CONFIGURAZIONE DEI SERVIZI (seconda parte)

Transcript

1 Corso ForTIC C2 LEZIONE n. 10 CONFIGURAZIONE DEI SERVIZI (seconda parte) WEB SERVER PROXY FIREWALL Strumenti di controllo della rete I contenuti di questo documento, salvo diversa indicazione, sono rilasciati sotto una licenza Creative Commons License. Per prendere visioni dei termini della licenza visitare il sito o richiederne una copia a Creative Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA Sandra Farnedi 1/15

2 I SERVIZI DI RETE (seconda parte) Vediamo altri servizi presenti in ambito TCP/IP, i relativi protocolli, i programmi che li implementano, i servizi corrispondenti e i relativi file di configurazione 1 : DESCRIZIONE del servizio trasferimento di ipertesti PROTOCOLLO di riferimento NOME del servizio DIRECTORY e FILE associati HTTP httpd /etc/httpd/conf/httpd.conf /var/www/html thttpd /etc/thttpd/thttpd.conf /var/www proxy SNMP squid /etc/squid/squid.conf firewall iptables 1 I nomi dei servizi e soprattutto i file di configurazione variano al variare della distribuzione ma la loro struttura è standard Sandra Farnedi 2/15

3 WEB SERVER APACHE ver. 2.0 in ambiente RedHat 1. La gestione dei siti web in ambiente Linux è affidata al demone httpd ed è di solito realizzata tramite il web server Apache. 2. Un web server è un programma che consente di gestire la residenza di siti web visibili da qualunque parte della rete. 3. Il web server Apache, di solito, viene installato insieme al sistema operativo. 4. Le pagine web da rendere disponibili risiedono nella directory /var/www/html, ma è possibile utilizzarne una diversa dichiarandola opportunamente nel file di configurazione. 5. Tutte le opzioni di configurazione sono definite nel file /etc/httpd/conf/httpd.conf che contiene un elevatissimo numero di direttive che consentono la personalizzazione del web server. 6. Le direttive sono organizzate in blocchi che vengono delimitati da un tag di apertura e uno di chiusura con una sintassi simile a quella dei tag HTML. 7. E possibile configurare le direttive a livello di singola directory. 8. E' possibile configurare l'accesso ai siti su autorizzazione 9. E possibile gestire aree riservate. 10.E possibile configurare host virtuali. Sandra Farnedi 3/15

4 Configurazione base di Apache In generale, il file httpd.conf fornito con l installazione è già pronto per l uso, in molti casi è sufficiente togliere il commento (#) ad alcune direttive; in ogni caso, prima di modificare il file di configurazione è opportuno farne una copia. Facendo riferimento al server casa del dominio domus avremo: ServerName casa.domus:80 definisce il nome del server web e la porta di accesso al servizio DocumentRoot /var/www/html è la directory in cui si trova la home page del server web precedentemente dichiarato; N.B. il file da visualizzare dovrà chiamarsi index.html Vediamo alcuni esempi di direttive. Direttiva: <Directory > </Directory> Esempio: <Directory /var/www/html/piani> order deny, allow deny from all allow from </Directory> consente l accesso alla directory /var/www/html/piani, ma solo agli utenti che si collegano dalla rete /24 e lo nega a tutti gli altri. Sandra Farnedi 4/15

5 Direttiva: <Location > </Location> Esempio: <Location /piani.html> order deny, allow deny from all allow from.scuola.it </Location> consente l accesso al sito ma solo ai computer appartenenti al dominio scuola.it e lo nega a tutti gli altri. Altri esempi di definizione delle direttive di configurazione del file httpd.conf si trovano all'interno del file stesso. Va sottolineato che le potenzialità del server Apache sono innumerevoli e che in questi appunti si vogliono solo dare indicazioni di base. Per conoscere tutte le potenzialità di Apache, consultare man httpd e collegarsi al sito Un ottimo testo di riferimento: Apache The Definitive Guide di Ben Laurie e Peter Laurie Ed. O Reilly. Sandra Farnedi 5/15

6 Aree riservate Ciascuna directory di un sito può essere resa visibile solo ad utenti autorizzati attivando la direttiva: AccessFileName.htaccess # # The following lines prevent.htaccess and #.htpasswd files from being viewed by Web clients # <Files ~ "^\.ht"> Order allow,deny Deny from all </Files> Il file.htaccess contiene l'elenco degli utenti autorizzati, mentre il file.htpasswd contiene le coppie nome-utente/password generate tramite il comando htpasswd. Esempio: Contenuto del file.htaccess che deve trovarsi nella directory da proteggere: AuthType Basic AuthName "area riservata" AuthUserFile.../.htpasswd Require user pippo pappo pluto Contenuto del file.htpasswd (che deve trovarsi nella directory indicata nel file.htaccess alla voce AuthUserFile) generato tramite il comando htpasswd: pippo:nejdfunat7ftq pappo:uxwc4mhe4sswu pluto:uxhen9izbtzoo Per il funzionamento del comando htpasswd consultare il relativo man. Sandra Farnedi 6/15

7 Virtual Host I VirtualHost consentono la coesistenza, in un unico server, di più siti web. Questa funzionalità è particolarmente utile ai provider sui cui server risiedono i vari siti dei clienti che utilizzano lo spazio web come se esso si trovasse su macchine fisicamente distinte. Per soddisfare le richieste di apertura di pagine appartenenti a diversi siti fisicamente presenti su un unico sistema, occorre innanzi tutto inserire gli URL di tali pagine fra i nomi degli host nel file di configurazione del DNS master authority per il dominio in questione e associarlo all indirizzo IP dell host su cui il sito fisicamente si trova 2. In questo modo, la richiesta di apertura della pagina verrà inviata al server che fisicamente la contiene. Per realizzare i VirtualHost su un sistema, è necessario modificare il file httpd.conf attivando l opzione: NameVirtualHost * e quindi inserire tanti blocchi <VirtualHost> quanti sono i siti da ospitare sul server. 2 In alternativa si possono inserire i nomi dei virtual host e i relativi IP address nel file /etc/hosts Sandra Farnedi 7/15

8 Esempio: <VirtualHost *> DocumentRoot /var/www/html/sito1 ServerName </VirtualHost> <VirtualHost *> DocumentRoot /var/www/html/sito2 ServerName </VirtualHost> In questo caso, da qualunque (*) interfaccia di rete arrivi la richiesta, se al server verrà richiesto il sito si aprirà la pagina /var/www/html/sito1/index.html alla richiesta di visualizzazione del sito si aprirà invece la pagina /var/www/html/sito2/index.html La dichiarativa ServerName è fondamentale poiché la sua presenza fa sì che il sistema che ospita le pagine non vada ad interrogare gli altri DNS per individuare la pagina richiesta, ma visualizzi semplicemente il file index.html presente nella directory dichiarata in DocumentRoot. E inoltre opportuno definire un virtual host che risponda alle richieste di siti non ancora definiti, ma residenti su host noti al DNS o presenti nel file /etc/hosts, tramite la direttiva: <VirtualHost _default_:*>...</virtualhost> N.B. Se il sistema ha un solo indirizzo IP, al posto di * si dovrà utilizzare tale indirizzo e sarà inoltre necessario configurare un virtual host anche per il sito del server principale (quello a cui si fa riferimento con la dichiarativa DocumentRoot di ServerName vedi pag. 3) poiché la presenza di host virtuali che fanno riferimento all unico indirizzo IP esistente, ne impedisce l utilizzo per il server principale stesso. Sandra Farnedi 8/15

9 PROXY SQUID E possibile attivare, in ambiente Linux, un proxy che consenta di sfruttare un solo host per i collegamenti ad Internet concedendone l accesso anche agli altri computer della rete locale. Tornando all esempio dei due sistemi casa e opensource appartenenti al dominio domus possiamo pensare di connettere casa ad Internet e configurare in tale sistema il proxy SQUID. La configurazione di tale proxy è molto semplice e consiste nella personalizzazione del file /etc/squid/squid.conf in cui, molto spesso, basta togliere il commento (#) per attivare le funzionalità richieste. Sempre facendo riferimento all esempio precedente, le uniche modifiche da apportare al file sono le seguenti: nella zona TAG: http_access togliere il commento (#) alla riga http_access deny to_localhost attivare le access list togliendo i commenti e modificando le righe corrispondenti nel modo seguente: acl our_networks src /24 http_access allow our_networks leggere i commenti inseriti nel file /etc/squid.conf per conoscere le ulteriori possibilità di restrizione o ampliamento degli accessi nella zona TAG: visible_hostname inserire la riga seguente: visible_hostname casa.domus Sandra Farnedi 9/15

10 Completata la configurazione, occorre far ripartire il proxy utilizzando il comando /etc/init.d/squid restart. E inoltre necessario configurare il browser del sistema opensource dichiarando l utilizzo del proxy sulla porta 3128 ovviamente la stessa modifica andrà apportata in tutti i browser di tutti i client della rete locale. In Mozilla (versione inglese) per utilizzare un proxy seguire il percorso Edit Preferences Advanced Proxies Manual proxy configuration nella casella HTTP proxy inserire l'ip address del server proxy e come numero di porta inserire 3128 Sandra Farnedi 10/15

11 PROXY SQUID autorizzazione utenti E anche possibile concedere l'accesso ad Internet solo agli utenti autorizzati utilizzando la seguente procedura: 1. cercare 3 nel proprio sistema la collocazione del programma ncsa_auth (in ambiente RedHat/Fedora, si trova in /usr/lib/squid ) 2. decidere la collocazione e il nome del file delle password per esempio /etc/squid/password 3. nel file squid.conf, attivare, adattandola alle proprie esigenze, la riga auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/password 4. nel file squid.conf, attivare/inserire la riga acl password proxy_auth REQUIRED e, nella zona TAG: http_access attivare/inserire la riga http_access allow password 5. far ripartire il server squid A questo punto, sui client del proxy, all'apertura del browser si apre una finestra che chiede nome utente e password. Gli utenti autorizzati saranno solo quelli generati tramite il programma htpasswd -c nome-file nome-utente Nel nostro caso potremmo ad esempio utilizzare htpasswd -c /etc/squid/password pippo ci verrà richiesta la password dell'utente pippo che verrà crittografata e inserita, insieme al nome dell'utente stesso, nel file /etc/squid/password 3 La ricerca di un file può essere effettuata col comando whereis seguito dal nome del file da cercare Sandra Farnedi 11/15

12 FIREWALL NETFILTER (iptables) Il filtraggio dei pacchetti in ambiente LINUX, a partire dal kernel 2.4, avviene tramite il software Netfilter che utilizza il comando iptables. Il comando iptables opera sulle tre catene INPUT (pacchetti in arrivo), OUTPUT (pacchetti in uscita), FORWARD (pacchetti che attraversano il sistema per raggiungere una data destinazione) e consente il raggiungimento dei due target ACCEPT (accetta i pacchetti), DROP (rifiuta i pacchetti) Il comando iptables, che gestisce il servizio, dispone di varie opzioni fra cui d che specifica la destinazione, -s che specifica la sorgente e j che specifica il target. Le opzioni A e D, consentono rispettivamente di aggiungere o eliminare regole dalle catene. Esempi: iptables A INPUT s j ACCEPT aggiunge (-A) alla catena INPUT la regola seguente: accetta tutti i pacchetti provenienti (-s) dall indirizzo iptables A INPUT s j DROP rifiuta tutti i pacchetti provenienti da iptables A OUTPUT d j DROP rifiuta tutti i pacchetti diretti (-d) a iptables A INPUT j ACCEPT! s accetta tutti i pacchetti tranne quelli provenienti da Sandra Farnedi 12/15

13 iptables A INPUT s /24 j ACCEPT accetta tutti i pacchetti provenienti dalla rete iptables A INPUT j DROP i eth0 -s rifiuta tutte le richieste che arrivano sul dispositivo di input (-i) eth0 dall indirizzo iptables A INPUT d dport www j ACCEPT accetta tutti i pacchetti che hanno come destinazione il server web N.B. le regole definite tramite iptables non vengono salvate, ma rimangono attive solo fino allo spegnimento del sistema, si consiglia quindi di inserirle in uno script da lanciarsi alla reinizializzazione del sistema stesso per esempio inserendolo fra gli rc di partenza al livello di init che si desidera. Per conoscere tutte le potenzialità del comando, consultare man iptables Sandra Farnedi 13/15

14 CONTROLLO DELLA RETE Una volta completata l'attività di configurazione della rete e dei servizi, è necessario controllarne il corrretto funzionamento e questo può essere fatto tramite opportuni comandi che consentono di tracciare il percorso dei pacchetti e capire il motivo di eventuali malfunzionamenti. I comandi più comunemente usati sono: netstat consente il controllo delle porte attraverso cui passano i servizi: le opzioni più usate sono -l che fornisce l'elenco delle porte aperte -n che visualizza il numero di porta -p che mostra il programma che usa una porta (l'elenco dei servizi si trova nel file /etc/services) host, nslookup e dig seguiti dal nome di un host, forniscono informazioni sull'indirizzo di rete del dominio o dell'host ping seguito da un indirzzo di rete o dal nome di un host è il più semplice comando di controllo della rete: verifica che fra i due sistemi sia semplicemente stabilita una connessione traceroute seguito dal nome di un host, fornisce il percorso completo che i pacchetti effettuano per raggiungere l'host richiesto arp -a mostra l'elenco completo degli indirizzi IP e dei MAC address di tutti gli host della rete (non esce dai router) Per vedere un elenco completo delle opzioni e delle funzionalità offerte da questi comandi, consultare il relativo man Sandra Farnedi 14/15

15 ESERCIZI WEB SERVER 1. Configurare e attivare un webserver basato su thttpd 2. Preparare un semplice file HTML sotto la directory di default 3. Visualizzare da un altro sistema l'ipertesto appena generato 4. Creare sullo stesso sistema due server virtuali di nome e inserirvi due semplici ipertesti diversi fra loro e provare a visualizzarli. PROXY 5. Configurare il proxy SQUID e accedere ad Internet dopo aver opportunamente configurato il proprio client 6. Disattivare il servizio di proxy senza modificare il client e verificare l impossibilità di accedere ad Internet 7. Modificare il file di configurazione attivando il controllo sull autenticazione degli utenti. Il file delle password sia /etc/squid/passwords 8. Creare, tramite il comando htpasswd due utenti autorizzati di nome pippo e pappo con password rispettivamente pluto e paperino 9. Far ripartire il servizio squid 10. Accedere a Internet dal client: vengono richiesti nome utente e password e solo gli utenti pippo e pappo risultano autorizzati Sandra Farnedi 15/15