Re: sicurezza Web Server

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Febbraio 2004 ml@sikurezza.org
Soggetto: Re: sicurezza Web Server
Mittente: Giuliani Ivan
Data: 16 Feb 2004 18:13:48 -0000

On Mon, 9 Feb 2004 09:27:56 +0100
"Roberto Bottoni - AfterBit (TMP)" <r.bottoni@xxxxxxxxxxxx> wrote:

> Sulla nostra rete c'è un firewall (linux) e dietro, nella DMZ, è posto un
> web server (linux)... mi chiedevo se era o meno il caso di installare anche
> sul web server qualche piccola protezione per aumentare la sicurezza visto
> che sulla porta 80 il traffico è "libero".
> 1) Ci sono dei prodotti in tal senso?

Per proteggere _solo_ il webserver penso si possa fare ben poco.
Un primo passo puo` essere quello di disabilitare la visualizzazione della
versione del server (se non ricordo male con apache si fa con la direttiva
ServerTokens). Molto comodo ho trovato mod_security, che altro non e` che un
modulo per Apache che agisce da filtro sulle richieste http. Questo permette di
filtrare eventuali richieste che sembrano contenere injection di vario tipo
rispondendo con un bel errorcode 500. Attento pero` che se imposti regole molto
restrittive, a volte degli script php che passano dei parametri tramite l'URI
potrebbero non funzionare, o funzionare parzialmente.

> 2) Esistono in rete (o libri) piccoli manuali su come fare almeno le prime
> operazioni di messa in sicurezza di un server?

Certamente. Io personalmente non mi sento di consigliartene uno, anche perche`
IMHO l'esperienza sul campo (in questo caso, sul pc) e` sempre la migliore.
Mi rendo conto che comunque un "pricipiante" in materia potrebbe aver bisogno di
una qualche reference, in ogni caso in rete trovi riferimenti per praticamente
ogni argomento, anche se talvolta ti devi arrangiare con l'inglese.

> 3) ... e poi.. come ci si può accorgere che siamo (o si è stati) attaccati?

Un bravo attacker fara` di tutto per nascondere la sua presenza, quindi alla
fine dipende tutto dalla bravura del sysadmin (e da quella dell'attacker). Di
solito te ne accorgi quando vedi files sospetti, o dei demoni che crashano, o
tramite l'analisi dei log, o tramite delle entries strane nei crontab.

-- 
Ivan "kratorius" Giuliani  ::  PGP Public Key ID:
http://kratorius.cjb.net   ::  0x840F429D
LUGBari Member             ::  keyserver.linux.it

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- sicurezza Web Server, Roberto Bottoni - AfterBit \(TMP\)

Data:
- precedente: R: Sicurezza su W2K - password e privacy, Erba Simone
- successivo: Re: SquidGuard blacklist.IT, andrea
- indice

Argomento:
- precedente: sicurezza Web Server, Roberto Bottoni - AfterBit \(TMP\)
- successivo: Re: sicurezza Web Server, Claudio
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005