Dopo aver letto le vostre dritte sono del parere di "remmare" dal file di configurazione di apache i moduli che non mi serviranno e daro' un occhio anche a mod_security di cui non ne conoscevo l'esistenza...

Grazie davvero, (faccio un piccolo escursus  :Wink:  come al solito questo forum e' per me un' attendibile fonte di informazione..e lo apprezzo davvero..anzi in questi giorni in cui la commisione europea ha pensato bene di "cassare" i brevetti software...vorrei lanaciare un monito a tutti coloro che non hanno mai avuto modo di fare un esperienza free oppure open source...guardate questo forum, valutate i concetti di cui si discute...valutate il tono con cui i partecipanti si scambiano dritte...penso che questo forum inizializzai a cultura informatica, educazione civile ed insegnamento...un buon luogo in cui non digerire le solite frasi e tecnologie precotte.

grazie k.gothmog grazie darkangel76

grazie al forum

ciao

dboogieman

----------

## .:chrome:.

 *dboogieman wrote:*   

> daro' un occhio anche a mod_security di cui non ne conoscevo l'esistenza...

 

aspetta a ringraziare... quando ti scontrerai con mod_security mi maledirai in ogni lingua (anche l'aramaico antico, perché è più bello maledire la gente nella lingua di dio)

battutacce a parte... di solito il primo impatto non è molto morbido. auguri

----------

## !equilibrium

 *k.gothmog wrote:*   

>  *dboogieman wrote:*   daro' un occhio anche a mod_security di cui non ne conoscevo l'esistenza... 
> 
> aspetta a ringraziare... quando ti scontrerai con mod_security mi maledirai in ogni lingua (anche l'aramaico antico, perché è più bello maledire la gente nella lingua di dio)
> 
> battutacce a parte... di solito il primo impatto non è molto morbido. auguri

 

per @dboogieman:

confermo quanto dice k.gothmog, aspetta a ringraziarci eheheheh

comunque, sul sito di mod_security trovi un'interessante guida sull'hardening di Apache e PHP (non è riferita esclusivametne a mod_security, ma è generica) che è di gran lunga migliore di tutte le altre guide/howto/articoletti vari; fatta da gente seria e competente ecc ecc ecc ecc... si, insomma, io almeno una lettura gliela darei, ovviamente è inutile applicarla se non hai un web server di produzione, ma ci sono tanti consigli che puoi comunque adottare su un "server casalingo". Poi ci dirai come è andata  :Smile: 

----------

