Securitatea Serverelor UNIX-Apache

Configurarea Serverului Apache

Pentru a asigura servicii HTTP, serverul Apache trebuie sa fie instalat

în sistem (în mod uzual, fiind vorba de un pachet RPM în Linux sau

de un program executabil .exe în Windows), iar daemon-ul httpd pornit.

Apache este un sistem modular, alcatuit dintr-un server de baza si

mai multe module, care sunt încarcate dinamic într-un mod similar cu

funcþionarea modulelor din nucleul Linux.

Ne vom referi în continuare la modalitaþile de configurare ale

serverului Apache în Linux. Apache poate fi configurat cu ajutorul interfe

þei grafice apacheconf (vezi meniul System::Apache Configuration

Tool din managerul de ferestre favorit). Fisierul de configurare principal

este httpd.conf si este localizat de obicei în directorul /etc/httpd.

Mai exista doua fisiere de configurare, access.conf si srm.conf, care

au fost însa înlaturate începând cu versiunea 1.3.4.

Fisierul de configurare conþine câte o directiva pe fiecare linie, acestea

putând fi continuate pe linia urmatoare adaugând la sfârsitul acesteia

caracterul ... Comentariile încep cu caracterul .#. (ca în shell-urile

Unix). Directivele din fisierul principal de configurare se refera la configur

ari globale ale serverului. Pentru a aplica anumite aspecte ale

serverului doar unei zone din server, directivele trebuie incluse în cadrul

secþiunilor <Directory>, <DirectoryMatch>, <Files>, <FilesMatch>,

<Location> sau <LocationMatch>. Acest lucru poate fi realizat si prin

plasarea unui fisier denumit .htaccess în directorul în care se doreste

modificarea comportamentului serverului, conþinând directivele dorite.

De asemenea, Apache ofera posibilitatea de a servi mai multe situri

Web simultan, altfel spus, gazduire virtuala (virtual hosting).

Directivele pot fi specificate în cadrul secþiunii <VirtualHost>, caz în

care se vor referi doar la un anumit sit.

Pentru alte detalii privind directivele Apache, cititorul interesat

poate consulta referinþele bibliografice.

Administratorul de sistem are, de asemenea, posibilitatea de a configura

fisierele jurnal Apache. Serverul genereaza doua jurnale: primul,

localizat în genere în /var/log/httpd/access_conf, înregistreaza

cererile de accesare primite de catre server, iar al doilea, localizat de obicei

în /var/log/httpd/error_log, memoreaza erorile aparute în decursul

rezolvarii cererilor (pagini inexistente, erori de conexiune etc.).

II. Configurarea accesului la paginile WEB

În anumite cazuri, este necesar sa se restricþioneze accesul la anumite

documente, prin intermediul autentificarii prin nume de utilizator si

parola sau în funcþie de adresa calculatorului clientului Web.

2.1 Autentificarea

Pentru a realiza autentificarea utilizatorilor, vom parcurge doi pasi:

(1) Se creeaza un fisier conþinând numele si parolele utilizatorilor care

vor avea acces la anumite date de pe serverul Web (în particular

Apache);

(2) Se configureaza serverul pentru a seta care resurse vor fi protejate si

care sunt utilizatorii având permisiunea accesarii lor, dupa introducerea

unei parole valide.

Lista utilizatorilor si parolelor asociate va fi memorata într-o

maniera similara fisierului /etc/passwd din Unix. Din raþiuni de securitate,

fisierul conþinând aceasta lista nu va fi stocat în directoarele compuse

din documente HTML, ci la o locaþie mai sigura (e.g. în directoarele

/usr/local/etc/httpd sau /etc/httpd). În exemplele urma-

toare, vom numi acest fisier users, iar pentru a-l manipula vom folosi

comanda htpasswd prin care vom adauga/sterge utilizatorii doriþi.

Desi parolele sunt criptate, fisierul de autentificare este unul text, care poate fi usor exploatat de persoane rau-voitoare. Ramâne în responsabilitatea administratorului sistemului sa seteze permisiunile de

rigoare asupra fisierului si directorului unde rezida.

Crearea unui fisier de autentificare se realizeaza prin apelul de mai

jos (putem stabili si modul de criptare, de exemplu MD5 cu opþiunea

-m sau SHA cu opþiunea -s):

htpasswd -c /etc/httpd/users busaco

Aceasta linie ne permite sa asignam sau sa modificam parola unui utilizator,

parola fiind solicitata de la intrarea standard. Configurarea

serverului se poate realiza fie prin fisierul httpd.conf, fie prin .htaccess,

indicând o zona protejata, de obicei în funcþie de directoarele

dorite a fi accesate pe baza de autentificare. Fisierul .htaccess va fi stocat

în directorul asupra caruia dorim sa modificam comportamentul

implicit al serverului Web (plasarea lui într-un anumit director va avea

efect asupra tuturor sub-directoarelor acestuia).