.: HosiriS :.

Informatica e non solo

Archive for the ‘Apache’ Category

Usiamo il modulo proxy di Apache

Posted by hosiris su ottobre 27, 2011

La progettazione di I.H.Sys. mi sta costringendo a rivedere di continuo gli schemi architetturali del sistema in modo da poter sfruttare al meglio l’hardware di bassa potenza a mia disposizione.
Una delle ultime modifiche mi ha portato a decentralizzare il mio unico web server (Osiride) in modo che applicazioni web fortemente basate su php non influiscano troppo sul carico del server. Quindi, sfruttando la configurazione di bind sulla mia VPN riesco a puntare ogni applicazione senza problemi.
Ma cosa succede all’esterno della VPN?
Leggi il seguito di questo post »

Posted in Apache, Informatica, Sistemi | 1 Comment »

Apache2 + SSL: HTTPS

Posted by hosiris su ottobre 10, 2011

Nessuna formula segreta, solo una piccola descrizione su come possiamo installare il modulo ssl di apache sul nostro serverino.

Leggi il seguito di questo post »

Posted in Apache, Debian, Linux, Sistemi | 2 Comments »

Usiamo l’user-agent per il controllo degli accessi

Posted by hosiris su febbraio 12, 2011

Quando si scrivono le direttive per apache, non si è mai certi del fatto che si stia facendo il massimo per aumentare la sicurezza.
Il piccolo tip che propongo permette di utilizzare le informazioni che il browser invia ai web server, in particolare lo user-agent, come parametro di controllo.
All’interno delle direttive delle directory che vogliamo rendere sicure aggiungiamo le seguenti righe:

SetEnvIf User-Agent some ok=1
Order deny,allow
Deny from all
Allow from env=ok

In pratica stiamo dicendo ad apache di controllare lo user-agent… se corrisponde a “some” allora imposta una variabile (ok).
Ma adesso vi chiederete: come può un browser modificare questa informazione?
Firefox ha una estensione molto interessante che si chiama “user-agent switcher” che ci permette di creare degli header appropriati, permettendoci di sfruttare questa funzione.
Attenzione, non credete che con questo siete al sicuro. E’ un piccolo scoglio, ma può essere evitato, quindi usatelo con cautela e soprattutto evitate di usare user-agent prevedibili (ad esempio Pippo).
Anche wget permette di cambiare lo user-agent tramite il parametro “-U”.

Buon divertimento!

Posted in Apache, Sicurezza, Sistemi | Leave a Comment »

Apache: autenticazione avanzata

Posted by hosiris su maggio 17, 2010

Avevo parlato di come proteggere una cartella specifica utilizzando le direttive messe a disposizione da Apache.
Avevo anche spiegato che la tecnica che utilizza Mod_auth_basic ha dei difetti di sicurezza in quanto trasmette in chiaro le variabili di autenticazione.
Per ovviare a questo inconveniente usiamo un’altra direttiva: Mod_auth_digest; questa ci permette di criptare i dati.
Come al solito creiamo un file “.htaccess” all’interno della cartella da proteggere e scriviamo dentro:


AuthName Nome_a_piacere
AuthType Digest
AuthDigestDomain /cartella_da_proteggere/
AuthDigestProvider file
AuthUserFile ~/percorso_del_file/password
Require valid-user

una piccola nota sulla direttiva “AuthName”: è preferibile usare il nome del gruppo di appartenenza degli utenti, quindi io userò “user”.
Terminato con il file, passiamo all’impostazione della password per gli utenti, avevamo usato htpasswd con il vecchio metodo:


$ htdigest -c ~/percorso_del_file/password user utente_auth

vi ricordo che il parametro “-c” va passato solo la prima volta, perchè se usato ad ogni utente sovrascriverà il primo file.

Buona protezione.

Posted in Apache, Sistemi | Leave a Comment »

Protezione base di risorse web

Posted by hosiris su aprile 8, 2010

Non sto per trattare metodi di autenticazione ad aree riservate, ma di una piccola protezione per cartelle contenenti dati di media importanza.
Non useremo linguaggi esterni lato server, ma i moduli messi a disposizione da Apache.
Nello specifico il modulo è mod_auth_basic che permette di memorizzare utenti e password in file di testo. Il principale svantaggio di questa tecnica è che i dati scambiati viaggiano con una criptazione di tipo base64 che più per motivi di sicurezza è utilizzata per motivi di affidabilità della comunicazione, certo è che utilizzare tecnologie come SSL potrebbe aiutare a superare il problema.
Utilizzeremo dei file .htaccess posizionati nelle cartelle da proteggere. Ma prima dobbiamo creare il file delle password, per fare questo ci viene in aiuto l’utility htpasswd grazie alla quale possiamo memorizzare utenti e password accettati:


htpasswd -c /path/nome_file user1

in questo modo, grazie all’opzione -c, creiamo il file nella cartella indicata da path. A questo punto verrà chiesto di inserire la password e di confermarla. Se volessimo aggiungere altri utententi è sufficiente usare lo stesso comando senza -c come opzione:


htpasswd /path/nome_file user2

A questo punto modificate il file httpd.conf (o quello che è il vostro file di configurazione di apache) alla voce AllowOverride impostandola come AuthConfig.
Poi posizionatevi nella cartella di interesse e create un file nominato come .htaccess e scriviamo:


AuthName "DOWNLOAD"
AuthType Basic
AuthBasicProvider file
AuthUserFile /path/nome_file
Require valid-user

salvate e da questo momento chiunque tenti di entrare nella cartella in esame si vedrà comparire una finestrella che richiede l’autenticazione dell’utente.

Posted in Apache, Sistemi | Leave a Comment »