Sicurezza II A.A. 2010-2011
Apache e HTTPS
Speaker:
André Panisson, PhD student
Università degli Studi di Torino, Computer Science Department
Corso Svizzera, 185 – 10149, Torino, Italy
[email protected]
Sicurezza II, A.A. 2010/2011
Apache HTTP server
o Server web open-source e multipiattaforma
o Versione 1.0 rilasciata nel 1995
• A partire dal 1996 diventa il web server più popolare al mondo
o Utilizzato solitamente in combinazione con PHP e MySQL
Sicurezza II, A.A. 2010/2011
Download e installazione
o http://httpd.apache.org/
• http://archive.apache.org/dist/httpd/
o Scaricare la versione 2.2.13
o Ai nostri scopi è necessario anche il pacchetto OpenSSL (versione
1.0.0b), già installata sulle macchine del laboratorio
o Create una cartella di nome “apache” nella vostra HOME
o Eseguite i passi di configure, make e make install
./configure --enable-module=SO
--enable-ssl
--prefix=$HOME/apache
make
make install
Sicurezza II, A.A. 2010/2011
Avvio del demone http
o Il file apache/bin/apachectl serve per avviare o interrompere il
demone di Apache (httpd)
• apachectl start / restart
• apachectl stop
o Inizialmente non si riuscirà a lanciare il comando, perché non si
dispone dei permessi per avviare un demone in ascolto sulla porta di
default per http (80)
• Modificare il file di configurazione conf/httpd.conf
• Listen 8080
• ServerName dijkstraXY.labinfo.educ.di.unito.it
o Il comando ps auxw | grep httpd visualizza tutti i processi
relativi al demone http
o Per controllare la correttezza della sintassi dei file di configurazione,
eseguire httpd -t
Sicurezza II, A.A. 2010/2011
Una prima pagina web
o Nella directory htdocs risiedono i file html che vogliamo rendere
pubblici
o Editare il file htdocs/index.html a piacimento
o curl http://localhost:8080 -v
o Da browser, accedere all’indirizzo
http://localhost:8080/index.html
Sicurezza II, A.A. 2010/2011
File httpd.conf
o
conf/httpd.conf è il file di configurazione principale di Apache
• Contiene un insieme di direttive in plain text
• Le modifiche al file vengono percepite solo al riavvio del server
• Il carattere # è usato per commentare
o È possibile specificare delle direttive all’interno di specifici blocchi
• <Directory>, <DirectoryMatch>, <Files>, <FilesMatch>,
<Location>, <LocationMatch>, <VirtualHost>, …
• <Directory /usr/local/httpd/docs> direttive </Directory>
• <Directory "^/www/.*/[0-9]{3}"> direttive </Directory>
• È anche possibile annidare i blocchi di direttive
o Le direttive top level si riferiscono all’intero server
Sicurezza II, A.A. 2010/2011
File httpd.conf: direttive globali
o ServerRoot path
• La directory base di Apache
o Listen port
• La porta su cui il demone httpd è in ascolto
o ServerAdmin emailaddress
• L’indirizzo dell’amministratore del server
o ServerName URL
• Il nome di dominio del server
o Timeout n
• Tempo di attesa massimo per le richieste (POST, GET) in secondi
o DefaultType MIMEtype
• Il tipo MIME di default col quale il server fornisce i suoi file (specificato
nel Content-type della HTTP response)
Sicurezza II, A.A. 2010/2011
Accesso autenticato in chiaro: htpasswd
o Creare un sottoalbero di htdocs che sia accessibile solo da un
ristretto numero di utenti, autenticati tramite id-password
o È necessario creare un file di password, in una directory non
accessibile dall’esterno (e.g. apache/passwd)
o La creazione viene effettuata tramite il comando htpasswd
• htpasswd [options] password_file_path username
• Options:
• -c : crea un nuovo file
• -m, -s : cifra tramite MD5 o SHA1
• -p : salva la password in plaintext
• -D : cancella l’utente specificato
• …
htpasswd -c /usr/home/…/apache/passwd/password SpikeSpiegel
Sicurezza II, A.A. 2010/2011
Accesso autenticato in chiaro: httpd.conf
o Per specificare quali directory richiedono l’autenticazione via
password è necessario aggiungere delle direttive in httpd.conf
<Directory /usr/home/…/apache/htdocs/protected>
AuthType Basic
realm
AuthName “Bebop access”
AuthBasicProvider file
AuthUserFile /usr/home/…/apache/passwd/password
Require user SpikeSpiegel
</Directory>
autenticazione
via password
le password
sono memorizzate
in un file (default)
utente
autorizzato
path al file
delle password
o curl http://localhost:8080/protected -v
Sicurezza II, A.A. 2010/2011
Accesso autenticato in chiaro: group file
o Per garantire l’accesso ad un gruppo di utenti si può specificare
Require valid-user, oppure creare un file in cui si specificano
le identità dei membri autorizzati.
• Semplice sintassi: GroupName: userName1 userName2 …
BebopCrew: SpikeSpiegel JetBlack FayeValentine
<Directory /usr/home/…/apache/htdocs/protected>
AuthType Basic
AuthName “Bebop access”
AuthBasicProvider file
AuthUserFile /usr/local/apache/passwd/passwords
AuthGroupFile /usr/local/apache/passwd/groups
Require group BebopCrew
</Directory>
Sicurezza II, A.A. 2010/2011
Restrizione degli accessi: httpd.conf
o Possono essere specificate differenti limitazioni all’accesso
• Le clausole Order e Satisfy rendono flessibile la loro
combinazione
<Directory /usr/home/…/apache/htdocs/protected>
AuthType Basic
AuthName “Limited access”
AuthBasicProvider file
AuthUserFile /usr/local/apache/passwd/passwords
Require valid-user
Order allow, deny
Allow from 192.168.1.1
Deny from 192.231.2.2
Satisfy Any
</Directory>
Sicurezza II, A.A. 2010/2011
Configurazione distribuita: .htaccess (1)
o Tramite httpd.conf si gestisce la configurazione delle direttive in
modo centralizzato (i.e.: in un unico file)
o Alternativamente, è possibile specificare le medesime direttive in
diversi file .htaccess (file di configurazione distribuita) posizionati
nelle directory di interesse
• Le direttive sono valide per tutto il sottoalbero a partire dalla
directory in cui .htaccess è creato
• sovrascrive o specifica meglio le direttive di httpd.conf
o La configurazione distribuita dovrebbe essere usata solo se non si
ha accesso al file di configurazione principale
• Problemi di efficienza (ricerca dei file .htaccess)
• Problemi di sicurezza (si delega agli utenti la responsabilità di
configurazione)
Sicurezza II, A.A. 2010/2011
Configurazione distribuita: .htaccess (2)
o Per permettere l’uso dei file di configurazione locale bisogna
specificare la direttiva AllowOverride
<Directory …>
AllowOverride All / None / directive_type
</Directory>
o Per conoscere i possibili valori di directive-type, consultare il
manuale di Apache
• Ad esempio le opzioni di autenticazione possono essere
specificate:
• AllowOverride AuthConfig
Sicurezza II, A.A. 2010/2011
File httpd.conf: root directory
o È importante specificare delle direttive molto restrittive per la
directory root
o Permessi di accesso per quei sottoalberi del file system che si
desidera rendere accessibili saranno specificati da successivi blocchi
<Directory>
<Directory />
Options FollowSymLinks
AllowOverride None
Order deny, allow
Deny from all
</Directory>
<FilesMatch “^\.ht”>
Order allow,deny
Deny from all
Satisfy All
</FilesMatch>
Sicurezza II, A.A. 2010/2011
Virtual Hosting
o Può essere utile utilizzare una unica macchina fisica per ospitare più
servizi web. Questa tecnica viene denominata Virtual Hosting
• Name-based: differenti siti web disponibili presso un unico
indirizzo IP
• Il client invia una richiesta HTTP specificando il nome di dominio
desiderato; Apache si occupa di far pervenire la richiesta al
servizio giusto
• IP-based: uno stesso sito è raggiungibile su diversi indirizzi IP
• Utilizzato per server multi-homed, con un indirizzo IP diverso su
ogni interfaccia
o Vedremo i Virtual Host name-based
Sicurezza II, A.A. 2010/2011
Name-based Virtual Host
o Nel file httpd.conf, decommentare
Include conf/extra/httpd-vhosts.conf
o Creare due cartelle (loopback e localhost) in htdocs
o Nel file conf/extra/httpd-vhosts.conf creare due VirtualHost
<VirtualHost *:8080>
ServerAdmin [email protected]
DocumentRoot "…/htdocs/localhost"
ServerName localhost
ServerAlias …
ErrorLog "logs/localhost-error_log"
CustomLog "logs/localhost-access_log" common
</VirtualHost>
(Lo stesso per loopback (ServerName 127.0.0.1)
Sicurezza II, A.A. 2010/2011
Accesso ai Virtual Host
o Da browser, digitare
• http://localhost:8080
• http://127.0.0.1:8080
o Appariranno le due diverse pagine che sono state definite nelle
directory localhost e loopback
Sicurezza II, A.A. 2010/2011
Autenticazione sicura con HTTPS
o Le password dell’autenticazione Basic sono inviate in chiaro!
o Una soluzione è rappresentata dall’uso di HTTPS, ossia il protocollo
HTTP reso sicuro tramite SSL
Sicurezza II, A.A. 2010/2011
Abilitazione di SSL: creazione dei certificati
o Con OpenSSL, creare una coppia di chiavi RSA ed un certificato
autofirmato di una CA (ca-bundle.crt)
o Creare una coppia di chiavi RSA per il server. Rinominare la chiave
segreta come server.key
o Con la chiave della CA, creare un certificato per il web server
(server.crt)
Sicurezza II, A.A. 2010/2011
Richiami OpenSSL: generazione certificati
o Per creare il certificato autofirmato della CA
openssl genrsa -out CA.key 2048
openssl rsa -pubout -in CA.key -out CA.pub
openssl req -key CA.key -new -x509 \
-days 365 -out ca-bundle.crt
o Per creare il certificato del server
openssl
openssl
openssl
openssl
genrsa -out server.key 2048
rsa -pubout -in server.key -out server.pub
req -key server.key -new -out server.req
x509 -days 365 -CA ca-bundle.crt -CAkey \
CA.key -CAcreateserial -CAserial ca.srl \
-req -in server.req -out server.crt
Sicurezza II, A.A. 2010/2011
Abilitazione di SSL: modifiche ad httpd.conf
o Le seguenti righe in httpd.conf devono essere decommentate
Include conf/extra/httpd-ssl.conf
<IfModule ssl_module>
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
</IfModule>
Sicurezza II, A.A. 2010/2011
Abilitazione di SSL: impostazione del VirtualHost
o Posizionare server.key e servert.crt in apache/conf
o Posizionare ca-bundle.crt in una nuova directory apache/conf/ssl.crt
o Modificare il file conf/extra/httpd-ssl.conf
Listen 8443
…
<VirtualHost *:8443>
…
ServerName localhost:8443
DocumentRoot “…/apache/htdocs/ssl”
SSLEngine on
SSLCertificateFile “…/apache/conf/server.crt”
SSLCertificateKeyFile “…/apache/conf/server.key”
SSLCACertificateFile “…/apache/conf/ssl.crt/ca-bundle.crt”
…
</VirtualHost>
Sicurezza II, A.A. 2010/2011
Connessione tramite HTTPS
Con un browser, accedere a https://localhost:8443
o Verrà richiesto di dare fiducia al certificato della CA
o
Sicurezza II, A.A. 2010/2011
Common name mismatch
Nel caso in cui il nome di dominio dell’URL richiesto dal browser e il
common name del certificato del server non corrispondano, il browser
mostra un disclaimer
o Provate, ad esempio, ad accedere al servizio specificando l’IP della
macchina e non “localhost”
o
Sicurezza II, A.A. 2010/2011
Successo!
o Se tutti i passi sono stati eseguiti correttamente il browser
dovrebbe segnalare che la connessione è stata stabilita in modo
protetto
Sicurezza II, A.A. 2008/2009
Sicurezza II, A.A. 2008/2009
Buone proprietà di HTTPS
o L’uso di HTTP su SSL garantisce diverse buone proprietà
• Autenticazione del server
• Scambio di una chiave di sessione per cifrare flusso di dati
• (Autenticazione del client)
• Se il client è in possesso di un certificato di una sua chiave
pubblica è possibile inviarlo al server in modo che la
comunicazione sia two-way authenticated
o La possibilità dell’asimmetricità del protocollo di autenticazione
rende questo schema molto utile in servizi reali, dove l’utente vuole
avere assicurazione sull’identità del server ed inviare i propri dati in
modo sicuro, ma senza dover possedere un certificato
• E.g.: servizi bancari on-line
Sicurezza II, A.A. 2010/2011
Installazione PHP
o Linguaggio di scripting server-side, necessario se si vuole sviluppare
o
o
o
o
un servizio web non banale
Scaricare la versione 5.3.6 (www.php.net)
Scaricare la libreria LibXML2 2.7.8 (ftp://xmlsoft.org/libxml2)
Estrarre entrambi i pacchetti nella home
Eseguire, per PHP, i seguenti comandi
./configure -prefix=$HOME/php \
--with-apxs2=$HOME/apache/bin/apxs \
--with-libxml-dir=$HOME/libxml2-2.7.8
make
Sicurezza II, A.A. 2010/2011
Installazione PHP: modifica configurazione Apache
o Nel file httpd.conf, aggiungere
LoadModule php5_module modules/libphp5.so
<Files *.php>
SetOutputFilter PHP
SetInputFilter PHP
LimitRequestBody 9524288
</Files>
AddType application/x-httpd-php .php
AddType application/x-httpd-php-source .phps
DirectoryIndex index.php
o Copiare il file php-5.3.6/libs/libphp5.so in apache/modules
Sicurezza II, A.A. 2010/2011
Una pagina PHP di test
o Creare una pagina index.php accessibile via HTTP
<?php
phpinfo();
?>
Sicurezza II, A.A. 2010/2011
Piattaforme alternative
o
o
Il pacchetto WAMP fornisce la possibilità di installare facilmente tutte le
componenti per lo sviluppo di un web-service sicuro in ambiente Windows
• http://www.wampserver.com/
Con Ubuntu, Linux, Windows e Mac potete provare XAMPP
• http://www.apachefriends.org/en/xampp.html
Sicurezza II, A.A. 2010/2011
Sicurezza II A.A. 2010-2011
Apache e HTTPS
Grazie per l’attenzione!
Speaker:
André Panisson, PhD student
Università degli Studi di Torino, Computer Science Department
Corso Svizzera, 185 – 10149, Torino, Italy
[email protected]
Sicurezza II, A.A. 2010/2011
©2009 by André Panisson. Permission to make digital or hard copies of part or all of this
material is currently granted without fee provided that copies are made only for personal
or classroom use, are not distributed for profit or commercial advantage, and that new
copies bear this notice and the full citation.
Sicurezza II, A.A. 2010/2011