Un web server è un’applicazione fondamentale per gestire le richieste di trasferimento di pagine web da parte di un browser (client).
L’interazione client-server è alla base del funzionamento di internet.
Apache HTTP Server, giunto oggi alla versione 2.4.39, è uno dei web server più utilizzati.
Un web server è esposto ad attacchi di diverso tipo: DoS o SQL injection, deface, attacchi password, redirect DNS etc.
In questa mini guida non affronteremo i vari tipi di attacchi, ma daremo delle indicazioni pratiche per mettere in sicurezza un web server Apache HTTP. Nel dettaglio si discuterà di come rendere più sicuro un web server Apache 2.4.x su un sistema UNIX con Ubuntu 19.04
In un report di Positive Technologies pubblicato quest’anno (2019) è emerso che oltre il 70% delle applicazioni web presenta vulnerabilità che nel 19% dei casi possono portare un malintenzionato a prendere il controllo completo dell’applicazione.
Molte di queste vulnerabilità si trovano lato server ed è per questo che è di fondamentale importanza occuparsi della messa in sicurezza da subito.
Non è importante mettere in sicurezza un server web solamente nel caso offra accesso a dati sensibili (carte di credito, informazioni riservate, dati personali etc.), ma anche per la reputazione dei siti web che ospita e per la sicurezza degli utenti.
Immaginiamo un redirect dns che punta ad un sito web differente con phishing o materiale pornografico. Oppure immaginiamo un malware di qualsiasi genere installato sul sito web. Senza ombra di dubbio il danno può essere evidente anche se non gestiamo dati sensibili.
La prima cosa da modificare, per rendere la vita meno facile ai pirati informatici è nascondere nome e versione di Apache e il browsing della directory.
Per farlo è necessario modificare tre parametri di configurazione di Apache. Nel nostro caso si trovano tutti e tre nel file /etc/apache2/conf-available/security.conf
Il primo parametro da modificare è ServerSignature che di default è impostato su On.
ServerTokens mostra invece varie informazioni a seconda del parametro impostato:
- Full (or not specified) – Server: Apache/2.4.18 (UNIX) PHP/7.0.25
- Prod (or ProductOnly) – Server: Apache
- Major – Server: Apache/2
- Minor – Server: Apache/2.4
- Min (or Minimal) – Server: Apache/2.4.18
- OS – Server: Apache/2.4.18 (UNIX)
Non meno importante è TraceEnable che permette un attacco Cross Site Tracing con un potenziale rischio di fornire informazioni sui cookie con una richiesta TRACE.
La miglior configurazione per la massima sicurezza è pertanto ServerSignature Off, ServerTokens Prod e TraceEnable off
Da terminale scrivere il seguente comando:
sudo gedit /etc/apache2/conf-available/security.conf
Una volta effettuata la modifica (figura 2) salvare il file.
Per disabilitare il browsing della directory (che nel nostro caso è /var/www/) è necessario aprire un altro file di configurazione che è /etc/apache2/apache2.conf
Da terminale scrivere pertanto il seguente comando:
sudo gedit /etc/apache2/apache2.conf
Rimuovere la voce “indexes” evidenziata nella Figura 3, dopo di che salvare e riavviare Apache con il comando:
sudo systemctl reload apache2
Il risultato sarà adesso un Forbidden access (Figura 4).
L’articolo Mettere in sicurezza un web server Apache – Noob guide, parte 1 proviene da F-Hack.