[LugBS] sicurezza di apache2
Andrea Gelmini
andrea.gelmini a lugbs.linux.it
Mer 27 Gen 2010 10:09:43 UTC
Il 27 gennaio 2010 08.48, Diego Guella <diego.guella a sircomtech.com> ha scritto:
> Se no, cosa vuol dire quella riga di log?
> Se si, come correggo la configurazione? E come posso simulare un attacco del
> genere, per vedere che effettivamente ho sistemato il tutto?
Oddio, è una banale richiesta http, definirla un attacco mi sembra eccessivo...
Ora, i concetti sono due:
a) apache, quando non diversamente specificato, torna il virtual host
di default (tipicamente, sotto Debian, definito nel file 000-default,
che non fa altro che puntare in /var/www), su richieste di dominio che
non conosce, o anche via richieste dirette per IP;
b) per testare la cosa ti basta operare di telnet;
c) oppure modificare /etc/hosts per forzare il tuo browser ad
associare un dominio ad un IP, a prescindere dai DNS o dall'esistenza
dello stesso;
d) lasciare la classica pagina "It works!" o una qualsiasi altra forma
di controllo è utile per quando non ti funziona qualcosa, relativo al
webserver, e vuoi controllare al volo dal client se Apache funzioni
oppure no; ma questo ne è un uso intelligente, io in genere ci metto
un redirect a urolutte.com.
e) per disabilitare la cosa puoi aggiungere un deny (in realta' mi par
di ricordare che fosse possibile disabilitare la cosa in diversi modi,
ma ti basta consultare qualcuno degli sterminati libri su Apache).
ciao,
gelma
Maggiori informazioni sulla lista
Lug
|