Oggi vedremo come mettere in sicurezza i moduli Apache2 su Ubuntu Server e Debian.
Questo tutorial e’ valido per:
- Apache 2.2.x e Apache 2.4.x
- Ubuntu 18.04 LTS (Bionic), Ubuntu 20.04 LTS (Focal), Ubuntu 20.10 (Groovy), Ubuntu 21.04 (hirsute), Ubuntu 21.10 (Impish)
- Debian 9 (Stretch), Debian 10 (Buster), Debian 11 (Bullseye), Debian 12 (Bookworm), Debian Unstable (Sid).
Per visulaizzare la versione del sistema operativo e la versione di apache in uso:
lsb_release -a | apache2 -vNell’ articolo mettere in sicurezza Apache2 su Ubuntu/Debian abbiamo gia’ visto come mettere in sicurezza gli headers di Apache.
Verifichiamo se il conf enable e’ attivo:
sudo ls /etc/apache2/conf_enable/Per attivare gli headers di sicurezza aggiuntivi, abilitare il modulo headers.
A volte il modulo e’ gia’ attivo, in questo caso non eseguiamo queso comando.
sudo a2enmod headers
sudo systemctl reload apache2Controlliamo se gli headers di sicurezza sono presenti:
curl -I http://localhostOra andiamo a disattivare autoindex:
sudo a2dismod autoindex
sudo systemctl reload apache2Ora andiamo a disattivare server status:
sudo a2dismod stauts
sudo systemctl reload apache2Fatto!
Esistono moduli aggiuntivi di sicurezza installabili su Apache, con funzionalita’ molto utili come WAF (Web Application firewall) per proteggersi da attacchi xss, sql injection e altri attacchi sul livello degli applicativi. Esistono anche moduli di protezione da attacchi DOS e bruteforce. Li vedremo nei prossimi articoli.
Documentazione:
- Apache Module mod_headers:
https://httpd.apache.org/docs/2.4/mod/mod_headers.html - Apache Module mod_status:
https://httpd.apache.org/docs/2.4/mod/mod_status.html - Apache Module mod_autoindex:
https://httpd.apache.org/docs/2.4/mod/mod_autoindex.html
