{"id":48833,"date":"2017-04-11T15:09:55","date_gmt":"2017-04-11T14:09:55","guid":{"rendered":"http:\/\/www.alground.com\/site\/?p=48833"},"modified":"2019-07-11T21:34:15","modified_gmt":"2019-07-11T20:34:15","slug":"sicurezza-web-server-apache","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/sicurezza-web-server-apache\/48833\/","title":{"rendered":"Sicurezza Web Server Apache. La guida e istruzioni complete"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Punti chiave<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-69fca8ba37ddf\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-69fca8ba37ddf\"  aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/alground.com\/site\/sicurezza-web-server-apache\/48833\/#La_sicurezza_di_un_web_server_Apache_inizia_dal_controllare_HTTP\" >La sicurezza di un web server Apache:\u00a0inizia dal controllare HTTP<\/a><ul class='ez-toc-list-level-2' ><li class='ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/alground.com\/site\/sicurezza-web-server-apache\/48833\/#Per_la_sicurezza_web_server_Apache_rimuovere_la_versione_del_server_utilizzata\" >Per la sicurezza web server Apache, rimuovere\u00a0la versione del server utilizzata<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/alground.com\/site\/sicurezza-web-server-apache\/48833\/#Disabilitare_la_lista_delle_directory_browser_per_la_sicurezza_del_web_server_Apache\" >Disabilitare la lista delle directory browser per la sicurezza del web server Apache<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/alground.com\/site\/sicurezza-web-server-apache\/48833\/#Per_la_sicurezza_web_server_Apache_nascondi_Etag\" >Per la sicurezza web server Apache\u00a0nascondi Etag<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/alground.com\/site\/sicurezza-web-server-apache\/48833\/#Sicurezza_di_un_web_server_Apache_controlla_le_autorizzazioni\" >Sicurezza di un web server Apache: controlla le autorizzazioni<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/alground.com\/site\/sicurezza-web-server-apache\/48833\/#Per_la_sicurezza_web_server_Apache_proteggi_i_permessi_di_configurazione_directory\" >Per la sicurezza web server Apache proteggi i permessi di configurazione directory<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/alground.com\/site\/sicurezza-web-server-apache\/48833\/#Attenzione_alle_impostazioni_di_protezione_del_sistema_per_la_sicurezza_del_web_server_Apache\" >Attenzione alle impostazioni di protezione del sistema per la sicurezza del web server Apache<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/alground.com\/site\/sicurezza-web-server-apache\/48833\/#Metodi_di_richiesta_HTTP_e_sicurezza_web_server_Apache\" >Metodi di richiesta HTTP e sicurezza web server Apache<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/alground.com\/site\/sicurezza-web-server-apache\/48833\/#Sicurezza_web_server_Apache_disabilitare_la_traccia_di_una_richiesta_HTTP\" >Sicurezza web server Apache: disabilitare\u00a0la traccia di una richiesta HTTP<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/alground.com\/site\/sicurezza-web-server-apache\/48833\/#Impostare_i_cookie_con_HttpOnly_and_Secure_Flag_per_la_sicurezza_web_server_Apache\" >Impostare i cookie con HttpOnly and Secure Flag per la sicurezza web server Apache<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/alground.com\/site\/sicurezza-web-server-apache\/48833\/#_Sicurezza_del_web_server_Apache_proteggersi_dagli_attacchi_Clickjacking\" >\u00a0Sicurezza del web server Apache: proteggersi dagli attacchi Clickjacking<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/alground.com\/site\/sicurezza-web-server-apache\/48833\/#Server_Side_Include_per_la_sicurezza_web_server_Apache\" >Server Side Include per la sicurezza web server Apache<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/alground.com\/site\/sicurezza-web-server-apache\/48833\/#Protezione_X-XSS_per_la_sicurezza_web_server_Apache\" >Protezione X-XSS per la sicurezza web server Apache<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-14\" href=\"https:\/\/alground.com\/site\/sicurezza-web-server-apache\/48833\/#Disabilitare_il_Protocollo_HTTP_10\" >Disabilitare il Protocollo HTTP 1.0<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-15\" href=\"https:\/\/alground.com\/site\/sicurezza-web-server-apache\/48833\/#Per_la_sicurezza_web_server_Apache_configurare_il_valore_Timeout\" >Per la sicurezza web server Apache configurare il valore Timeout<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-16\" href=\"https:\/\/alground.com\/site\/sicurezza-web-server-apache\/48833\/#Dotarsi_di_SSL_per_la_sicurezza_web_server_Apache\" >Dotarsi di SSL per la sicurezza web server Apache<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-17\" href=\"https:\/\/alground.com\/site\/sicurezza-web-server-apache\/48833\/#Sicurezza_web_server_Apache_e_SSL_Key\" >Sicurezza web server Apache e SSL Key<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-18\" href=\"https:\/\/alground.com\/site\/sicurezza-web-server-apache\/48833\/#SSL_Cipher_per_la_sicurezza_web_server_Apache\" >SSL Cipher per la sicurezza web server Apache<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-19\" href=\"https:\/\/alground.com\/site\/sicurezza-web-server-apache\/48833\/#Per_la_sicurezza_web_server_Apache_disabilitare_SSL_v2_e_v3\" >Per la sicurezza web server Apache disabilitare SSL v2 e v3<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-20\" href=\"https:\/\/alground.com\/site\/sicurezza-web-server-apache\/48833\/#Utilizzare_Mod_Security_per_la_sicurezza_web_server_Apache\" >Utilizzare Mod Security per la sicurezza web server Apache<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-21\" href=\"https:\/\/alground.com\/site\/sicurezza-web-server-apache\/48833\/#Verificare_i_download_e_le_installazioni_per_la_sicurezza_web_server_Apache\" >Verificare i download e le installazioni per la sicurezza web server Apache<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-22\" href=\"https:\/\/alground.com\/site\/sicurezza-web-server-apache\/48833\/#Configurazione_del_Mod_Security_per_la_sicurezza_web_server_Apache\" >Configurazione del Mod Security per la sicurezza web server Apache<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-23\" href=\"https:\/\/alground.com\/site\/sicurezza-web-server-apache\/48833\/#Logging_per_la_sicurezza_web_server_Apache\" >Logging per la sicurezza web server Apache<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-24\" href=\"https:\/\/alground.com\/site\/sicurezza-web-server-apache\/48833\/#Abilitare_Rule_Engine_per_la_sicurezza_web_server_Apache\" >Abilitare Rule Engine per la sicurezza web server Apache<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-25\" href=\"https:\/\/alground.com\/site\/sicurezza-web-server-apache\/48833\/#Proteggersi_dagli_attacchi_comuni_per_la_sicurezza_web_server_Apache\" >Proteggersi dagli attacchi comuni per la sicurezza web\u00a0server Apache<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-26\" href=\"https:\/\/alground.com\/site\/sicurezza-web-server-apache\/48833\/#Cambiare_Server_Banner_per_la_sicurezza_web_server_Apache\" >Cambiare Server Banner per la sicurezza web server Apache<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-27\" href=\"https:\/\/alground.com\/site\/sicurezza-web-server-apache\/48833\/#Configurazione_generale_per_mettere_in_sicurezza_web_server_Apache\" >Configurazione generale per mettere in sicurezza web server Apache<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-28\" href=\"https:\/\/alground.com\/site\/sicurezza-web-server-apache\/48833\/#Configure_Listen_e_sicurezza_web_server_Apache\" >Configure Listen e sicurezza web server Apache<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-29\" href=\"https:\/\/alground.com\/site\/sicurezza-web-server-apache\/48833\/#Access_Logging_e_sicurezza_web_server_Apache\" >Access Logging e sicurezza web server Apache<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-30\" href=\"https:\/\/alground.com\/site\/sicurezza-web-server-apache\/48833\/#Per_la_sicurezza_web_server_Apache_disabilitare_i_moduli_indesiderati\" >Per la sicurezza web server Apache disabilitare i moduli indesiderati<\/a><\/li><\/ul><\/li><\/ul><\/li><\/ul><\/nav><\/div>\n<p class=\"p1\">Mettere in <strong>sicurezza Web Server Apache<\/strong> \u00e8 una operazione di fondamentale importanza, dato che questo \u00e8\u00a0molto spesso <b>uno dei servizi pi\u00f9 vulnerabile ad attacchi<\/b>. Data la configurazione di default, molte informazioni sensibili possono essere sfruttate da un <b>hacker per preparare un attacco all\u2019intero web server<\/b>.<\/p>\n<p class=\"p1\">La maggior parte delle <b>applicazioni web vengono attaccate tramite XSS, furto di credenziali, sfruttamento malevolo delle sessioni\u00a0e PHP Injection<\/b>, attacchi che sono resi possibili proprio dalla debolezza del codice di programmazione e dalla incapacit\u00e0 di \u201csanificare\u201d l\u2019infrastruttura delle applicazioni web.<\/p>\n<p class=\"p1\">Stando a <a href=\"https:\/\/www.trustwave.com\/Company\/Cenzic-is-now-Trustwave\/\">Cenzic<\/a>, ben il<b> 96% delle applicazioni testate presenta delle vulnerabilit\u00e0<\/b>; sotto \u00e8 possibile visionare un grafico di Cenzic relativo ai trend di vulnerabilit\u00e0 del 2013.<\/p>\n<figure id=\"attachment_48894\" aria-describedby=\"caption-attachment-48894\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48894 size-full\" title=\"sicurezza web server apache grafico cenzic\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-grafico-cenzic.png\" alt=\"sicurezza web server apache e vulnerabilit\u00e0 applicazioni\" width=\"780\" height=\"400\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-grafico-cenzic.png 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-grafico-cenzic-300x154.png 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-grafico-cenzic-768x394.png 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48894\" class=\"wp-caption-text\">Per la sicurezza web server Apache \u00e8 importante monitorare le vulnerabilit\u00e0 delle applicazioni; il grafico di Cenzic d\u00e0 una misura degli attacchi pi\u00f9 diffusi<\/figcaption><\/figure>\n<p class=\"p1\">Questa guida pratica ha come scopo proprio quello di <b>fornire una serie di indicazioni necessarie per mettere in sicurezza web server Apache<\/b>. Nel dettaglio, si discuter\u00e0 di come rafforzare e <b>rendere pi\u00f9 sicuro un web server Apache su piattaforma Unix<\/b>, con test eseguiti su Apache 2.4x (non c\u2019\u00e8 ragione di pensare che non funzionino su Apache 2.2x).<\/p>\n<ol class=\"ol1\">\n<li class=\"li1\">Si presuppone che Apache sia installato su piattaforma Unix. Se non \u00e8 cos\u00ec, \u00e8 possibile procedere all\u2019installazione grazie alla <a href=\"https:\/\/geekflare.com\/apache-2-4-6-installation-on-unix\/\">Installation Guide<\/a> o visionare una serie di video gratuiti relativi all\u2019installazione di Apache, MySQL e PHP.<\/li>\n<li class=\"li1\"><b>L\u2019installazione di Apache sar\u00e0 identificata con il nome di directory \/opt\/apache as $Web_Server<\/b><\/li>\n<li class=\"li1\">Si consiglia di fare un backup della configurazione esistente prima di procedere a qualunque modifica<\/li>\n<\/ol>\n<p class=\"p1\">Questa guida si indirizza agli amministratori, agli analisti di sistema e in generale a tutti coloro che desiderano mettere in sicurezza un web server Apache (\u00e8 comunque necessaria una conoscenza di base sia di Apache che di Unix).<\/p>\n<h1 class=\"p1\"><span class=\"ez-toc-section\" id=\"La_sicurezza_di_un_web_server_Apache_inizia_dal_controllare_HTTP\"><\/span>La sicurezza di un web server Apache:\u00a0inizia dal controllare HTTP<span class=\"ez-toc-section-end\"><\/span><\/h1>\n<p class=\"p1\"><b>Nella configurazione di default di Apache sono coinvolti molti dati sensibili che possono essere sfruttati per sferrare un attacco al web server<\/b>. E\u2019 quindi fondamentale per ogni amministratore mettere in sicurezza queste informazioni; come riportato da Cenzic, infatti, ben il 16% delle vulnerabilit\u00e0 \u00e8 dovuta alla perdita di informazioni.<\/p>\n<p class=\"p1\"><b>Per esaminare l\u2019intestazione HTTP per la verifica sono necessari alcuni tool<\/b>. La prima cosa da fare \u00e8 quindi<b> installare l\u2019add-on Firebug su Firefox<\/b> nel seguente modo:<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Aprire Firefox<\/li>\n<li class=\"li3\"><span class=\"s3\">Accedere a <a href=\"https:\/\/addons.mozilla.org\/en-US\/firefox\/addon\/firebug\/\"><span class=\"s4\">https:\/\/addons.mozilla.org\/en-US\/firefox\/addon\/firebug\/<\/span><\/a><\/span><\/li>\n<li class=\"li1\">Cliccare su Aggiungi a Firefox<\/li>\n<\/ul>\n<figure id=\"attachment_48895\" aria-describedby=\"caption-attachment-48895\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48895 size-full\" title=\"installare firebug per la sicurezza web server apache\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-firebug.png\" alt=\"sicurezza web server apache e add-ons\" width=\"780\" height=\"400\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-firebug.png 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-firebug-300x154.png 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-firebug-768x394.png 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48895\" class=\"wp-caption-text\">Per la sicurezza web server Apache \u00e8 consigliato utilizzare alcuni add-ons come Firebug che permette di controllare le intestazioni HTTP<\/figcaption><\/figure>\n<ul class=\"ul1\">\n<li class=\"li1\">Cliccare su installa<\/li>\n<li class=\"li1\">Riavviare Firefox<\/li>\n<li class=\"li1\">A questo punto \u00e8 visibile l\u2019icona di Firebug sulla destra della top bar<\/li>\n<\/ul>\n<p class=\"p1\">Per verificare le informazioni dell\u2019intestazione HTTP \u00e8 necessario cliccare sull\u2019icona di Firebug. <b>Oltre a questo ci sono molti altri <a href=\"https:\/\/tools.geekflare.com\/web-tools\/http-header-analyzer\">tool online<\/a> che consentono di verificare le informazioni dell\u2019intestazione HTTP<\/b>.<\/p>\n<h2 class=\"p1\"><span class=\"ez-toc-section\" id=\"Per_la_sicurezza_web_server_Apache_rimuovere_la_versione_del_server_utilizzata\"><\/span>Per la sicurezza web server Apache, rimuovere\u00a0la versione del server utilizzata<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p class=\"p1\">Si tratta di una delle prime cose da considerare se <b>non si desidera mostrare quale versione del web server si sta utilizzando<\/b>; mostrare quale versione\u00a0\u00e8 installata non fa altro che accorciare i tempi di un attacco hacker. <b>La configurazione di default mostra la versione Apache e il tipo di sistema operativo come di seguito<\/b>:<\/p>\n<blockquote>\n<p class=\"p1\">Server Apache\/2.4.6 (Unix)<\/p>\n<\/blockquote>\n<p class=\"p1\">Implementazione:<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Andare su<span class=\"Apple-converted-space\">\u00a0 <\/span>$Web_Server\/conf folder<\/li>\n<li class=\"li1\">Modificare httpd.conf tramite\u00a0vi editor<\/li>\n<li class=\"li1\">Aggiungere la seguente direttiva e salvare httpd.conf<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\">ServerTokens Prod<\/p>\n<p class=\"p1\">ServerSignature Off<\/p>\n<\/blockquote>\n<ul class=\"ul1\">\n<li class=\"li1\">Riavviare Apache<\/li>\n<\/ul>\n<p class=\"p1\">ServerSignature rimuover\u00e0 le informazioni dal web server Apache generando pagine come 403,404.502 etc.<\/p>\n<p class=\"p1\">Verifica:<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Aprire Firefox<\/li>\n<li class=\"li1\">Attivare Firebug cliccando l\u2019icona dell\u2019add-on<\/li>\n<li class=\"li1\">Cliccare il tab Net<\/li>\n<\/ul>\n<figure id=\"attachment_48906\" aria-describedby=\"caption-attachment-48906\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48906 size-full\" title=\"rimuovere versione del server e del sistema operativo per la sicurezza web server apache\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-rimozione-firma-server.png\" alt=\"sicurezza web server apache e rimozione versione del server\" width=\"780\" height=\"400\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-rimozione-firma-server.png 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-rimozione-firma-server-300x154.png 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-rimozione-firma-server-768x394.png 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48906\" class=\"wp-caption-text\">Per la sicurezza web server Apache, rimuovere la versione del server e il sistema operativo che si sta utilizzando<\/figcaption><\/figure>\n<ul class=\"ul1\">\n<li class=\"li1\">Inserire l\u2019URL nella barra degli indirizzi<\/li>\n<li class=\"li1\">Espandere la GET request e a questo punto \u00e8 possibile vedere che nella direttiva del server viene solo mostrato Apache, che \u00e8 certamente meglio che mostrare il tipo e la versione del sistema operativo<\/li>\n<\/ul>\n<figure id=\"attachment_48907\" aria-describedby=\"caption-attachment-48907\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48907 size-full\" title=\"rendere visibili poche informazioni per la sicurezza web server apache\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-versione-server.png\" alt=\"sicurezza web server apache e informazioni server\" width=\"780\" height=\"400\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-versione-server.png 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-versione-server-300x154.png 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-versione-server-768x394.png 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48907\" class=\"wp-caption-text\">Buona norma per la sicurezza web server Apache \u00e8 quindi mostrare solo poche informazioni relative al server in uso<\/figcaption><\/figure>\n<h2 class=\"p1\"><span class=\"ez-toc-section\" id=\"Disabilitare_la_lista_delle_directory_browser_per_la_sicurezza_del_web_server_Apache\"><\/span>Disabilitare la lista delle directory browser per la sicurezza del web server Apache<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p class=\"p1\">E\u2019 molto importante <b>disabilitare la lista delle directory nel browser di modo che non sia possibile per ogni visitatore vedere tutti i file e le cartelle archiviate nella cartella di root e nelle sottocartelle<\/b>. Vediamo come questo appare nelle impostazioni di default:<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Andare su $Web_Server\/htdocs directory<\/li>\n<li class=\"li1\">Creare una cartella con alcuni file all\u2019interno<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\"># mkdir test<\/p>\n<p class=\"p1\"># touch hi<\/p>\n<p class=\"p1\"># touch hello<\/p>\n<\/blockquote>\n<p class=\"p1\">Ora proviamo ad accedere ad Apache tramite http:\/\/localhost\/test<\/p>\n<figure id=\"attachment_48897\" aria-describedby=\"caption-attachment-48897\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48897 size-full\" title=\"non mostrare le cartelle per la sicurezza web serve apache\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-disabilitare-lista-directory.png\" alt=\"sicurezza web server apache e lista directory\" width=\"780\" height=\"400\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-disabilitare-lista-directory.png 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-disabilitare-lista-directory-300x154.png 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-disabilitare-lista-directory-768x394.png 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48897\" class=\"wp-caption-text\">Tra i primi passi da compiere per la sicurezza web server Apache c&#8217;\u00e8 quello di disabilitare la lista delle directory nel browser, cos\u00ec da non mostrare tutte le cartelle<\/figcaption><\/figure>\n<p class=\"p1\">Come si vede vengono mostrate tutte le cartelle e i file, informazioni che di certo non si desidera mostrare.<\/p>\n<p class=\"p1\">Implementazione:<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Andare su $Web_Server\/conf directory<\/li>\n<li class=\"li1\">Aprire httpd.conf using vi<\/li>\n<li class=\"li1\">Cercare una directory e modificare le opzioni None o \u2013Indexes<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\">&lt;Directory \/opt\/apache\/htdocs&gt;<\/p>\n<p class=\"p1\">Options None<\/p>\n<p class=\"p1\">Order allow,deny<\/p>\n<p class=\"p1\">Allow from all<\/p>\n<p class=\"p1\">&lt;\/Directory&gt;<\/p>\n<\/blockquote>\n<p class=\"p1\">oppure<\/p>\n<blockquote>\n<p class=\"p1\">&lt;Directory \/opt\/apache\/htdocs&gt;<\/p>\n<p class=\"p1\">Options -Indexes<\/p>\n<p class=\"p1\">Order allow,deny<\/p>\n<p class=\"p1\">Allow from all<\/p>\n<p class=\"p1\">&lt;\/Directory&gt;<\/p>\n<\/blockquote>\n<ul class=\"ul1\">\n<li class=\"li1\">Riavviare Apache<\/li>\n<\/ul>\n<p class=\"p1\">Da notare, se vi sono delle directory multiple nel sistema, bisogna considerare di ripetere l\u2019operazione per ognuna di esse.<\/p>\n<p class=\"p1\">Verifica:<\/p>\n<p class=\"p1\">Proviamo ad accedere ad Apache da <span class=\"s4\">http:\/\/localhost\/test<\/span><\/p>\n<figure id=\"attachment_48908\" aria-describedby=\"caption-attachment-48908\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48908 size-full\" title=\"nascondere la lista cartelle per la sicurezza web server apache\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-lista-cartelle.png\" alt=\"sicurezza web server apache e lista cartelle\" width=\"780\" height=\"400\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-lista-cartelle.png 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-lista-cartelle-300x154.png 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-lista-cartelle-768x394.png 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48908\" class=\"wp-caption-text\">Una efficace guida alla sicurezza web server Apache prevede anche di non mostrare la lista delle cartelle<\/figcaption><\/figure>\n<p class=\"p1\">Come si vede viene mostrato un \u201cforbidden error\u201d invece che la lista delle cartelle<\/p>\n<h3 class=\"p1\"><span class=\"ez-toc-section\" id=\"Per_la_sicurezza_web_server_Apache_nascondi_Etag\"><\/span>Per la sicurezza web server Apache\u00a0nascondi Etag<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p class=\"p1\"><b>Etag header permette agli hacker di ottenere informazioni importanti come inode number, multipart MIME<\/b>. Per prevenire queste vulnerabilit\u00e0, bisogna procedere come di seguito.<\/p>\n<figure id=\"attachment_48841\" aria-describedby=\"caption-attachment-48841\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48841 size-full\" title=\"nascondere etagl per la sicurezza web server apache\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/sicurezza-we-server-apache-etag.jpg\" alt=\"sicurezza-web-server-apache-etag\" width=\"780\" height=\"400\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-we-server-apache-etag.jpg 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-we-server-apache-etag-300x154.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-we-server-apache-etag-768x394.jpg 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48841\" class=\"wp-caption-text\">Per mettere in sicurezza web server Apache \u00e8 sempre consigliato nascondere Etag che pu\u00f2 mettere a disposizione degli hacker dati e informazioni sensibili<\/figcaption><\/figure>\n<p class=\"p1\">Implementazione:<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Andare su $Web_Server\/conf directory<\/li>\n<li class=\"li1\">Aggiungere la seguente direttiva e salvare https.conf<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\">FileETag None<\/p>\n<\/blockquote>\n<ul class=\"ul1\">\n<li class=\"li1\">Riavviare Apache<\/li>\n<\/ul>\n<p class=\"p1\">Verifica<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Aprire Firefox e accedere all\u2019applicazione<\/li>\n<li class=\"li1\">Controllare l\u2019intestazione HTTP in Firebug, Etag non sar\u00e0 pi\u00f9 visibile a tutti<\/li>\n<\/ul>\n<figure id=\"attachment_48898\" aria-describedby=\"caption-attachment-48898\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48898 size-full\" title=\"non mostrare etag per la sicurezza web server apache\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/sicurezza-we-server-apache-etag.png\" alt=\"sicurezza web server apache nascondere etag\" width=\"780\" height=\"400\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-we-server-apache-etag.png 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-we-server-apache-etag-300x154.png 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-we-server-apache-etag-768x394.png 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48898\" class=\"wp-caption-text\">Per la sicurezza web server Apache \u00e8 sempre bene nascondere Etag che pu\u00f2 mostrare una serie di informazioni sensibili<\/figcaption><\/figure>\n<h2 class=\"p1\"><span class=\"ez-toc-section\" id=\"Sicurezza_di_un_web_server_Apache_controlla_le_autorizzazioni\"><\/span>Sicurezza di un web server Apache: controlla le autorizzazioni<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p class=\"p1\"><b>Esaminiamo il caso di avviare Apache da un account senza privilegi<\/b>. La configurazione di default di Apache viene eseguita come \u201cnessuno\u201d o \u201cdaemon\u201d. E\u2019 una <b>buona pratica usare un account senza privilegi separato per Apache<\/b>, cos\u00ec da proteggere tutti gli altri servizi nel caso vi siano delle faglie di sicurezza.<\/p>\n<p class=\"p1\">Implementazione:<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Creare un utente o un gruppo chiamato apache<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\">#groupadd apache<\/p>\n<p class=\"p1\"># useradd \u2013G apache apache<\/p>\n<\/blockquote>\n<ul class=\"ul1\">\n<li class=\"li1\">Cambiare la propria directory di installazione apache al nuovo utente senza privilegi<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\"># chown \u2013R apache:apache \/opt\/apache<\/p>\n<\/blockquote>\n<ul class=\"ul1\">\n<li class=\"li1\">Andare su $Web_Server\/conf<\/li>\n<li class=\"li1\">Modificare https.conf using vi<\/li>\n<li class=\"li1\">Cercare l\u2019utente e il gruppo di direttive e modificare come account apache senza privilegi<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\">User apache<\/p>\n<p class=\"p1\">Group apache<\/p>\n<\/blockquote>\n<ul class=\"ul1\">\n<li class=\"li1\">Salvare https.conf<\/li>\n<li class=\"li1\">Riavviare Apache<\/li>\n<\/ul>\n<p class=\"p1\">Verifica<\/p>\n<p class=\"p1\">Usare il comando grep per l\u2019esecuzione del processo http e assicurarsi che sia in esecuzione con l\u2019utente apache<\/p>\n<blockquote>\n<p class=\"p1\"># ps \u2013ef |grep http<\/p>\n<\/blockquote>\n<figure id=\"attachment_48909\" aria-describedby=\"caption-attachment-48909\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48909 size-full\" title=\"monitorare autorizzazioni per la sicurezza web server apache\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-controllare-autorizzazioni.png\" alt=\"sicurezza web server apache e verifica autorizzazioni\" width=\"780\" height=\"400\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-controllare-autorizzazioni.png 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-controllare-autorizzazioni-300x154.png 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-controllare-autorizzazioni-768x394.png 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48909\" class=\"wp-caption-text\">Verificare e controllare le autorizzazioni per la sicurezza web server Apache<\/figcaption><\/figure>\n<p class=\"p1\">Si noti che un processo \u00e8 in esecuzione su root e questo perch\u00e9 Apache \u00e8 su porta 80 e deve essere avviato da root. In seguito vedremo come cambiare il numero della porta.<\/p>\n<h3 class=\"p1\"><span class=\"ez-toc-section\" id=\"Per_la_sicurezza_web_server_Apache_proteggi_i_permessi_di_configurazione_directory\"><\/span>Per la sicurezza web server Apache proteggi i permessi di configurazione directory<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p class=\"p1\"><b>Di default i permessi binari e di configurazione sono di tipo 755 il che significa che ogni utente sul server \u00e8 in grado di vedere la configurazione<\/b>.\u00a0Modifichiamo questo dato:<\/p>\n<p class=\"p1\">Implementazione<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Andare su $Web_Server directory<\/li>\n<li class=\"li1\">Modificare i permessi per la cartella bin e conf<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\"># chmod \u2013R 750 bin conf<\/p>\n<\/blockquote>\n<p class=\"p1\">Verifica:<\/p>\n<figure id=\"attachment_48910\" aria-describedby=\"caption-attachment-48910\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48910 size-full\" title=\"configurazione permessi directory e sicurezza web server apache\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-configurazioni-directory.png\" alt=\"sicurezza web server apache e permessi directory\" width=\"780\" height=\"400\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-configurazioni-directory.png 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-configurazioni-directory-300x154.png 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-configurazioni-directory-768x394.png 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48910\" class=\"wp-caption-text\">La guida alla sicurezza web serve Apache prevede anche un&#8217;attenta protezione dei permessi di configurazione delle directory<\/figcaption><\/figure>\n<h3 class=\"p1\"><\/h3>\n<h3 class=\"p1\"><span class=\"ez-toc-section\" id=\"Attenzione_alle_impostazioni_di_protezione_del_sistema_per_la_sicurezza_del_web_server_Apache\"><\/span>Attenzione alle impostazioni di protezione del sistema per la sicurezza del web server Apache<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p class=\"p1\">In un\u2019installazione di default, <b>gli utenti possono ignorare la configurazione di Apache utilizzando .htacces<\/b>. Se si vuole impedire agli utenti la modifica delle impostazioni del server Apache, allora<b> \u00e8 possibile aggiungere AllowOverride a None <\/b>come mostrato sotto ( questo deve essere fatto a livello root).<\/p>\n<p class=\"p1\">Implementazione:<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Andare su $Web_Server directory<\/li>\n<li class=\"li1\">Aprire httpd.conf using vi<\/li>\n<li class=\"li1\">Cercare la directory a livello root<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\">&lt;Directory \/&gt;<\/p>\n<p class=\"p1\">Options -Indexes<\/p>\n<p class=\"p1\">AllowOverride None<\/p>\n<p class=\"p1\">&lt;\/Directory&gt;<\/p>\n<\/blockquote>\n<ul class=\"ul1\">\n<li class=\"li1\">Salvare https.conf<\/li>\n<li class=\"li1\">Riavviare Apache<\/li>\n<\/ul>\n<h3 class=\"p1\"><span class=\"ez-toc-section\" id=\"Metodi_di_richiesta_HTTP_e_sicurezza_web_server_Apache\"><\/span>Metodi di richiesta HTTP e sicurezza web server Apache<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p class=\"p1\">Il protocollo HTTP 1.1 supporta molti metodi di richiesta (query) che potrebbero non essere necessari, senza contare che alcuni di essi hanno dei potenziali rischi. In genere <b>si ha bisogno solo dei metodi di richiesta GET, HEAD, POST in un\u2019applicazione web<\/b>, da configurare nelle rispettive directory. Di default la configurazione apache supporta anche i metodi OPTIONS, GET, HEAD, POST, PUT, DELETE, TRANCE, CONNECT per il protocollo HTTP 1.1<\/p>\n<figure id=\"attachment_48844\" aria-describedby=\"caption-attachment-48844\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48844 size-full\" title=\"mettere in sicurezza web server apache verificando protocollo http 1.1\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/sicurezza-we-server-apache-protocollo-http.jpg\" alt=\"sicurezza web server apache e protocollo http 1.1\" width=\"780\" height=\"400\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-we-server-apache-protocollo-http.jpg 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-we-server-apache-protocollo-http-300x154.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-we-server-apache-protocollo-http-768x394.jpg 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48844\" class=\"wp-caption-text\">Per la sicurezza web server Apache \u00e8 bene verificare quali metodi di richiesta supporta il protocollo HTTP 1.1 e rimuovere quelli non necessari<\/figcaption><\/figure>\n<p class=\"p1\">Implementazione<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Andare su $Web_Server directory<\/li>\n<li class=\"li1\">Aprire httpd.conf using vi<\/li>\n<li class=\"li1\">Cercare la<span class=\"Apple-converted-space\">\u00a0 <\/span>directory e aggiungere<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\">&lt;LimitExcept GET POST HEAD&gt;<\/p>\n<p class=\"p1\">deny from all<\/p>\n<p class=\"p1\">&lt;\/LimitExcept&gt;<\/p>\n<\/blockquote>\n<h2 class=\"p1\"><span class=\"ez-toc-section\" id=\"Sicurezza_web_server_Apache_disabilitare_la_traccia_di_una_richiesta_HTTP\"><\/span>Sicurezza web server Apache: disabilitare\u00a0la traccia di una richiesta HTTP<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p class=\"p1\">Di default il metodo \u201cTrace\u201d \u00e8 attivo sul web server Apache. <b>Mantenerlo attivato significa favorire attacchi Cross Site Trancing<\/b> e potenzialmente significa anche dare una possibilit\u00e0 agli hacker di rubare informazioni sensibili dai cookie. Vediamo quindi come appare nella configurazione di default:<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Fare un IP telnet web server con una porta di ascolto<\/li>\n<li class=\"li1\">Fare una richiesta Trace come mostrato di seguito<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\">#telnet localhost 80<\/p>\n<p class=\"p1\">Trying 127.0.0.1&#8230;<\/p>\n<p class=\"p1\">Connected to localhost.<\/p>\n<p class=\"p1\">Escape character is &#8216;^]&#8217;.<\/p>\n<p class=\"p1\">TRACE \/ HTTP\/1.1 Host: test<\/p>\n<p class=\"p1\">HTTP\/1.1 200 OK<\/p>\n<p class=\"p1\">Date: Sat, 31 Aug 2013 02:13:24 GMT<\/p>\n<p class=\"p1\">Server: Apache<\/p>\n<p class=\"p1\">Transfer-Encoding: chunked<\/p>\n<p class=\"p1\">Content-Type: message\/http 20<\/p>\n<p class=\"p1\">TRACE \/ HTTP\/1.1<\/p>\n<p class=\"p1\">Host: test 0<\/p>\n<p class=\"p1\">Connection closed by foreign host.<\/p>\n<p class=\"p1\">#<\/p>\n<\/blockquote>\n<p class=\"p1\">Come si vede, la richiesta Trace ha risposto alla query; vediamo come disabilitarlo e testarlo.<\/p>\n<p class=\"p1\">Implementazione:<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Andare su $Web_Server\/conf directory<\/li>\n<li class=\"li1\">Aggiungere la seguente direttiva e salvare httpd.conf<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\">TraceEnable off<\/p>\n<\/blockquote>\n<ul class=\"ul1\">\n<li class=\"li1\">Riavviare Apache<\/li>\n<\/ul>\n<p class=\"p1\">Verifica:<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Fare un IP telnet web server con una porta di ascolto e fare una richiesta Trace come di seguito<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\">#telnet localhost 80<\/p>\n<p class=\"p1\">Trying 127.0.0.1&#8230;<\/p>\n<p class=\"p1\">Connected to localhost.<\/p>\n<p class=\"p1\">Escape character is &#8216;^]&#8217;.<\/p>\n<p class=\"p1\">TRACE \/ HTTP\/1.1 Host: test<\/p>\n<p class=\"p1\">HTTP\/1.1 405 Method Not Allowed<\/p>\n<p class=\"p1\">Date: Sat, 31 Aug 2013 02:18:27 GMT<\/p>\n<p class=\"p1\">Server: Apache Allow:<\/p>\n<p class=\"p1\">Content-Length: 223<\/p>\n<p class=\"p1\">Content-Type: text\/html; charset=iso-8859-1 &lt;!DOCTYPE HTML PUBLIC &#8220;-\/\/IETF\/\/DTD HTML 2.0\/\/EN&#8221;&gt; &lt;html&gt;&lt;head&gt; &lt;title&gt;405 Method Not Allowed&lt;\/title&gt; &lt;\/head&gt;&lt;body&gt; &lt;h1&gt;Method Not Allowed&lt;\/h1&gt;<\/p>\n<p class=\"p1\">&lt;p&gt;The requested method TRACE is not allowed for the URL \/.&lt;\/p&gt; &lt;\/body&gt;&lt;\/html&gt;<\/p>\n<p class=\"p1\">Connection closed by foreign host.<\/p>\n<p class=\"p1\">#<\/p>\n<\/blockquote>\n<p class=\"p1\">Come si vede l<b>a richiesta Trace ha bloccato la richiesta con HTTP 405 Method Not Allowed<\/b>. Ora questo web server con consente la richiesta Trace e aiuta a bloccare gli attacchi Cross Site Tracing.<\/p>\n<h3 class=\"p1\"><span class=\"ez-toc-section\" id=\"Impostare_i_cookie_con_HttpOnly_and_Secure_Flag_per_la_sicurezza_web_server_Apache\"><\/span>Impostare i cookie con HttpOnly and Secure Flag per la sicurezza web server Apache<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p class=\"p1\"><b>E\u2019 possibile limitare buona parte degli attacchi Cross site Scripting usando HttpOnly and Secure Flag nei cookie<\/b>. Senza HttpOnly and Secure \u00e8 possibile rubare o manipolare le sessioni delle applicazioni web e i cookie, possibilit\u00e0 abbastanza pericolosa.<\/p>\n<p class=\"p1\">Implementazione:<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">\u00a0 Garantire mod_headers.so ATTIVO httpd.conf<\/li>\n<li class=\"li1\">Andare su $ server_web directory \/ conf<\/li>\n<li class=\"li1\">Aggiungere la seguente direttiva e salvare il httpd.conf<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\">\u00a0Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure<\/p>\n<\/blockquote>\n<ul class=\"ul1\">\n<li class=\"li1\">Riavviare Apache<\/li>\n<\/ul>\n<p class=\"p1\">Verifica:<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Aprire Firefox e accedere all\u2019applicazione<\/li>\n<li class=\"li1\">Verificare le intestazioni di risposta HTTP in Firebug; si vedr\u00e0 che Set-Cookie \u00e8 contrassegnato con HttpOnly and Secure come mostrato di seguito:<\/li>\n<\/ul>\n<figure id=\"attachment_48911\" aria-describedby=\"caption-attachment-48911\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48911 size-full\" title=\"http only e secure flag per la sicurezza web server apache\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-httponly-secure-flag.png\" alt=\"sicurezza web server apache e attacchi cross site scripting\" width=\"780\" height=\"400\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-httponly-secure-flag.png 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-httponly-secure-flag-300x154.png 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-httponly-secure-flag-768x394.png 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48911\" class=\"wp-caption-text\">La sicurezza web server Apache passa anche da una adeguata protezione dagli attacchi Cross Site Scripting<\/figcaption><\/figure>\n<h3 class=\"p1\"><span class=\"ez-toc-section\" id=\"_Sicurezza_del_web_server_Apache_proteggersi_dagli_attacchi_Clickjacking\"><\/span>\u00a0Sicurezza del web server Apache: proteggersi dagli attacchi Clickjacking<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p class=\"p1\"><b>Clickjacking \u00e8 una vulnerabilit\u00e0 molto conosciuta delle applicazioni web<\/b>. Un attacco di questo tipo porta l&#8217;utente che clicca su un oggetto, ad essere redirezionato verso un&#8217;altra destinazione.<\/p>\n<p class=\"p1\">Implementazione:<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Garantire mod_headers.so ATTIVO httpd.conf<\/li>\n<li class=\"li1\">Andare su<span class=\"Apple-converted-space\">\u00a0 <\/span>$ server_web directory \/ conf<\/li>\n<li class=\"li1\">Aggiungere la seguente direttiva e salvare il httpd.conf<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\">Header always append X-Frame-Options SAMEORIGIN<\/p>\n<\/blockquote>\n<ul class=\"ul1\">\n<li class=\"li1\">Riavviare Apache<\/li>\n<\/ul>\n<p class=\"p1\">Verifica:<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Aprire Firefox e accedere all\u2019applicazione<\/li>\n<li class=\"li1\">Verificare le intestazioni di risposta HTTP in Firebug; si vedr\u00e0 X-Frame-Options come di seguito<\/li>\n<\/ul>\n<figure id=\"attachment_48899\" aria-describedby=\"caption-attachment-48899\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48899 size-full\" title=\"proteggersi dagli attacchi clickjacking per la sicurezza web server apache\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-attacchi-clickjacking.png\" alt=\"sicurezza web server apache e attacchi clickjacking\" width=\"780\" height=\"400\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-attacchi-clickjacking.png 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-attacchi-clickjacking-300x154.png 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-attacchi-clickjacking-768x394.png 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48899\" class=\"wp-caption-text\">La sicurezza web server Apache passa anche da una adeguata protezione dagli attacchi clickjacking, una vulnerabilit\u00e0 nota delle web application<\/figcaption><\/figure>\n<h3 class=\"p1\"><span class=\"ez-toc-section\" id=\"Server_Side_Include_per_la_sicurezza_web_server_Apache\"><\/span>Server Side Include per la sicurezza web server Apache<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p class=\"p1\"><b>Server Side Include (SSI) comporta il rischio di aumentare il carico sul server<\/b>. Se l\u2019ambiente \u00e8 condiviso e si ha un traffico pesante delle applicazioni web, si potrebbe considerare di <b>disabilitare SSI aggiungendo la direttiva Includes in Options<\/b>. Gli attacchi SSI permettono di sfruttare le applicazioni web iniettando uno script nelle pagine HTML o eseguendo un codice da remoto.<\/p>\n<p class=\"p1\">Implementazione:<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Andare su $ server_web directory \/ conf<\/li>\n<li class=\"li1\">Aprire httpd.conf using vi<\/li>\n<li class=\"li1\">Ricercare la directory e aggiungere la direttiva Includes in Options<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\">&lt;Directory \/opt\/apache\/htdocs&gt;<\/p>\n<p class=\"p1\">Options \u2013Indexes -Includes<\/p>\n<p class=\"p1\">Order allow,deny<\/p>\n<p class=\"p1\">Allow from all<\/p>\n<p class=\"p1\">&lt;\/Directory&gt;<\/p>\n<\/blockquote>\n<ul class=\"ul1\">\n<li class=\"li1\">Riavviare Apache<\/li>\n<\/ul>\n<p class=\"p1\">Si noti che se vi sono pi\u00f9 directory \u00e8 necessario ripetere il processo per ognuna di queste.<\/p>\n<h3 class=\"p1\"><span class=\"ez-toc-section\" id=\"Protezione_X-XSS_per_la_sicurezza_web_server_Apache\"><\/span>Protezione X-XSS per la sicurezza web server Apache<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p class=\"p1\"><b>La protezione Cross Site Scripting (XSS) pu\u00f2 essere bypassata in molti browser<\/b>. E\u2019 possibile applicare questa protezione per le applicazioni web se l\u2019user \u00e8 stato disabilitato. Questo sistema \u00e8 utilizzato da grande compagnie come Facebook, Twitter, Google etc.<\/p>\n<p class=\"p1\">Implementazione:<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Andare su<span class=\"Apple-converted-space\">\u00a0 <\/span>$ server_web directory \/ conf<\/li>\n<li class=\"li1\">Aprire httpd.conf using vi e aggiungere la seguente direttiva Header<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\">Header set X-XSS-Protection \u201c1; mode=block\u201d<\/p>\n<\/blockquote>\n<ul class=\"ul1\">\n<li class=\"li1\">Riavviare Apache<\/li>\n<\/ul>\n<p class=\"p1\">Verifica:<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Aprite Firefox e accedere all\u2019applicazione<\/li>\n<li class=\"li1\">Controllare le intestazioni di risposta HTTP in Firebug, si dovrebbe vedere che XSS Protection<span class=\"Apple-converted-space\">\u00a0<\/span>\u00e8 abilitato e una modalit\u00e0 \u00e8 bloccata.<\/li>\n<\/ul>\n<figure id=\"attachment_48901\" aria-describedby=\"caption-attachment-48901\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48901 size-full\" title=\"protezione cross site scripting per la sicurezza web server apache\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-protezione-cross-site-scripting.png\" alt=\"sicurezza-web-server-apache e xss\" width=\"780\" height=\"400\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-protezione-cross-site-scripting.png 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-protezione-cross-site-scripting-300x154.png 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-protezione-cross-site-scripting-768x394.png 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48901\" class=\"wp-caption-text\">Per la sicurezza web server Apache \u00e8 bene abilitare una protezione contro Cross Site Scripting, una vulnerabilit\u00e0 pericolosa<\/figcaption><\/figure>\n<h3 class=\"p1\"><span class=\"ez-toc-section\" id=\"Disabilitare_il_Protocollo_HTTP_10\"><\/span>Disabilitare il Protocollo HTTP 1.0<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p class=\"p1\">Quando si parla di sicurezza \u00e8 indispensabile proteggere tutto quello che si pu\u00f2. Quindi perch\u00e9 utilizzare la vecchia versione del protocollo HTTP? <b>E\u2019 possibile disattivarla usando il modulo the mod_rewrite<\/b>.<\/p>\n<p class=\"p1\">Implementazione:<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Assicurarsi di caricare il modulo mod_rewrite nel file httpd.conf<\/li>\n<li class=\"li1\">Abilitare la direttiva RewriteEngine come segue e aggiungere la condizione Rewrite per consentire solo HTTP 1.1<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\">RewriteEngine On<\/p>\n<p class=\"p1\">RewriteCond %{THE_REQUEST} !HTTP\/1.1$<\/p>\n<p class=\"p1\">RewriteRule .* &#8211; [F]<\/p>\n<\/blockquote>\n<h3 class=\"p1\"><span class=\"ez-toc-section\" id=\"Per_la_sicurezza_web_server_Apache_configurare_il_valore_Timeout\"><\/span>Per la sicurezza web server Apache configurare il valore Timeout<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p class=\"p1\"><b>Di default il valore di Timeout di Apache \u00e8 di 300 secondi<\/b>, il che pu\u00f2 rendere il server vittima di attacchi Slow Loris o DoS. Per prevenirli \u00e8 possibile <b>ridurre il valore del Timeout a circa 60 secondi<\/b>.<\/p>\n<p class=\"p1\">Implementazione:<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Andare su<span class=\"Apple-converted-space\">\u00a0 <\/span>$ server_web directory \/ conf<\/li>\n<li class=\"li1\">Aprire httpd.conf using vi<\/li>\n<li class=\"li1\">Aggiungere il \u00a0Timeout 60 in httpd.conf<\/li>\n<\/ul>\n<h2 class=\"p1\"><span class=\"ez-toc-section\" id=\"Dotarsi_di_SSL_per_la_sicurezza_web_server_Apache\"><\/span>Dotarsi di SSL per la sicurezza web server Apache<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p class=\"p1\"><b>Attivare la tecnologia SSL significa avere un\u00a0ulteriore livello di protezione che si pu\u00f2 aggiungere alle applicazioni web<\/b>. Tuttavia la configurazione di default di SSL comporta alcune vulnerabilit\u00e0 ed \u00e8 quindi opportuno modificare queste configurazioni. Usiamo allora<b>\u00a0alcuni tool per verificare le impostazioni SSL<\/b>. Ve ne sono molti disponibili, tuttavia \u00e8 possibile usare uno strumento gratuito come\u00a0<a href=\"http:\/\/sourceforge.net\/projects\/sslscan\/\">SSL-Scan<\/a>.<\/p>\n<h3 class=\"p1\"><span class=\"ez-toc-section\" id=\"Sicurezza_web_server_Apache_e_SSL_Key\"><\/span>Sicurezza web server Apache e SSL Key<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p class=\"p1\"><strong>Violare una chiave SSL \u00e8 difficile ma non impossibile<\/strong>. E\u2019 infatti solo una questione di tempo e di tentativi. Ad esempio, usando un PC del 2009 e tentando per circa 73 giorni \u00e8 possibile decodificare addirittura una chiave 512 bit. La maggior parte delle grandi\u00a0aziende web utilizza ormai un chiave a 2048 bit. Facciamolo anche noi.<\/p>\n<p class=\"p1\">Implementazione:<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">E\u2019 possibile usare openssl per generare CSR con 2048 bit come di seguito<\/li>\n<li class=\"li1\">Generare un certificato auto-firmato<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\">openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout localhost.key -out localhost.crt<\/p>\n<\/blockquote>\n<ul class=\"ul1\">\n<li class=\"li1\">Generare una nuova CSR e chiave privata<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\">openssl req -out localhost.csr -new -newkey rsa:2048 -nodes -keyout localhost.key<\/p>\n<\/blockquote>\n<ul class=\"ul1\">\n<li class=\"li1\">Aggiungere Personal Cert, Signer Cert e il file Key nel file httpd-ssl.conf come di seguito:<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\">SSLCertificateFile # Personal Certificate<\/p>\n<p class=\"p1\">SSLCertificateKeyFile # Key File<\/p>\n<p class=\"p1\">SSLCACertificateFile # Signer Cert file<\/p>\n<\/blockquote>\n<p class=\"p1\">Verifica:<\/p>\n<p class=\"p1\">Eseguire sslscan utility con il seguente parametro. Modificare localhost all\u2019attuale nome dominio.<\/p>\n<blockquote>\n<p class=\"p1\">sslscan localhost | grep \u2013i key<\/p>\n<figure id=\"attachment_48912\" aria-describedby=\"caption-attachment-48912\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48912 size-full\" title=\"rafforzare la ssl key per la sicurezza web server apache\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-ssl-key.png\" alt=\"sicurezza web server apache e chiave ssl key\" width=\"780\" height=\"400\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-ssl-key.png 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-ssl-key-300x154.png 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-ssl-key-768x394.png 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48912\" class=\"wp-caption-text\">E&#8217; consigliato rafforzare la chiave SSL Key per assicurare la sicurezza del web server Apache<\/figcaption><\/figure><\/blockquote>\n<ul class=\"ul1\">\n<li class=\"li1\">Come si vede l\u2019attuale chiave SSL \u00e8 2048 bit, che \u00e8 decisamente pi\u00f9 forte<\/li>\n<\/ul>\n<h3 class=\"p1\"><span class=\"ez-toc-section\" id=\"SSL_Cipher_per_la_sicurezza_web_server_Apache\"><\/span>SSL Cipher per la sicurezza web server Apache<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p class=\"p1\"><b>La crittografia \u00e8 il processo che consente di convertire i testi in codici segreti cifrati. SSL Cipher \u00e8 un ottimo algoritmo di crittografia che si basa su due chiavi di sicurezza.<\/b>\u00a0Vediamo come implementarlo.<\/p>\n<p class=\"p1\">Modificare localhost all\u2019attuale nome dominio.<\/p>\n<blockquote>\n<p class=\"p1\">sslscan \u2013no-failed localhost<\/p>\n<figure id=\"attachment_48913\" aria-describedby=\"caption-attachment-48913\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48913 size-full\" title=\"cittografia dati per la sicurezza web server apache\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-cittografia.png\" alt=\"sicurezza web server apache e ssl chiper\" width=\"780\" height=\"400\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-cittografia.png 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-cittografia-300x154.png 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-cittografia-768x394.png 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48913\" class=\"wp-caption-text\">Per la sicurezza web server Apache utilizzare SSL Chiper, un utile algoritmo di cittografia<\/figcaption><\/figure><\/blockquote>\n<p class=\"p1\">In una installazione classica vengono accettati i protocolli DHE, AES, EDH, ed RC4, quest&#8217;ultimo un sistema di cifratura abbastanza\u00a0<b>debole, che non\u00a0<\/b>dovrebbe essere utilizzato. In generale non bisognerebbe\u00a0accettare alcun sistema di cifratura inferiore ai 128 bit.<\/p>\n<p class=\"p1\">Implementazione:<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Andare alla cartella $ server_web \/ conf \/ extra<\/li>\n<li class=\"li1\">Modificare la direttiva SSLCipherSuite in httpd-ssl.conf come di seguito per respingere RC4<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\">\u00a0SSLCipherSuite HIGH:!MEDIUM:!aNULL:!MD5:!RC4<\/p>\n<\/blockquote>\n<ul class=\"ul1\">\n<li class=\"li1\">Salvare il file di configurazione e riavviare il server Apache<\/li>\n<\/ul>\n<p class=\"p1\">Si noti che se vi sono molti cipher deboli nel report di SSL allora \u00e8 possibile respingerlo aggiungendo ! all\u2019inizio.<\/p>\n<p class=\"p1\">Per esempio per respingere RC4: !RC4<\/p>\n<p class=\"p1\">Verifica: Utilizzare di nuovo l\u2019utility sslscan per validare come di seguito e cambiare localhost al nome dominio attuale.<\/p>\n<blockquote>\n<p class=\"p1\">sslscan \u2013no-failed localhost<\/p>\n<figure id=\"attachment_48914\" aria-describedby=\"caption-attachment-48914\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48914 size-full\" title=\"rigettare chiper nulli per la sicurezza web server apache\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apachechiper.png\" alt=\"sicurezza web server apache e gestione chiper\" width=\"780\" height=\"400\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apachechiper.png 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apachechiper-300x154.png 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apachechiper-768x394.png 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48914\" class=\"wp-caption-text\">E&#8217; consigliato rigettare tutti i chiper nulli, bassi e medi per garantire la sicurezza web server Apache<\/figcaption><\/figure><\/blockquote>\n<p class=\"p1\">RC4 non \u00e8 pi\u00f9 accettato come Cipher. <b>E\u2019 buona pratica rigettare tutti i cipher bassi, medi o nulli<\/b> per proteggersi da attacchi. E\u2019 anche possibile verificare il proprio dominio con <a href=\"https:\/\/www.ssllabs.com\/ssltest\/index.html\">Qualys SSL Labs<\/a>\u00a0 per controllare se vi sono dei cipher vulnerabili nel sistema.<\/p>\n<h3 class=\"p1\"><span class=\"ez-toc-section\" id=\"Per_la_sicurezza_web_server_Apache_disabilitare_SSL_v2_e_v3\"><\/span>Per la sicurezza web server Apache disabilitare SSL v2 e v3<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p class=\"p1\"><b>SSL v2 e v3 hanno molte falle di sicurezza <\/b>e se si esegue un test di penetrazione si vedr\u00e0 come sia necessario disabilitarli per rafforzare la sicurezza. Tutte le <b>comunicazioni SSL v2\/v3 possono essere vulnerabili a attacchi Man-in-The-Middle che potrebbero compromettere o divulgare i dati<\/b>.<\/p>\n<p class=\"p1\">Vediamo come implementare il web server Apache in modo che accetti solo le ultime TLS e rifiuti la richiesta di connessione SSL v2\/v3.<\/p>\n<p class=\"p1\">Implementazione<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Andare alla cartella $ server_web \/ conf \/ extra<\/li>\n<li class=\"li1\">Modificare la direttiva SSLProtocol in httpd-ssl.conf come di seguito per accettare solo TLS 1.0+<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\">\u00a0SSLProtocol \u2013ALL +TLSv1 +TLSv1.1 +TLSv1.2<\/p>\n<p class=\"p1\">Verifica:<\/p>\n<p class=\"p1\">Usiamo l\u2019utility sslscanper validare il seguente comando e modificare localhost all\u2019attuale nome dominio.<\/p>\n<p class=\"p1\">sslscan \u2013no-failed localhost<\/p>\n<\/blockquote>\n<p class=\"p1\">In alternativa, \u00e8 possibile controllare il sito con il tool online <a href=\"https:\/\/geekflare.com\/ssl-test-certificate\/\">SSL\/TLS Certificate<\/a><\/p>\n<h2 class=\"p1\"><span class=\"ez-toc-section\" id=\"Utilizzare_Mod_Security_per_la_sicurezza_web_server_Apache\"><\/span>Utilizzare Mod Security per la sicurezza web server Apache<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p class=\"p1\"><b>Mod Security \u00e8 un\u2019applicazione Firewall opensource che pu\u00f2 essere utilizzata con Apache<\/b>. Si tratta di un modulo che \u00e8 necessario compilare e installare. Nel caso in cui non sia possibile permettersi un\u2019applicazione firewall commerciale, questo modulo pu\u00f2 essere una buona scelta.<\/p>\n<figure id=\"attachment_48847\" aria-describedby=\"caption-attachment-48847\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48847 size-full\" title=\"per la sicurezza web server apache installare mod security\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-mod-security.jpg\" alt=\"sicurezza web server apche e mod security\" width=\"780\" height=\"400\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-mod-security.jpg 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-mod-security-300x154.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-mod-security-768x394.jpg 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48847\" class=\"wp-caption-text\">Per mettere in sicurezza web server Apache \u00e8 consigliato intstallare Mod Security, un&#8217;applicazione firewall open-source che pu\u00f2 essere utilizzata per Apache<\/figcaption><\/figure>\n<p class=\"p1\">Mod Security dice: per garantire una protezione generica delle applicazioni web, il Core rules deve utilizzare le seguenti tecniche:<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\"><b>HTTP Protection:<\/b> rilevare le violazioni del protocollo HTTP e<span class=\"Apple-converted-space\">\u00a0 <\/span>definire un utilizzo della policy localmente<\/li>\n<li class=\"li1\"><b>Real-time Blacklist Lookups<\/b>: utilizzare 3rd Party IP Reputation<\/li>\n<li class=\"li1\"><b>Web-based Malware Detection<\/b>: identificare i contenuti web dannosi controllando Google Safe Browsing API<\/li>\n<li class=\"li1\"><b>HTTP Denial of service Protections<\/b>: difendersi dagli attacchi HTTP Flooding and Slow HTTP DoS<\/li>\n<li class=\"li1\"><b>Common Web Attacks Protection<\/b>: &#8211; rilevare i comuni attacchi alla sicurezza delle applicazioni web<\/li>\n<li class=\"li1\"><b>Automation Detection<\/b>: Rilevare<span class=\"Apple-converted-space\">\u00a0 <\/span>bot, crawler, scanner e altre attivit\u00e0 dannose<\/li>\n<li class=\"li1\"><b>Integrare con AV Scanning<\/b> per il caricamento di file: rilevare i file maligni caricati tramite l&#8217;applicazione web.<\/li>\n<li class=\"li1\"><b>Monitoraggio dei dati sensibili: <\/b>Tracciare l\u2019uso delle carte di credito e bloccare le perdite<\/li>\n<li class=\"li1\"><b>Trojan Protection: <\/b>Rilevare l&#8217;accesso ai cavalli di Troia<\/li>\n<li class=\"li1\">I<b>dentificare i difetti delle applicazioni:<\/b> Segnalazioni di errori di configurazione delle applicazioni<\/li>\n<li class=\"li1\"><b>Error Detection and Hiding: <\/b>Mascherare i messaggi di errore inviati dal server.<\/li>\n<\/ul>\n<h3 class=\"p1\"><span class=\"ez-toc-section\" id=\"Verificare_i_download_e_le_installazioni_per_la_sicurezza_web_server_Apache\"><\/span>Verificare i download e le installazioni per la sicurezza web server Apache<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p class=\"p1\"><b>I seguenti prerequisiti devono essere installati sul server nel caso in cui si desideri utilizzare Mod Security con Apache<\/b>. Se alcuni di essi non sono presenti la compilazione di Mod Security \u00e8 destinata a fallire. E\u2019 possibile utilizzare l\u2019installazione yum o Linux o Cento per installare questi pacchetti:<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">apache 2.xo superiore<\/li>\n<li class=\"li1\">pacchetto libpcre<\/li>\n<li class=\"li1\">pacchetto libxml2<\/li>\n<li class=\"li1\">pacchetto liblua<\/li>\n<li class=\"li1\">pacchetto libcurl<\/li>\n<li class=\"li1\">libapr e pacchetto libapr-util<\/li>\n<li class=\"li1\">Modulo mod_unique_id bundle con server web Apache<\/li>\n<\/ul>\n<p class=\"p1\">Ora, cerchiamo di scaricare l&#8217;ultima versione di Mod Security 2.7.5 da <a href=\"http:\/\/www.modsecurity.org\/\">http:\/\/www.modsecurity.org\/download\/<\/a><\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Trasferire il<span class=\"Apple-converted-space\">\u00a0 <\/span>file scaricato in \/ opt \/ apache<\/li>\n<\/ul>\n<figure id=\"attachment_48915\" aria-describedby=\"caption-attachment-48915\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48915 size-full\" title=\"installare mod security per la sicurezza web server apache\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-installazione-mod-security.png\" alt=\"sicurezza web server apache e mod security\" width=\"780\" height=\"400\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-installazione-mod-security.png 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-installazione-mod-security-300x154.png 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-installazione-mod-security-768x394.png 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48915\" class=\"wp-caption-text\">Per la sicurezza web server Apache \u00e8 consigliata l&#8217;installazione di Mod Security, applicazione firewall open-source<\/figcaption><\/figure>\n<ul class=\"ul1\">\n<li class=\"li1\">estrarre modsecurity-apache_2.7.5.tar.gz<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\"># gunzip \u2013c modsecurity-apache_2.7.5.tar.gz | tar xvf \u2013<\/p>\n<\/blockquote>\n<ul class=\"ul1\">\n<li class=\"li1\">Andare a extracted folder modsecurity-apache_2.7.5<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\"># cd modsecurity-apache_2.7.5<\/p>\n<\/blockquote>\n<ul class=\"ul1\">\n<li class=\"li1\">Avviare lo script di configurazione includendo apxs path a Apache\u00f9<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\"># .\/configure \u2013with-apxs=\/opt\/apache\/bin\/apxs<\/p>\n<\/blockquote>\n<ul class=\"ul1\">\n<li class=\"li1\">Compilare e installare con make script<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\"># make<\/p>\n<p class=\"p1\">#make install<\/p>\n<\/blockquote>\n<ul class=\"ul1\">\n<li class=\"li1\">Una volta che l\u2019installazione \u00e8 completa si vedr\u00e0 mod_security2.so nella cartella moduli sotto \/opt\/apache come di seguito<\/li>\n<\/ul>\n<figure id=\"attachment_48916\" aria-describedby=\"caption-attachment-48916\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48916 size-full\" title=\"installare firewall per la sicurezza web server apache\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-installazione-mod-security-1.png\" alt=\"completare installazione mod security sicurezza web server apache\" width=\"780\" height=\"400\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-installazione-mod-security-1.png 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-installazione-mod-security-1-300x154.png 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-installazione-mod-security-1-768x394.png 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48916\" class=\"wp-caption-text\">Completare correttamente l&#8217;installazione di Mod Security \u00e8 fondamentale per la sicurezza web server Apache<\/figcaption><\/figure>\n<p class=\"p1\"><b>A questo punto Mod Security \u00e8 installato sul web server Apache<\/b><\/p>\n<h3 class=\"p1\"><span class=\"ez-toc-section\" id=\"Configurazione_del_Mod_Security_per_la_sicurezza_web_server_Apache\"><\/span>Configurazione del Mod Security per la sicurezza web server Apache<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p class=\"p1\">Per utilizzare Mod Security su Apache,<b> \u00e8 necessario caricare Mod Security in http.conf<\/b>. Il modulo mod_unique_id \u00e8 pre-requisito per Mod Security. Questo modulo fornisce un\u2019ambiente variabile con un identificatore unico per ogni richiesta che viene monitorata e utilizzata da Mod Security.<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Aggiungere di seguito una riga per caricare il modulo per lMod Security in httpd.conf e salvare il file di configurazione<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\">LoadModule unique_id_module moduli \/ mod_unique_id.so<\/p>\n<p class=\"p1\">LoadModule security2_module moduli \/ mod_security2.so<\/p>\n<\/blockquote>\n<ul class=\"ul1\">\n<li class=\"li1\">Riavviare Apache<\/li>\n<\/ul>\n<p class=\"p1\"><b>A questo punto Mod Security \u00e8 installato. La cosa successiva da fare \u00e8 installare Mod Security core rule per le versioni avanzate delle sue funzioni.<\/b> L\u2019ultimo Core Rule pu\u00f2 essere scaricato gratuitamente dal link <a href=\"https:\/\/github.com\/SpiderLabs\/owasp-modsecurity-crs\/zipball\/master\"><span class=\"s4\">https:\/\/github.com\/SpiderLabs\/owasp-modsecurity-crs\/zipball\/master<\/span><\/a><\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Copiare il Core Rule scaricato nella cartella \/opt\/apache\/conf<\/li>\n<li class=\"li1\">Decomprimere il file Core Rule; a questo punto \u00e8 possibile vedere le cartelle estratte come di seguito<\/li>\n<\/ul>\n<figure id=\"attachment_48917\" aria-describedby=\"caption-attachment-48917\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48917 size-full\" title=\"mod security core rule e sicurezza web server apache\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/sicurezza-we-server-apache-configurazione-mod-security.png\" alt=\"installazione mod security e sicurezza web serve apache\" width=\"780\" height=\"400\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-we-server-apache-configurazione-mod-security.png 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-we-server-apache-configurazione-mod-security-300x154.png 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-we-server-apache-configurazione-mod-security-768x394.png 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48917\" class=\"wp-caption-text\">La fase successiva per la sicurezza web server Apache \u00e8 installare Mod Security con core rule<\/figcaption><\/figure>\n<ul class=\"ul1\">\n<li class=\"li1\">Si possono rinominare le cartelle con identificativi pi\u00f9 brevi e semplici da ricordare, come :<\/li>\n<\/ul>\n<figure id=\"attachment_48918\" aria-describedby=\"caption-attachment-48918\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48918 size-full\" title=\"nomi cartelle e sicurezza web server apache\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-rinominare-cartelle.png\" alt=\"rinominare cartelle e sicurezza web server apache\" width=\"780\" height=\"400\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-rinominare-cartelle.png 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-rinominare-cartelle-300x154.png 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-rinominare-cartelle-768x394.png 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48918\" class=\"wp-caption-text\">E&#8217; bene rinominare le cartelle con identificativi brevi per la sicurezza web server Apache<\/figcaption><\/figure>\n<ul class=\"ul1\">\n<li class=\"li1\">Andare alla cartella ars e rinominare modsecurity_crs10_setup.conf.example to modsecurity_crs10_setup.conf<\/li>\n<\/ul>\n<p class=\"p1\">A questo punto abilitiamo le regole per attivarle sul web server Apache<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Aggiungere la seguente stringa in httpd.conf<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\">&lt;IfModule security2_module&gt;<\/p>\n<p class=\"p1\">Include conf\/crs\/modsecurity_crs_10_setup.conf<\/p>\n<p class=\"p1\">Include conf\/crs\/base_rules\/*.conf<\/p>\n<p class=\"p1\">&lt;\/IfModule&gt;<\/p>\n<\/blockquote>\n<p class=\"p1\">Nella configurazione precedente abbiamo caricato Mod Security con la configurazione del file principale modsecurity_crs_10_setup.conf e fissato le regole base_rules\/*.conf fornite da Mod Security Core Rules per proteggere le applicazioni web<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Riavviare Apache<\/li>\n<\/ul>\n<p class=\"p1\">Mod Security \u00e8 stato configurato con successo su Apache. Ora il web server Apache \u00e8 protetto da Firewall Mod Security web application.<\/p>\n<p class=\"p1\">Una volta installato Mod Security, <b>passiamo a esaminare le pi\u00f9 importanti configurazione per la protezione e la sicurezza delle applicazioni web<\/b>. In questa sessione tutte le modifiche di configurazione saranno effettuate in \/opt\/apache\/conf\/crs\/modsecurity_crs_10_setup.conf.<\/p>\n<p class=\"p1\">Si far\u00e0 riferimento a \/opt\/apache\/conf\/crs\/modsecurity_crs_10_setup.conf setup.conf in questa sezione a scopo di esempio. E\u2019 importante capire quali sono le regole OWASP gratuite. Ci sono tre tipi di regole fornite da OWASP.<\/p>\n<p class=\"p1\"><b>Base Rules:<\/b> queste regole sono state accuratamente testate e il rapporto di falsi allarme \u00e8 basso.<\/p>\n<p class=\"p1\"><b>Experimental Rules: <\/b>queste regole sono per scopi sperimentali ed \u00e8 possibile avere dei falsi allarmi. E\u2019 importante configurare, testare e implementare in UAT prima di utilizzarle in un ambiente di produzione<\/p>\n<p class=\"p1\"><b>Optional Rules: <\/b>queste regole opzionali non sono adatte all\u2019intero ambiente, ma possono essere utilizzate sulla base di requisiti specifici. Se si \u00e8 alla ricerca di CSRF, del monitoraggio degli utenti, Session hijacking etc. per proteggerli allora \u00e8 possibile utilizzare queste regole.<\/p>\n<p class=\"p1\">Le base, experimental e optional rules sono disponibili dopo aver estratto il file zip ars scaricato dalla pagina OWASP. Questi file di configurazione delle regole sono disponibili nella cartella ars \/ base_rules, crs \/ optional_rules e crs \/ experimental_rules.<\/p>\n<p class=\"p1\">Prediamo familiarit\u00e0 con alcune base rules.<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\"><b>modsecurity_crs_20_protocol_violations.conf: <\/b>questa regola protegge dalle vulnerabilit\u00e0 del protocollo come splitting, request smuggling, using non-allowed protocol (HTTP 1.0)<\/li>\n<li class=\"li1\"><b>modsecurity_crs_21_protocol_anomalies.conf: <\/b>questa regola protegge da una richiesta mancante con Host, Accept, User-Agent nell\u2019intestazione<\/li>\n<li class=\"li1\"><b>modsecurity_crs_23_request_limits.conf: <\/b>questa regola dipende da applicazioni specifiche come request size, upload size, lunghezza parametro<\/li>\n<li class=\"li1\"><b>modsecurity_crs_30_http_policy.conf: <\/b>questa regola \u00e8 per configurare e proteggere i metodi permessi e non permessi come <b> <\/b>CONNECT, TRACE, PUT, DELETE, etc.<\/li>\n<li class=\"li1\"><b>modsecurity_crs_35_bad_robots.conf<\/b>: Rintraccia i malicious robots<\/li>\n<li class=\"li1\"><b>modsecurity_crs_40_generic_attacks.conf: <\/b>questa regola serve per proteggere da comandi OS injection, inclusione di file remoti etc<\/li>\n<li class=\"li1\"><b>modsecurity_crs_41_sql_injection_attacks.conf: <\/b>questa regola \u00e8 per proteggere SQL e per nascondere la richiesta SQL inject<\/li>\n<li class=\"li1\"><b>modsecurity_crs_41_xss_attacks.conf: <\/b>Protezione contro la richiesta da Cross Site Scripting<\/li>\n<li class=\"li1\"><b>modsecurity_crs_42_tight_security.conf: <\/b>Analisi e protezione trasversale Directory<\/li>\n<li class=\"li1\"><b>modsecurity_crs_45_trojans.conf: <\/b>questa regola rileva i generici file di gestione output, il caricamento di pagine http backdoor, le firme conosciute<\/li>\n<li class=\"li1\"><b>modsecurity_crs_47_common_exceptions.conf: <\/b>questa regola \u00e8 usata come un meccanismo di eccezione per rimuovere i falsi positivi che si possono riscontrare come Apache internal dummy connection, SSL pinger etc.<\/li>\n<\/ul>\n<h3 class=\"p1\"><span class=\"ez-toc-section\" id=\"Logging_per_la_sicurezza_web_server_Apache\"><\/span>Logging per la sicurezza web server Apache<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p class=\"p1\">La registrazione \u00e8 una delle prime cose da configurare per creare dei logs per ci\u00f2 che Mod Security sta facendo. <b>Ci sono due tipi di registrazione disponibili: Debug &amp; Audit log.<\/b><\/p>\n<p class=\"p1\"><b>Debug Log:<\/b> questo serve per duplicare i messaggi di errore di Apache, gli avvisi e le notifiche da error log<\/p>\n<p class=\"p1\"><b>Audit Log:<\/b> questo serve per scrivere i logs delle transazioni che sono contrassegnati da Mod<\/p>\n<p class=\"p1\"><b>Security. Mod Security d\u00e0 la possibilit\u00e0 di configurare Audit, Debug o entramb<\/b>i. Vediamo la configurazione di default in setup.conf<\/p>\n<blockquote>\n<p class=\"p1\">SecDefaultAction \u201cfphase:1,deny,log\u201d<\/p>\n<\/blockquote>\n<p class=\"p1\">Per Debug e Audit log usare \u201clog\u201d. Per solo Audit log usare \u201cnolog,auditlog\u201d. Per solo Debug log usare \u201clog,noauditlog\u201d. E\u2019 possibile specificare la posizione di Audit Log da archiviare e che deve essere controllato dalla direttiva SecAuditLog.<\/p>\n<p class=\"p1\">Scriviamo Audit log in \/opt\/apache\/logs\/modsec_audit.log aggiungendo come illustrato di seguito.<\/p>\n<p class=\"p1\">Implementazione:<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Aggiungere direttiva SecAuditLog in setup.conf e riavviare il server Web Apache<\/li>\n<\/ul>\n<p class=\"p1\">\u00a0SecAuditLog \/opt\/apache\/logs\/modsec_audit.log<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Dopo il riavvio \u00e8 possibile vedere modsec_audit.log generato come di seguito<\/li>\n<\/ul>\n<figure id=\"attachment_48919\" aria-describedby=\"caption-attachment-48919\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48919 size-full\" title=\"opzioni di registrazione e sicurezza web server apache\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-logging.png\" alt=\"registrazione e sicurezza web server apache\" width=\"780\" height=\"400\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-logging.png 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-logging-300x154.png 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-logging-768x394.png 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48919\" class=\"wp-caption-text\">La configurazione di Mod Security per la sicurezza web server Apache consente due tipi di registrazione<\/figcaption><\/figure>\n<h3 class=\"p1\"><span class=\"ez-toc-section\" id=\"Abilitare_Rule_Engine_per_la_sicurezza_web_server_Apache\"><\/span>Abilitare Rule Engine per la sicurezza web server Apache<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p class=\"p1\"><b>Di default Engine Rule \u00e8 disabilitato il che significa che non si stanno utilizzando tutti i vantaggi di Mod Security<\/b>. Rule Engine abilitato o disabilitato \u00e8 controllato dalla direttiva SecRuleEngine.<\/p>\n<p class=\"p1\">Implementazione<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Aggiungere direttiva SecRuleEngine in setup.conf e riavviare il server Web Apache<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\">SecRuleEngine On<\/p>\n<\/blockquote>\n<p class=\"p1\">Ci sono tre valori per SecRuleEngine:<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">On: per abilitare Rule Engine<\/li>\n<li class=\"li1\">Off: per disabilitare Rule Engine<\/li>\n<li class=\"li1\">DetectionOnly: per abilitare Rule Engine senza eseguire nessuna azione come block, deny,drop, allow, proxy o redirect<\/li>\n<\/ul>\n<p class=\"p1\">Solo se Rule Engine \u00e8 on Mod Security \u00e8 pronto per proteggere dai pi\u00f9 comuni attacchi.<\/p>\n<h3 class=\"p1\"><span class=\"ez-toc-section\" id=\"Proteggersi_dagli_attacchi_comuni_per_la_sicurezza_web_server_Apache\"><\/span>Proteggersi dagli attacchi comuni per la sicurezza web\u00a0server Apache<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p class=\"p1\">Ora il web server \u00e8 pronto per difendersi dai pi\u00f9 comuni attacchi come XSS, SQL Injection, Protocol Violation etc. visto che \u00e8 stato installato Core rule su Rule Engine. Testiamolo:<\/p>\n<p class=\"p1\"><b>Attacchi XSS:<\/b><\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Aprire Firefox e accedere all\u2019applicazione e inserire il tag &lt;script&gt;<span class=\"Apple-converted-space\">\u00a0 <\/span>alla fine o URL come mostrato di seguito<\/li>\n<li class=\"li1\">Monitorare modsec_audit.log nella cartella apache\/logs<\/li>\n<\/ul>\n<figure id=\"attachment_48920\" aria-describedby=\"caption-attachment-48920\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48920 size-full\" title=\"protezione da attacchi xss per la sicurezza web server apache\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-attacchi-xss.png\" alt=\"sicurezza web server apache e attacchi xss\" width=\"780\" height=\"400\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-attacchi-xss.png 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-attacchi-xss-300x154.png 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-attacchi-xss-768x394.png 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48920\" class=\"wp-caption-text\">Grazie a Mod Security, fondamentale per la sicurezza web server Apache, \u00e8 possibile difendersi da attacchi molto comuni come XSS<\/figcaption><\/figure>\n<p class=\"p1\">Come si pu\u00f2 vedere Mod Security blocca la richiesta che contiene il tag &lt;script&gt; che \u00e8 la radice degli attacchi XSS.<\/p>\n<p class=\"p1\"><b>Attacchi Directory Traversal: <\/b>Questo tipo di attacchi pu\u00f2 creare molti danni approfittando di vulnerabilit\u00e0 e riuscendo ad avere accesso al sistema correlato.Ex \u2013 \/etc\/passwd, .htaccess, etc.<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Aprire Firefox e accedere all\u2019applicazione con directory traversal<\/li>\n<li class=\"li1\">Monitorare modsec_audit.log nella cartella apache\/logs<\/li>\n<\/ul>\n<blockquote><p>http:\/\/localhost\/?..\/&#8230;\/boot<\/p><\/blockquote>\n<figure id=\"attachment_48902\" aria-describedby=\"caption-attachment-48902\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48902 size-full\" title=\"protegger dagli attacchi directory trasversal per la sicurezza web server apache\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-attacchi-directory-trasversal.jpg\" alt=\"sicurezza web server apache e attacchi directory trasversal\" width=\"780\" height=\"400\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-attacchi-directory-trasversal.jpg 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-attacchi-directory-trasversal-300x154.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-attacchi-directory-trasversal-768x394.jpg 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48902\" class=\"wp-caption-text\">La sicurezza web server Apache passa anche da un adeguato livello di protezione dagli attacchi Directory Trasversal<\/figcaption><\/figure>\n<p class=\"p1\">Come si vede Mod Security blocca le richieste che contengono directory traversal<\/p>\n<h3 class=\"p1\"><span class=\"ez-toc-section\" id=\"Cambiare_Server_Banner_per_la_sicurezza_web_server_Apache\"><\/span>Cambiare Server Banner per la sicurezza web server Apache<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p class=\"p1\">In precedenza in questa guida, si \u00e8 visto come rimuovere la versione Apache e il tipo di sistema operativo con la direttiva ServerTokens. Facciamo un passo in avanti e <b>vediamo come mantenere il nome del server che si desidera.<\/b> Questo \u00e8 possibile con la direttiva <b>SecServerSignature in Mod Security<\/b>.<\/p>\n<p class=\"p1\">Si noti che per utilizzare Mod Security per manipolare Server Banner \u00e8 necessario impostare ServerTokesn in httpd.conf del web server Apache.<\/p>\n<p class=\"p1\">Implementazione:<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Aggiungere la direttiva SecServerSignature con il nome del server desiderato in setup.conf e riavviare il server Web Apache<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\">SecServerSignature YourServerName<\/p>\n<\/blockquote>\n<p class=\"p1\">es:<\/p>\n<blockquote>\n<p class=\"p1\">[\/opt\/apache\/conf\/crs] #grep SecServer modsecurity_crs_10_setup.conf<\/p>\n<p class=\"p1\">SecServerSignature chandank.com<\/p>\n<p class=\"p1\">[\/opt\/apache\/conf\/crs] #<\/p>\n<\/blockquote>\n<p class=\"p1\">Verifica:<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Aprire Firefox e accedere all\u2019applicazione<\/li>\n<li class=\"li1\">Verificare le intestazioni di risposta HTTP in Firebug; \u00e8 possibile vedere che Server Banner si \u00e8 modificato come di seguito:<\/li>\n<\/ul>\n<figure id=\"attachment_48921\" aria-describedby=\"caption-attachment-48921\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48921 size-full\" title=\"mantenere nome server per la sicurezza web server apache\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-modifica-server-banner.png\" alt=\"sicurezza web server apache e nome server\" width=\"780\" height=\"400\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-modifica-server-banner.png 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-modifica-server-banner-300x154.png 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache-modifica-server-banner-768x394.png 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48921\" class=\"wp-caption-text\">Per garantire la sicurezza web server Apache \u00e8 consigliato mantenere il nome del server che si desidera<\/figcaption><\/figure>\n<h2 class=\"p1\"><span class=\"ez-toc-section\" id=\"Configurazione_generale_per_mettere_in_sicurezza_web_server_Apache\"><\/span>Configurazione generale per mettere in sicurezza web server Apache<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p class=\"p1\"><b>Ecco alcune best practice per la configurazione generale<\/b><\/p>\n<h3 class=\"p1\"><span class=\"ez-toc-section\" id=\"Configure_Listen_e_sicurezza_web_server_Apache\"><\/span>Configure Listen e sicurezza web server Apache<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p class=\"p1\">Quando si dispone di un\u2019interfaccia e IP multipli su un singolo server, <b>\u00e8 consigliato avere una direttiva Listen configurata con IP assoluto e numero di porta<\/b>. Quando nella configurazione di Apache si lascia Listen a tutti gli IP con un certo numero di porta, si possono avere problemi nella trasmissione della richiesta HTTP ad altri server. Questa situazione \u00e8 abbastanza comune negli ambienti condivisi.<\/p>\n<p class=\"p1\">Implementazione:<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Configurare la direttiva Listen in httpd.conf con IP assoluto e la porta come mostrato nell&#8217;esempio qui sotto:<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\">Listen 10.10.10.1:80<\/p>\n<\/blockquote>\n<h3 class=\"p1\"><span class=\"ez-toc-section\" id=\"Access_Logging_e_sicurezza_web_server_Apache\"><\/span>Access Logging e sicurezza web server Apache<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p class=\"p1\"><b>E\u2019 essenziale configurare Access Logging correttamente sul web server.<\/b> Alcuni dei parametri pi\u00f9 importanti da impostare in log \u00e8 il tempo necessario per soddisfare la richiesta, Session ID. Di default, apache non \u00e8 configurato per catturare questi dati. E\u2019 necessario configurarli manualmente come di seguito.<\/p>\n<p class=\"p1\">Implementazione:<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\">Per fissare il tempo necessario per soddisfare la richiesta e Session ID nei log di accesso<\/li>\n<li class=\"li1\">Aggiungere% T &amp;% sessionID in httpd.conf secondo la direttiva LogFormat<\/li>\n<\/ul>\n<blockquote>\n<p class=\"p1\">\u00a0 LogFormat &#8220;% h% l% u% t &#8220;% {} sessionID C&#8221; &#8220;% r&#8221; %&gt; s% b% T&#8221; common<\/p>\n<\/blockquote>\n<p class=\"p1\">\u00c8 possibile fare riferimento http:\/\/httpd.apache.org\/docs\/2.2\/mod\/mod_log_config.html per un elenco completo dei parametri supportati dalla direttiva LogFormat nei web server Apache.<\/p>\n<h3 class=\"p1\"><span class=\"ez-toc-section\" id=\"Per_la_sicurezza_web_server_Apache_disabilitare_i_moduli_indesiderati\"><\/span>Per la sicurezza web server Apache disabilitare i moduli indesiderati<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p class=\"p1\"><b>Se sono stati compilati e installati tutti i moduli in Apache allora vi \u00e8 la possibilit\u00e0 che ve ne siano molti non necessari.<\/b> Una buona pratica \u00e8 di configurare Apache con i moduli necessari nelle proprie applicazioni web.<\/p>\n<p class=\"p1\">I moduli seguenti hanno mostrato alcuni problemi di sicurezza e si potrebbe pensare di disabilitarli in httpd.conf del web server Apache.<\/p>\n<p class=\"p1\"><b>WebDAV<\/b> (Web-based Distributed Authoring and Versioning), questo modulo consente ai clients remoti di manipolare i file sul server ed \u00e8 quindi soggetto a vari tentativi di arranco denial-of-service. Per disabilitarlo aggiungere il seguente commento in https.conf<\/p>\n<blockquote>\n<p class=\"p1\">#LoadModule dav_module modules\/mod_dav.so<\/p>\n<p class=\"p1\">#LoadModule dav_fs_module modules\/mod_dav_fs.so<\/p>\n<p class=\"p1\">#Include conf\/extra\/httpd-dav.conf<\/p>\n<\/blockquote>\n<p class=\"p1\"><b>Info Module<\/b>: Il modulo mod_info pu\u00f2 divulgare informazioni sensibili utilizzando .htaccess una volta che il modulo \u00e8 stato caricato. Per disabilitarlo:<\/p>\n<blockquote>\n<p class=\"p1\">#LoadModule info_module modules\/mod_info.so<\/p>\n<\/blockquote>\n","protected":false},"excerpt":{"rendered":"<p>Mettere in sicurezza Web Server Apache \u00e8 una operazione di fondamentale importanza, dato che questo \u00e8\u00a0molto spesso uno dei servizi pi\u00f9 vulnerabile ad attacchi. Data la configurazione di default, molte informazioni sensibili possono essere sfruttate da un hacker per preparare un attacco all\u2019intero web server. La maggior parte delle applicazioni web vengono attaccate tramite XSS, [&hellip;]<\/p>\n","protected":false},"author":15,"featured_media":48839,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"pmpro_default_level":"","footnotes":""},"categories":[387],"tags":[],"class_list":{"0":"post-48833","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-guide-sicurezza","8":"pmpro-has-access"},"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-web-server-apache.jpg","wps_subtitle":"","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/48833","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=48833"}],"version-history":[{"count":0,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/48833\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media\/48839"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=48833"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=48833"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=48833"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}