# Problema con mod_security

## Byakuei

Salve!

Mi trovo nella spinosa situazione di dover modificare (se non disattivare, ma credo sarebbe meglio evitare) il modulo di security (il mod_security, per l'appunto) su un server dedicato di Ovh su cui il modulo è già stato preinstallato al momento della consegna del server, dato che il sito che ne usufruisce sfrutta wordpress e il nuovo tema installato non si mostra appieno fin quando il mod security è presente con le attuali impostazioni (per quanto, leggendo anche sul supporto di Wordpress, esistono già delle soluzioni che prevedono la modifica del modulo e non la sua disattivazione). Le mie esperienze in campo Ubuntu non mi hanno aiutato nella risoluzione del problema e nella wiki di Gentoo non trovo informazioni per disattivare o modificare il modulo, ma solo per provvedere alla sua attivazione (cosa che sapevo già fare anche su Gentoo e che comunque non è di mio interesse, considerando che devo o modificarlo o disattivarlo, per quanto preferirei la prima opzione).

Quindi... qualcuno di voi saprebbe aiutarmi, gentilmente?

Grazie mille in anticipo.

----------

## ago

per editare:

```
nano /etc/apache2/modules.d/79_modsecurity.conf
```

per disattivare, togliere 

```
-D SECURITY
```

 in /etc/conf.d/apache2

----------

## Byakuei

Oh, grazie mille!

Sapresti solo dirmi perché non riesco a salvare il file (sia con ctrl+o che ctrl+x come se volessi uscire), mantenendo intatto il nome s'intende, dopo averlo modificato?

----------

## ago

 *Byakuei wrote:*   

> Oh, grazie mille!
> 
> Sapresti solo dirmi perché non riesco a salvare il file (sia con ctrl+o che ctrl+x come se volessi uscire), mantenendo intatto il nome s'intende, dopo averlo modificato?

 

No, non so dirtelo perché non posso immaginare l'errore.

Entrambe le modifiche devono essere eseguire con utente root.

----------

## Byakuei

Sìsì, ovviamente agisco come root, e c'è anche da notare come, in entrambi i casi, io vada ad operare su due file totalmente vuoti, il che credo sia strano soprattutto nel secondo caso, dato che delle impostazioni di default dovrebbero essere già presenti nel file.

----------

## djinnZ

```
qlist <nome pacchetto>
```

dovrebbe mostrarti i file (sono solo con l'odiato winzozz a disposizione quindi non posso essere più accurato).

Sembra che non sia stato installato tutto.

Non è che apache è stato installato al di fuori di portage con percorsi anomali? La policy di gentoo in materia è cambiare il meno possibile ma è possobile che il pacchetto in questione abbia portato i file di configurazione in /opt/<qualcosa> o /opt/etc

Chiaro che se la dir apache2 non esiste in /etc o non esiste modules.d nano non può salvare il file.

----------

## Byakuei

Sì, effettivamente in /etc non esiste per niente la directory di apache2, l'ho notato solo dopo aver scritto il post... quindi è ovvio che non possa apportare modifiche a qualcosa che non esiste. Così come non esiste in /etc/conf.d il file apache2, ma solo uno nominato apache, che comunque non mi aiuta in quel che mi serve.

Non trovo assolutamente da nessuna parte una sottocartella apache2 e tanto meno quella dei modules.d, neanche nella directory opt, da te indicatami, dove è presente un unico file (.keep, se non erro), tra l'altro vuoto.

----------

## Byakuei

Controllando un po' via ftp, non trovo da nessuna parte la directory apache2, ma solo quella apache (posizionata in usr/local) e che, al suo interno, contiene la directory modules (priva però del file riguardante il security). Posso modificare anche qui, volendo?

Premetto, comunque, che un file di configurazione generale, a parte l'httpd.conf (sempre qui presente, in usr/local/apache/conf), non riesco a trovarlo da nessuna parte. E che in esso non sono contenute per niente istruzioni sul modulo di security. O, almeno, non alle voci dove credo di dover cercare.

Scusate il doppio post, devo uscire ora per praticamente tutta la giornata e magari queste piccole info possono aiutarvi ad aiutarmi!

----------

## djinnZ

Detesto ripetermi e detesto pasticciare. Dato che sono di buonumore non ti rispondo a parolacce ma la tentazione ci sarebbe.

Bighellonare per il filesystem via ftp? A parte la scarsa utilità della cosa, visto che mi pare di capire che detto marchingengno è pure online sorge una sola domanda:

ma che razza di installazione è?

od anche

ma che si è fumato il tizio che la ha fatta? (riesci al procurarti il numero del suo "fornitore"? deve avere roba forte...)

Inizia a vedere se il pacchetto wordpress o qualche altro, da shell, usando il comando che ti ho indicato prevedono l'installlazione di qualche file.

Od all'inverso puoi vedere con 

```
qfile <percorso completo>
```

a quale pecchetto appartiene il file in questione.

Seconda cosa (sempre da shell non da ftp) vedi cosa avvia apache in /etc/init.d e cosa usa per la configurazione, nella peggiore delle ipotesi modifichi la riga di comando.

```
rc-update show
```

per vedere l'assetto dei servizi configurati.

----------

## Byakuei

Stamani andavo di fretta (sono stato a pc neanche 10 minuti) e ho solo fatto un controllo sommario usando ftp. Non sono andato per bighellonare o che altro, ma non potendo accedere alla shell in quei pochi minuti (poiché avrei dovuto recuperare i vari dati) mi sono solo messo a fare un controllo fra le directory. Non pensando di trovarci qualcosa, però sono molto poco esperto in questo campo, come specificato anche nel post principale, e quindi ho voluto sprecare quella decina di minuti sperando di concluderci qualcosa pur non credendoci poi tanto. Comunque ti riconfermo anche via shell quel che avevo intravisto via ftp, riferendomi almeno al post dove ipotizzi un percorso alternativo.

Per il resto... l'installazione l'ha fatta ovh alla consegna, quindi non so come si sia mossa. Quel poco che so io in questo campo, e quel che sanno anche altri miei colleghi più esperti (così come i consigli iniziali ricevuti anche in questo forum) non mi sono tornati d'aiuto, proprio perché il sistema è diverso da qualsiasi altro io (e altri, a questo punto) abbia mai operato. Ma anche provando a chiedere alla loro assistenza tecnica dicono di non poter intervenire su un server dedicato.

Per il resto... devo dire che il qlist, come comando, non va (nel senso che appare il "commando not found").

Per la seconda cosa... per la configurazione usa l'httpd che avevo notato già stamani (se ti riferisci a quello, ovvio, potrei tranquillamente averti frainteso).

----------

## djinnZ

Spiacente per il ritardo ma sono un tantino impegnato altrimenti.

Il comando q (che comprende qlist e qfile) fa parte di protage-utils se non erro.

Inizia con il verificare se apache è installato o meno.

----------

## Byakuei

In questi giorni sono stato impegnato un po' anche io, in ogni caso grazie per la dritta, credo che la cosa più rapida sia scrivere direttamente ad Ovh e chiedere precisamente a loro cosa abbiano installato.

Appena ricevo una risposta scriverò poi qui.

----------

## djinnZ

Ok non ti preoccupare, il bello del forum dovrebbe essere che non c'è ansia.

Anche se continua a sembrarmi tutto un tantino stravagante e mi puzza di pacchetti ad hoc la cosa migliore è chiedere cosa hanno fatto.

----------

## .:deadhead:.

ciao Byakuei, tu sei sicuro che quella sia una gentoo? i comandi 

```
emerge --info
```

 e 

```
which apachectl
```

 che output riportano?

La persona che ha installato apache httpd e poi wordpress è OVH o un terzo che puoi contattare?

Anche a me puzza di qualche strano miscuglio, installazione gentoo con httpd installato a manina poi - o peggio tar scompattato sotto /usr/local da un fornitore terzo che ha fatto il setup del WP in questione.

Facci sapere, la faccena si fà interessante.

----------

## Byakuei

Scusate, sono stato indaffarato per un po' e non sono riuscito a connettermi molto, ma ora torno alla ribalta con il problema (neanche pensavo fosse passato così tanto tempo!).

Rispondendo all'ultimo messaggio sopra, Wordpress è stato installato da me, nella procedura standard (non ho problemi su nessun altro server), mentre l'installazione del server è stata effettuata da Ovh che, senza motivi comprensibili, si rifiuta di darmi supporto rimandandomi al supporto telefonico francese... fosse stato almeno scritto via mail.

I comandi, comunque, riportano nell'ordine

```
Portage 2.1.3.19 (default-linux/amd64/2007.0/desktop, gcc-3.4.5-hardened, glibc-2.3.6-r3, 3.2.13-grsec-xxxx-grs-ipv6-64 x86_64)

=================================================================

System uname: 3.2.13-grsec-xxxx-grs-ipv6-64 x86_64 Intel(R) Atom(TM) CPU N2800 @ 1.86GHz

Timestamp of tree: Wed, 09 Jul 2008 09:00:01 +0000

app-shells/bash:     3.2_p17

dev-lang/python:     2.4.4-r6

dev-python/pycrypto: 2.0.1-r6

sys-apps/baselayout: 1.11.14-r8

sys-apps/sandbox:    1.2.17

sys-devel/autoconf:  2.13, 2.61-r2

sys-devel/automake:  1.4_p6, 1.5, 1.6.3, 1.7.9-r1, 1.8.5-r3, 1.9.6-r1, 1.10.1

sys-devel/binutils:  2.18-r3

sys-devel/gcc-config: 1.4.0-r4

sys-devel/libtool:   2.2.6b

virtual/os-headers:  2.6.11-r2

ACCEPT_KEYWORDS="amd64"

CBUILD="x86_64-pc-linux-gnu"

CFLAGS="-O2 -pipe -march=nocona"

CHOST="x86_64-pc-linux-gnu"

CONFIG_PROTECT="/etc /usr/local/apache/conf /usr/local/lib/php4 /usr/local/lib/php5 /var/bind"

CONFIG_PROTECT_MASK="/etc/env.d /etc/fonts/fonts.conf /etc/gconf /etc/revdep-rebuild /etc/terminfo"

CXXFLAGS="-O2 -pipe -march=nocona"

DISTDIR="/usr/portage/distfiles"

FEATURES="distlocks metadata-transfer sfperms strict unmerge-orphans userfetch"

GENTOO_MIRRORS="http://mirror.ovh.net/gentoo-distfiles/ ftp://mirror.ovh.net/gentoo-distfiles/"

LANG="it_IT@euro"

MAKEOPTS="-j2"

PKGDIR="/usr/portage/packages"

PORTAGE_RSYNC_OPTS="--recursive --links --safe-links --perms --times --compress --force --whole-file --delete --delete-after --stats --timeout=180 --exclude=/distfiles --exclude=/local --exclude=/packages --filter=H_**/files/digest-*"

PORTAGE_TMPDIR="/var/tmp"

PORTDIR="/usr/portage"

PORTDIR_OVERLAY="/usr/local/portage-ovh"

SYNC="rsync://rsync.gentoo.org/gentoo-portage"

USE="acl acpi alsa amd64 arts berkdb cairo cdr cli cracklib crypt cups dbus dri dvd dvdr dvdread eds emboss encode esd evo fam firefox fortran gdbm gif gnome gpm gstreamer hal iconv ipv6 isdnlog jpeg kde kerberos ldap mad midi mikmod mmx mp3 mpeg mudflap ncurses netboot nls nptlonly ogg opengl openmp oss pam pcre pdf perl png pppd python qt3 qt3support qt4 quicktime readline reflection session spell spl sse sse2 ssl svg tcpd tiff truetype unicode vorbis xml xorg xv zlib" ALSA_CARDS="ali5451 als4000 atiixp atiixp-modem bt87x ca0106 cmipci emu10k1x ens1370 ens1371 es1938 es1968 fm801 hda-intel intel8x0 intel8x0m maestro3 trident usb-audio via82xx via82xx-modem ymfpci" ALSA_PCM_PLUGINS="adpcm alaw asym copy dmix dshare dsnoop empty extplug file hooks iec958 ioplug ladspa lfloat linear meter mulaw multi null plug rate route share shm softvol" APACHE2_MODULES="actions alias auth_basic authn_alias authn_anon authn_dbm authn_default authn_file authz_dbm authz_default authz_groupfile authz_host authz_owner authz_user autoindex cache dav dav_fs dav_lock deflate dir disk_cache env expires ext_filter file_cache filter headers include info log_config logio mem_cache mime mime_magic negotiation rewrite setenvif speling status unique_id userdir usertrack vhost_alias" ELIBC="glibc" INPUT_DEVICES="keyboard mouse evdev" KERNEL="linux" LCD_DEVICES="bayrad cfontz cfontz633 glk hd44780 lb216 lcdm001 mtxorb ncurses text" USERLAND="GNU" VIDEO_CARDS="apm ark chips cirrus cyrix dummy fbdev glint i128 i810 mach64 mga neomagic nv r128 radeon rendition s3 s3virge savage siliconmotion sis sisusb tdfx tga trident tseng v4l vesa vga via vmware voodoo"

Unset:  CPPFLAGS, CTARGET, EMERGE_DEFAULT_OPTS, INSTALL_MASK, LC_ALL, LDFLAGS, LINGUAS, PORTAGE_COMPRESS, PORTAGE_COMPRESS_FLAGS, PORTAGE_RSYNC_EXTRA_OPTS
```

```
which: no apachectl in (/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/opt/bin:/usr/x86_64-pc-linux-gnu/gcc-bin/3.4.5)
```

----------

## djinnZ

 *Quote:*   

> PORTDIR_OVERLAY="/usr/local/portage-ovh" 

 ecco spiegato l'arcano, usano un loro overlay dove ridefiniscono molte cose.

Comunque ne dicono un gran bene.

Potresti provare ad aprire un thread nella sezione internazionale e chiedere sulla sezione francese se qualcuno può intervenire.

Ma mi pare che li sono arrivati a sacrificare alla dea per maledirli.

Sembrano la versione francese degli pseudotecnici di certi provider nostrani (dal nome di località balneari o movimenti culturali) incociati con gli imbecilli che predispongono le versioni linux dei programmi di contabilità (WKI in particolare).

La vedo proprio dura.

----------

## Byakuei

Per quanto la cosa mi sia poco d'aiuto, sono felice di aver finalmente compreso l'arcano. Ho riprovato in primis a scrivere ad Ovh ma, beh, dubito mi daranno una risposta diversa dall'ultima volta, e ciò mi viene anche abbastanza confermato da quel che leggo nel thread che hai linkato.

Proverò, al limite, a seguire il tuo consiglio, e chiedere sempre qui ma rivolgendomi alla sezione francese. Sperando che qualcuno possa aiutarmi, ma ormai non ho più queste grandi speranze.

Certo che Ovh è proprio strano, per arrivare a complicare in tal modo le cose senza neanche comunicarlo all'atto di contratto.

----------

## djinnZ

Il più grande ostacolo alla diffusione di linux sono proprio le distribuzioni commerciali.

Raffazzonate ed approssimative tentano sempre di ricondurre al proprietario perché in realtà non hanno alcun valore aggiunto da offrire.

Solo perché questa marmaglia crede che si possa fare impresa nell'IT facendo i rivenditori delle soluzioni preconfezionate di cisco e M$.

A questo punto i vantaggi dell'open source scompaiono.

Qui puoi continuare solo in italiano e non credo che troverai un francese che lo parla tanto facilmente.

Apri un nuovo thread nella sezione unsupported software, in inglese, poi ne apri un altro nella sezione francese chiedendo se è possibile per qualcuno darti una mano.

Non è il massimo ma altre condizioni non so dartene.

Comunque il problema di fondo è che il loro overlay è in ritardo cosnsistente rispetto allo sviluppo e deve corrispondere ad una preciso snapshot del portage, decisamente datato.

Non fare assolutamente l'errore di lanciare un emerge --sync. Se aggiorni portage l'unico supporto che ti danno è piallarti il sistema da quel che ho capito.

Potresti incominciare a dare uno sguardo ai loro ebuild per apache e capire cosa hanno modificato per applicare i suggerimenti.

----------

