[Lugge] Re: Come lavorare con Apache in sicurezza?

  • From: Gian Piero Carzino <gianpiero.carzino@xxxxxxxxxxxxx>
  • To: lugge@xxxxxxxxxxxxx
  • Date: Wed, 24 Jul 2002 19:50:47 +0200

Alle 17:03, mercoledì 24 luglio 2002, hai scritto:
> Dentro al file commonhttpd.conf ci sono due variabili User e Group 

Non ho mai usato Apache come server web, però mi sono scontrato con i suoi 
files di configurazione per cercare di renderne sicura la installazione (in 
vista del solito DBparr): il risultato è che

1. non si può partire da una particolare directory (/etc/httpd, /etc/apache) 
per capire quali files usa: l'unico modo corretto è andare a vedere come è 
stato configurato apache in compilazione
(httpd -V  o apache -V a seconda delle distribuzioni - eseguito da root)
Ho infatti trovato che
A. sulla Mandrake (almeno 8.0-1-2) la directory è /etc/httpd/ e il file di 
configurazione è conf/httpd.conf che poi include
Include conf/commonhttpd.conf
Include conf/vhosts/Vhosts.conf
#Include conf/vhosts/DynamicVhosts.conf
#Include conf/vhosts/VirtualHomePages.conf
Include  conf/addon-modules/php.conf
Include  conf/ssl/mod_ssl.conf
Include  conf/ssl/ssl.default-vhost.conf

B. sulla SuSE (6.4) la directory è /etc/httpd/ e il file di configurazione è 
httpd.conf che poi include
Include /etc/httpd/jserv/jserv.conf
(access.conf e srm.conf, pur presenti, sono vuoti)

C. sulla Debian (ho presente la 2.2r6) la directory è /etc/apache e i files 
di configurazione sono addirittura tre:
-- httpd.conf per la configurazione generale (compreso quale User e Group 
usare)
-- access.conf per la configurazione dei privilegi di accesso alle varie 
directory
-- srm.conf per la configurazione dei moduli (es. caricamento di PHP)
e questi tre files (così come sono inizialmente) non ne includono altri.

2. non c'è un modo univoco di far girare Apache (es. in una distribuzione 
l'utente con cui gira per default ha praticamente tutti i permessi necessari 
per scrivere files, cancellare directory, ecc. nell'albero "pubblico" Html - 
in un'altra è un utente che non può neppure leggere certe directory)

3. certe operazioni che sembrano innocue (e addirittura necessarie per far 
funzionare qualcosa, come UserDir) possono aprire voraggini di sicurezza: 
morale attivare solo ed esclusivamente quei permessi che sono realmente 
necessari per il compito desiderato.

--------
Gian Piero Carzino
gcarzino@xxxxxxxxxx
<========----------
 
 Prima di scrivere in m-list per favore leggi il regolamento
 http://www.lugge.net/soci/manifesto.htm#list

 Archivio delle e-mail postate in lista
 http://www.freelists.org/archives/lugge/

----------========>

 

Other related posts: