La protezione di un'installazione di Apache dovrebbe fare in modo che solamente gli utenti in possesso delle corrette credenziali possano accedere alle risorse Web, assicurando:
- Segretezza e confidenzialità: i dati devono poter essere consultati soltanto da parte di chi è debitamente autorizzato (ove necessario).
- Integrità ed autenticità: i dati non devono poter essere manipolati dolosamente o accidentalmente e la loro provenienza deve essere verificabile.
La protezione di Apache si attua ponendo in essere le classiche protezioni interna ed esterna e scongiurando o mitigando gli effetti di attacchi di tipo DoS.
Il programma server apache2 gira sul sistema operativo come un dato utente definito: ciò vuol dire che qualsiasi operazione apache2 esegua sul sistema (lettura filesystem, esecuzione programmi) è limitata dai permessi che quell'utente "virtuale" possiede. PHP, essendo un suo modulo, gira con il medesimo utente.
La protezione interna impone di proteggere l'accesso alla directory www dagli utenti che hanno login sul server; nel dettaglio, la directory dei dati e tutto il suo contenuto dovranno essere ad esclusivo accesso dell'utente con cui gira il server Web. Di conseguenza, quindi, nessun altro utente (fuorché root) accederà in lettura o scrittura a tale albero di directory.
La protezione di www dall'"interno" è fondamentale perché, a meno di attacchi locali riusciti, se un altro servizio viene bucato dall'esterno, l'utente con cui gira non avrà accesso via filesystem alle risorse di nostro interesse.
La protezione esterna impone di proteggere l'accesso al server mediante la creazione di utenti accreditati alla connessione (ove serva). Ciò è tuttavia generalmente demandato alle tecnologie server-side, ed esula dallo scopo di questa guida. Annoveriamo in questa tipologia anche i metodi per limitare l'accesso ad alcune risorse dall'Internet, quali file dati riservati, file di configurazione e così via: si veda la Guida sulla sicurezza PHP al riguardo, dove l'argomento è trattato con un paio di dovuti esempi pratici.
Prevenire, infine, attacchi di tipo DoS. Questo è attuabile limitando il numero di connessioni client ammissibili o bloccando "real-time" il traffico proveniente da talune sorgenti. Prevenzione da attacchi DoS e politiche di backup e ripristino dei dati garantiscono l'accessibilità degli stessi: i dati devono essere sempre disponibili eventualmente anche attraverso il loro immediato ripristino.
Ultimi articoli Sicurezza
Nmap: tecniche per evadere un firewallVediamo come sfuggire ai controlli di un firewall utilizzando Nmap. |
Sfruttare vulnerabilità XSS con BeEFUsiamo BeEF per automatizzare lo sfruttamento di vulnerabilità Cross... |
Trojan Flashback: rimuoverlo da Mac OS XIndividuiamo e rimuoviamo il trojan Flashback da Mac OS X |
Individuare vulnerabilità in Joomla con JoomScanUsiamo JoomScan per verificare la sicurezza di Joomla e la presenza... |
XSS: attacchi avanzatiApprofondiamo le vulnerabilità Cross Site Scripting analizzando... |
Guide Sicurezza
Guida SQL Injection con SqlmapScopriamo se le nostre applicazioni web sono vulnerabili alle SQL... |
Guida sicurezza applicazioni WebLe tecniche di attacco più comuni, i metodi per verificare la... |
Guida Sicurezza wirelessQuali sono i pericoli di sicurezza di una rete senza filo e quali... |
Newsletter @Sicurezza
Ogni lunedì, direttamente nella tua e-mail: approfondimenti e bollettini su virus, vulnerabilità e sicurezza informatica.
Iscriviti alla newsletter
Corsi in aula
|
|
Amministratore di Reti Windows Server 200811 Giugno 2012 a Milano |
|
Nessun corso previsto |
