Dieci consigli per un Apache più sicuro

Bisogna ammetterlo: tanti pensano (a ragione) che Linux sia abbastanza sicuro e quindi installano un server LAMP (Linux-Apache-MySQL-PHP) con pochi click e senza preoccuparsi di affinare troppo la configurazione, quando invece qualche piccolo ritocco, e un po´ di manutenzione, potrebbe rendere il sistema più sicuro e meno esposto.

A tal proposito su TechRepublic, un articolo con tanto di esempi pratici elenca dieci punti da seguire per rinforzare l´installazione base del Web Server con la piuma:

• rinforzare il sistema e tenerlo aggiornato: il traffico deve essere controllato, eventualmente con delle Access List e gli aggiornamenti (che non sono prerogativa del solo Windows) devono essere installati periodicamente, operazione facilitata dagli strumenti automatici delle varie distribuzioni;
• installare solo quello che serve: meglio evitare di installare tutti i moduli possibili e immaginabili se nessuno li usa. In parole povere: meno roba c´è, meno roba si può rompere;
• meno dici meglio è: apache di default spiffera più informazioni del necessario (ad esempio la versione e il sistema operativo quando si cerca una pagina inesistente). In httpd.conf, il file di configurazione di Apache, basta settare su OFF l´opzione ServerSignature. E ovviamente disabilitare il listing dei file in una directory;
• installare e usare il modulo mod_security: si tratta di un modulo scritto per aggiungere ad Apache funzioni estese di log, offuscamento dell´identità del Web Server, protezione contro le SQL Injection quando avvengono tramite URL, decodifica delle URL malformate (o formattate apposta in malo modo) e filtraggio del traffico prima che arrivi al web server vero e proprio;
• far girare Apache con un utente non privilegiato: fortunatamente nelle nuove versioni di Apache, e nelle configurazioni di base della maggior parte delle distribuzioni, il web server gira già con un utente con pochi privilegi, ma è sempre meglio accertarsi che sia così;
• disabilita i link simbolici: se Apache è configurato per seguire i link simbolici (quelli creati con link -s, per intenderci) allora può anche uscire dalla directory che contiene le pagine web, e ciò è male;
• specificare l´indirizzo su cui ascoltare: ovvero, se il server ha più di un indirizzo IP, è meglio indicare nella direttiva Listen l´indirizzo IP su cui deve funzionare. httpd.conf è solitamente configurato con listen 80, che significa ascolta le richieste su tutti gli indirizzi IP e sulla porta 80. Se il server ha solo un indirizzo IP questo va anche bene, ma se il server è collegato a più reti e Apache deve essere visibile solo su una di queste, allora è meglio indicare listen xx.xx.xx.xx:80, dove xx.xx.xx.xx è l´indirizzo con cui il server è collegato alla rete prescelta;
• nessuna eccezione per l´accesso alla directory root: nessuno si sognerebbe di permettere ad Apache di pubblicare la root directory /, ma nell´installazione base Apache è configurato per seguire i link che partono da / (qualcuno ha idea del perché?). Meglio cambiare anche questo settaggio;
• togliere tutti i commenti da httpd.conf: questo è un consiglio per il lato umano del sistema: senza commenti è più facile riconoscere eventuali direttive sbagliate o di troppo (ovviamente per utenti esperti). Anche un buon editor con la sintassi colorata può aiutare;
• proteggersi dagli attacchi DOS: i Denial Of Service possono essere resi più difficili da attuare se si accorciano i tempi di TimeOut (compatibilmente con gli script CGI installati) e se si limitano le richieste simultanee da un singolo Client.

Molti di questi consigli sono già applicati in molte distribuzioni ma è sempre meglio controllare di persona e aggiustare i vari parametri a seconda delle esigenze. Vi sembra troppo?