Archivio per marzo, 2009

20 ways to Secure your Apache Configuration

Posted in Webediting with tags , , on 26 marzo 2009 by xpmatrix

Here are 20 things you can do to make your apache configuration more secure. Disclaimer: The thing about security is that there are no guarantees or absolutes. These suggestions should make your server a bit tighter, but don’t think your server is necessarily secure after following these suggestions. Additionally some of these suggestions may decrease performance, or cause problems due to your environment. It is up to you to determine if any of the changes I suggest are not compatible with your requirements. In other words proceed at your own risk

First, make sure you’ve installed latest security patches
There is no sense in putting locks on the windows, if your door is wide open. As such, if you’re not
patched up there isn’t really much point in continuing any longer on this list. Go ahead and
bookmark this page so you can come back later, and patch your server.

Hide the Apache Version number, and other sensitive information.
By default many Apache installations tell the world what version of Apache you’re running, what
operating system/version you’re running, and even what Apache Modules are installed on the
server. Attackers can use this information to their advantage when performing an attack. It also
sends the message that you have left most defaults alone.
There are two directives that you need to add, or edit in your httpd.conf file:
ServerSignature Off
ServerTokens Prod
The ServerSignature appears on the bottom of pages generated by apache such as 404 pages,
directory listings, etc.
The ServerTokens directive is used to determine what Apache will put in the Server HTTP
response header. By setting it to Prod it sets the HTTP response header as follows:
Server: Apache
If you’re super paranoid you could change this to something other than “Apache” by editing the
source code, or by using mod_security (see below).

Make sure apache is running under its own user account and group
Several apache installations have it run as the user nobody. So suppose both Apache, and your mail
server were running as nobody an attack through Apache may allow the mail server to also be
compromised, and vise versa.
User apache
Group apache

Ensure that files outside the web root are not served

We don’t want apache to be able to access any files out side of its web root. So assuming all your
web sites are placed under one directory (we will call this /web), you would set it up as follows:
<Directory />
Order Deny,Allow
Deny from all
Options None
AllowOverride None
</Directory>
<Directory /web>
Order Allow,Deny
Allow from all
</Directory>
Note that because we set Options None and AllowOverride None this will turn off all options and
overrides for the server.

Turn off directory browsing
You can do this with an Options directive inside a Directory tag. Set Options to either None or –
Indexes
Options -Indexes

Turn off server side includes
This is also done with the Options directive inside a Directory tag. Set Options to either None or
-Includes
Options -Includes

Turn off CGI execution
If you’re not using CGI turn it off with the Options directive inside a Directory tag. Set Options
to either None or -ExecCGI
Options -ExecCGI

Don’t allow apache to follow symbolic links
This can again can be done using the Options directive inside a Directory tag. Set Options to
either None or -FollowSymLinks
Options -FollowSymLinks

Turning off multiple Options
If you want to turn off all Options simply use:
Options None
If you only want to turn off some separate each option with a space in your Options directive:
Options -ExecCGI -FollowSymLinks -Indexes

Turn off support for .htaccess files
This is done in a Directory tag but with the AllowOverride directive. Set it to None.
AllowOverride None
If you require Overrides ensure that they cannot be downloaded, and/or change the name to
something other than .htaccess. For example we could change it to .httpdoverride, and block
all files that start with .ht from being downloaded as follows:
AccessFileName .httpdoverride
<Files ~ “^\.ht”>
Order allow,deny
Deny from all
Satisfy All
</Files>

Run mod_security
mod_security is a super handy Apache module written by Ivan Ristic, the author of Apache Security
from O’Reilly press.
You can do the following with mod_security:
• Simple filtering
• Regular Expression based filtering
• URL Encoding Validation
• Unicode Encoding Validation
• Auditing
• Null byte attack prevention
• Upload memory limits
• Server identity masking
• Built in Chroot support
• And more

Disable any unnecessary modules
Apache typically comes with several modules installed. Go through the apache module
documentation and learn what each module you have enabled actually does. Many times you will
find that you don’t need to have the said module enabled.
Look for lines in your httpd.conf that contain LoadModule. To disable the module you can
typically just add a # at the beginning of the line. To search for modules run:
grep LoadModule httpd.conf
Here are some modules that are typically enabled but often not needed: mod_imap, mod_include,
mod_info, mod_userdir, mod_status, mod_cgi, mod_autoindex.

Make sure only root has read access to apache’s config and binaries
This can be done assuming your apache installation is located at /usr/local/apache as follows:
chown -R root:root /usr/local/apache
chmod -R o-rwx /usr/local/apache

Lower the Timeout value
By default the Timeout directive is set to 300 seconds. You can decrease help mitigate the potential
effects of a denial of service attack.
Timeout 45

Limiting large requests
Apache has several directives that allow you to limit the size of a request, this can also be useful for
mitigating the effects of a denial of service attack.
A good place to start is the LimitRequestBody directive. This directive is set to unlimited by
default. If you are allowing file uploads of no larger than 1MB, you could set this setting to
something like:
LimitRequestBody 1048576
If you’re not allowing file uploads you can set it even smaller.
Some other directives to look at are LimitRequestFields, LimitRequestFieldSize and
LimitRequestLine. These directives are set to a reasonable defaults for most servers, but you may
want to tweak them to best fit your needs. See the documentation for more info.

Limiting the size of an XML Body
If you’re running mod_dav (typically used with subversion) then you may want to limit the max size
of an XML request body. The LimitXMLRequestBody directive is only available on Apache 2, and
its default value is 1 million bytes (approx 1mb). Many tutorials will have you set this value to 0
which means files of any size may be uploaded, which may be necessary if you’re using WebDAV
to upload large files, but if you’re simply using it for source control, you can probably get away
with setting an upper bound, such as 10mb:
LimitXMLRequestBody 10485760

Limiting Concurrency
Apache has several configuration settings that can be used to adjust handling of concurrent requests.
The MaxClients is the maximum number of child processes that will be created to serve requests.
This may be set too high if your server doesn’t have enough memory to handle a large number of
concurrent requests.
Other directives such as MaxSpareServers, MaxRequestsPerChild, and on Apache2
ThreadsPerChild, ServerLimit, and MaxSpareThreads are important to adjust to match your
operating system, and hardware.

Restricting Access by IP
If you have a resource that should only by accessed by a certain network, or IP address you can
enforce this in your apache configuration. For instance if you want to restrict access to your intranet
to allow only the 176.16 network:
Order Deny,Allow
Deny from all
Allow from 176.16.0.0/16
Or by IP:
Order Deny,Allow
Deny from all
Allow from 127.0.0.1

Adjusting KeepAlive settings
According to the Apache documentation using HTTP Keep Alive’s can improve client performance
by as much as 50%, so be careful before changing these settings, you will be trading performance
for a slight denial of service mitigation.
KeepAlive’s are turned on by default and you should leave them on, but you may consider changing
the MaxKeepAliveRequests which defaults to 100, and the KeepAliveTimeout which defaults to
15. Analyze your log files to determine the appropriate values.

Run Apache in a Chroot environment
chroot allows you to run a program in its own isolated jail. This prevents a break in on one service
from being able to effect anything else on the server.
It can be fairly tricky to set this up using chroot due to library dependencies. I mentioned above
that the mod_security module has built in chroot support. It makes the process as simple as adding
a mod_security directive to your configuration:
SecChrootDir /chroot/apache
There are however some caveats however, so check out the docs for more info.

19 motivi per passare a Linux

Posted in Informatica on 22 marzo 2009 by xpmatrix

1- Non pagare 400€ per il tuo sistema operativo

2-Dimenticati dai virus

3-Il tuo sistema è instabile?Sei stanco delle schermate d’errore?

4-Quando Linux è installato ci sono già tutti i programmi di cui hai bisogno!

5-Windows rallenta giorno dopo giorno.Linux No!

6-Bisogno di nuovo software? Non ti preoccupare di cercarlo in rete, Linux lo prende per te.

7-Linux parla anche italiano.

8-Linux difende il tuo pc anche da dialer, Spyware, trojan e tutti gli altri malware.

9-Dimentica cosa sia la deframmentazione!

10-Vivi l’ebrezza di un pc davvero veloce!!!

11-Il software libero è completamente sotto il tuo controllo!

12-Non cambaire pc ogni anno perché i programmi richiedono sempre più risorse:con Linux non serve

13-Stanco di avere iu cd dei driversparsi per casa, o di doverli cercare su internet se li hai persi? Con linux non serve.
14-Hai bisogno di aiuto immediato?No Problem!

15-…e se proprio non puoi fare a meno di qualche programma di Windows, ormai molti funzionano anche sotto linux

16- Perché copiare software illegamentequnado puoi averlo gratis?

17-Aggiorna tutti i software con un solo click

18-Stanco di riavviare dopo qualsiasi cosa che installi?Con linux non serve

19-Guarda gli stupendi effetti 3D di nuova generazione.

Come Creare un cd autorun

Posted in Informatica with tags on 10 marzo 2009 by xpmatrix

Per potere farsi che un CD abbia un autorun cioè  che un applicazione sia eseguito in automatico quando il cd e inserito (ovviamente deve essere impostato il autorun sul lettore), oppure quando si fa doppio click in risorse del computer, deve essere presente sul cd un file chiamato autorun.inf.

Questo file di testo potrà avere questa struttura:
[autorun]
open=si scriverà il nome del eseguibile
icon= si scriverà il nome dell’icona del cd che si visualizzerà  in risorse del computer.

Come eseguibile, uso ShellExec.exe al quale aggiungo la mia pagina html (es. open=ShellExec.exe index.html )

Usare Simple DNS Plus

Posted in Informatica with tags , , on 8 marzo 2009 by xpmatrix

Quando si crea un intranet, è ovvio che si desidera accedere all’intranet digitando http://intranet e non http://192.168.1&#8230;. No?
Ovviamente, esiste 2 modi:
-statico: scrivo sul file c:/%root_system%/windows/system32/drivers/etc/hosts l’indirizzo ip e l’alias scelto (su windows xp).
Il problema è che questo sistema funziona soltanto sul pc in questione, non viene applicato ad un altro pc sulla rete.
-dynamico: usando un software server dns
il quale permetterà di risolvere in indirizzo ip i nomi (come qualsiasi dns server).

Come prova si può usra Simple DNS Plus, molto facile da usare.

1.Si installa il software come servizio.

2.Si imposta come dns server primario nelle impostazione di rete.

3. si crea dei records col il nome scelto e con l’ip del web server

Usare OpenDNS

Posted in Internet with tags , , on 3 marzo 2009 by xpmatrix

I server DNS sono, quindi, degli elenchi telefonici che garantiscono la corrispondenza fra i siti Internet e i loro indirizzi IP. Trovato l’indirizzo IP corrispondente al mio blog, quest’ultimo sarà visualizzato nel vostro browser. E’ possibile modificare le impostazioni del nostro computer per far si che questo contatti un server DNS alternativo a quello del nostro provider.

OpenDNS mette a disposizione di tutti dei server DNS con delle funzionalità in più rispetto a quelli tradizionali dei provider. Sostituendolo ai server DNS del nostro provider, OpenDNS intercetta le connessioni ad Internet e ci protegge, prima di tutto, dai siti di phishing, che vengono bloccati.

clip_image0012

Se digitiamo l’indirizzo di un sito Internet in una forma sbagliata, questo sarà corretto. Per intenderci, se avete scritto http://www.salvatore-aranzulla.cm (indirizzo errato) venite portati su http://www.salvatore-aranzulla.com (indirizzo corretto).

OpenDNS cerca di garantire, inoltre, una maggiore velocità di risposta rispetto ai DNS dei provider. Il progetto è del tutto gratuito e vive della pubblicità che viene visualizzata se si digita l’indirizzo di un sito Internet inesistente. In quanto gratuito, OpenDNS è libero da ingerenze esterne.

Se da una parte i provider con i loro DNS posso censurare certi siti Internet, dall’altra possiamo aggirare l’ostacolo con OpenDNS. Dal 24 Febbraio – il giorno del mio compleanno – i navigatori italiani, ad esempio, non possono più accedere, per decisione dello Stato italiano, a oltre 500 siti web di casinò on-line e gioco d’azzardo esteri (leggi L’effimera censura italiana si supera così).

Per impostare i DNS di OpenDNS, dovete semplicemente seguire le istruzioni presenti in questa pagina. In Windows XP, ad esempio, andate su Start/Connetti a/Mostra tutte le connessioni. Nella finestra che si apre, selezionate con il tasto destro del mouse la vostra connessione ad Internet e fate click sul tasto Proprietà.

A questo punto, spostatevi nella scheda Rete, selezionate la voce Protocollo Internet (TCP/IP) e fate click sul tasto Proprietà. Nella finestra che si apre, mettete un segno di spunta alla voce Utilizza i seguenti indirizzi server DNS e scrivete i seguenti indirizzi IP:

208.67.222.222
208.67.220.220

clip_image002

Per verificare che state navigando veramente usando i DNS di OpenDNS e non quelli del vostro provider, aprite il sito Internet http://welcome.opendns.com/

Esegui

Posted in Windows with tags , on 3 marzo 2009 by xpmatrix

XP possiede moltissimi programmi che si possono lanciare scrivendone il nome in Start > Esegui. Alcuni di essi possono essere eseguiti più velocemente così che non andando ogni volta a ricercarne l’icona tra le utilità di sistema o altrove, altri invece non avendo un collegamento in Programmi sono quasi sconosciuti, pur essendo utilissimi!

Eccone un elenco parziale (sarebbero troppi da elencare tutti!), collaudati su un Windows XP Professional SP2 (quindi su XP Home o windows 2000 potrebbe mancarne qualcuno).

La lista potrebbe subire saltuariamenti aggiunte

accwiz – Impostazione guidata di accesso facilitato.
calc (Calculator) – Calcolatrice
chkdsk (Check Disk) – Controllo errori nel disco fisso
charmap (Mappa caratteri) – Mostra e permette di inserire tutti i caratteri dei font installati
cleanmgr (Pulizia disco) – Eminina i file file obsoleti o temporaneirecuperando spazio sul disco
cliconfg – Gestione utilità di rete del client di SQL server
clipbrd (Visualizzatore di Clipboard) – mostra quanto memorizzato nella clipboard con il Copia o Ctrl+C
cmd – lancia il prompt di comandi. I comandi DOS vanno digitati qui
conf (NetMeeting) – Programma di chat e videoconferenza
comp (Compare) – Paragona due file
fsquirt – Trasferimenti guidato BlueTooth
control – Apre il Pannello di Controllo
control userpasswords2 – permette di accedere al proprio account protetto da password senza doverla digitare a ogni avvio
dcomcnfg (Microsoft Management Console) – Strumenti di amministrazione utilizzabili per gestire reti, computer, servizi e altri componenti di sistema
ddeshare – strumento per la gestione delle conversazioni DDE
dialer (Connessione Telefonica) – Permette di telefonare via PC usando la normale linea telefonica
diskpart – tool da linea di comando per la gestione di volumi e partizioni

driverquery – Mostra la lista dei driver installati
drwtsn32 (Dr Watson) – Strumento di individuazione e risoluzione dei problemi
dxdiag (Diagnostico per DirectX) – Fornisce informazioni sulle DirectX installate e ne testa il funzionamento
edit – Editor di testo DOS
esentutl – Server Database Storage Utilitie
eudcedit (Editor di caratteri) – Editor di font personalizzati
explorer – Apre una finestra di explorer
eventvwr (Event Viewer) – Visualizzatore degli eventi di Windows
freecell – Esegue l’omonimo solitario
ftp – client FTP da linea di comando
gpedit (Group Policy Editor) – Per la modifica e gestione di gruppi e permessi
gpresult (Group Policy Results) – Mostra le informazioni circa i permessi dei gruppi presenti sul PC
iexpress (IExpress Wizard) – Crea archivi auto-estraenti per installazioni
ipconfig – Mostra le infromzazioni circa l’IP e la subnet
label – Cambia l’etichetta dei volumi
magnify – avvia l’opzione di ingrandimento dello schermo
mobsync (Microsoft Synchronization Manager) – Sincronizza file presenti in una rete
mspaint – Avvia l’editor di immagini PaintBrush
mplay32 (Windows Media Player 5.1) – Vecchia versione del popolare player multimediale
mplayer2 (Windows Media Player 6.4) – Vecchia versione del famoso player Microsoft
msconfig (System configuration) – Utilità di configurazione. Gestisce anche l’esecuzione dei file all’avvio di Windows
mstsc – connessione a computer remoto
netstat (Network Connection Status Monitor) – mostra le connessioni presenti sul PC
notepad – Avvia il Blocco Note
odbcad32 (ODBC Data Source Administrator) – Tool per l’amministrazione di dati ODBC
packager (Object Packager) – strumento che consente di creare un pacchetto e inserirlo in un file
perfmon (Monitor di sistema) – controlla le prestazioni sistema in modo dettagliato
progman (Program Manager) – Program Manager consente di organizzare i programmi in gruppi o avviarli. Dal SP2 sembra essere presente ma non funzionante
rasphone (Remote Access phone book) – piccolo gestore delle connessioni di rete.
regedit o regedt32 (Editor di registro) – visualizza e modifica il registro di Windows
rsop.msc – consente di visualizzare il gruppo di criteri risultante per un utente
secpol.msc (Security Policy) – Mostra le impostazioni di portezione locale
services.msc – Elenca i servizi in esecuzione
shrpubw (Wizard per la condivisione di cartelle in rete) – Creazione guidata per la condivisione delle cartelle
sigverif (Tool di verifica signature dei file) – verifica la firma digitale nei file
sndvol32 (Controllo volume) – controllo del volume audio
sol – (Solitare). Avvia il solitario di carte
spider – Avvia il solitario chiamato Spider
sysedit (Editor della configurazione di Sistema) – Per la modifica di System.ini, Win.ini, Config.sys e Autoexec.bat
syskey (Syskey) – Protezione del database di account di Windows tramite crittografia aggiuntiva. Una volta attivata non sarà disabilitabile
telnet (Microsoft Telnet Client) – Programma con funzioni di base per telnet
verifier (Driver Verifier Manager) – Verifica i driver
winchat (Windows for Workgroups Chat) – semplice chat per PC in LAN
winver (Windows Version) – Mostra le informazioni sul sistema operativo
wmplayer – Eseguie il Windows Media Player

Vocabolario Torrent

Posted in Informatica with tags , on 1 marzo 2009 by xpmatrix

VOCABOLARIO TORRENT

una piccola guida per aiutarvi nei meandri del mondo .torrent

CLIENT: programma usato per scaricare file torrent, esistono vari client,
(utorren o azureus).

UPLOADER: è colui che “uppa” cioe mette a disposizione per primo e
crea la relaise (recensione) di un determinato file.

PEERS: un peer non è altro che un singolo utente della rete Torrent

LEECH: i leech sono gli utenti che non hanno ancora completato il
download e che, quindi, stanno condividendo solo una parte
del file.

SEED: è colui che ha effettuato l’upload di un nuovo file o che ha
finito di scaricarne uno ed è rimasto in condivisione (seeding).
è un “seme” una fonte completa. qualora non dovesse esserci
nemmeno un seed in rete, il download non potrà
essere completato da nessuno degli altri peers connessi.

SWARM: è l’insieme di tutti i peer (seed & leech ) che condividono lo
stesso torrent

TRACKER: server che si occupa di distribuire i torrent e inviare le informazioni
di connessione ai peer

ANOUNCE: ad intervalli di tempo regolari, i client torrent inviano al
Tracker un piccolo quantitativo di dati per informarlo
della sua situazione (seed o leech). in questo modo
il tracke può “annunciare” la situazione a tutti
i peers connessi a quel .torrent

SHARE RATIO:rapporto tra dati scaricati e dati inviati, viene usato per
valutare l’impegno di un peer

DHT: è un sistema per scambiare informazioni sul file torrent, senza
passare per il tracker centralizzato. in pratica, ciascun peer
diventa una sorta di tracker decentralizzato. per funzionare, il
Distributed Hash Table va abilitato nel client (se supportato)

CHOCKED: è lo stato di un uploader quando non può più inviare dati.
accade ad esempio quando ha raggiunto la soglia massima di
upload simultanei impostati nel proprio client

SNUBBED: se il client non riceve dati per in certo periodo di tempo
(solitamente 60 sec.) la connessione viene “snobbata”.
Questo serve per incrementare le velocità di download nei casi
in cui, ad esempio, un peer è collegato ad altri peer ma è in una
situazione di “chocked”

RESEED: quando un torrent resta senza seed, chi l’ha completato può
decidere di effettuare un reseed, rimettendo a disposizione il file.
in questo modo consente agli altri peer (leecher nello specifico)
di completare il download.