5.5. Rendere sicuro il Server HTTP Apache

Server HTTP Apache è uno dei servizi piu stabili e sicuri disponibile con Red Hat Enterprise Linux. Èpresente un gran numero di opzioni e tecniche per rendere Server HTTP Apache sicuro —, esse sonocosì numerose da non poter essere affrontate in questo contesto in modo più approfondito.

È importante, se state configurando Server HTTP Apache, leggere la documentazione disponibile per l'applicazione. Tale documentazione include il capitolo Server HTTP Apache nella Red Hat Enterprise Linux Reference Guide, il capitolo Configurazione di Server HTTP Apache nella Red Hat Enterprise Linux System Administration Guide, e il manuale Stronghold, disponibile su http://www.redhat.com/docs/manuals/stronghold/.

Di seguito viene riportata una lista delle opzioni alle quali un amministratore dovrebbe fare molta attenzione.

5.5.1. FollowSymLinks

Questa direttiva è abilitata per default, per questo motivo fate attenzione quando create un link simbolico al document root del Web server. Per esempio, non è buona idea fornire un link simbolico a /.

5.5.2. La direttiva Indexes

Questa direttiva è abilitata per default, ma potrebbe essere non desiderata. Se non volete che gli utenti leggano i file sul server, è consigliabile rimuoverla.

5.5.3. Direttiva UserDir

La direttiva UserDir è disabilitata per default in quanto essa conferma la presenza di un account utente sul sistema. Se desiderate abilitare il browsing della directory utente sul server, usate le seguenti direttive:

UserDir enabled 
UserDir disabled root

Queste direttive attivano il browsing della directory utente per tutte le directory utente ad eccezione di /root. Se desiderate aggiungere degli utenti all'elenco degli account disabilitati, aggiungere un elenco di utenti, delimitato da uno spazio, sulla riga UserDir disabled.

5.5.4. Non rimuovere la direttiva IncludesNoExec

Per default, il server-side include un modulo che non può eseguire i comandi. Non è consigliabile quindi cambiare questa impostazione se non siete obbligati a farlo, dato che essa permettere ad un aggressore di eseguire i comandi sul sistema.

5.5.5. Restrizione dei permessi per directory eseguibili.

Assicuratevi di assegnare i permessi di scrittura per qualsiasi directory contenente gli script o CGI, solo all'utente root. Questo può essere esguito inserendo i seguenti comandi:

chown root <directory_name>
chmod 755 <directory_name>

Altresì, verificate che ogni script in esecuzione sul sistema, funzioni come previsto prima di inserirlo nell'ambiente produttivo.