Corso GNU/Linux. <protocollo>://<host>/<percorso_assoluto>

Transcript

1 Web Server e siti web Dal punto di vista del web server, un sito web non è altro che una directory o un insieme di directory, posizionato in un file system accessibile dal web server stesso e contenente i documenti che si intende rendere disponibili tramite il sito web stesso. Fino all avvento di HTTP 1.1 per ogni sito web era necessario disporre di un indirizzo IP pubblico: questo era un problema soprattutto per i fornitori di hosting, costretti ad avere un parco di indirizzi molto ampio. Con HTTP 1.1, invece, è possibile utilizzare lo stesso indirizzo IP per più siti. L elemento chiave che permette al client di connettersi esattamente con il server desiderato è l URL (Uniform Resource Locator) che è composto da tre parti: <protocollo>://<host>/<percorso_assoluto> 1

2 Apache Apache è il web server più diffuso al mondo attualmente, si tratta di un prodotto Open Source e free sviluppato da un gruppo di volontari: l Apache Foundation. Il suo nome deriva dal fatto che il programma era originariamente costituito da codice a cui erano state applicate svariate patch. Il primo server web lo dobbiamo a Tim Berners-Lee, ed è stato realizzato al CERN di Ginevra, mentre il parente più prossimo di Apache è di origine americana, e più precisamente dall NCSA (National Center for Supercomputing Applications), che rilasciò nel 1995, il prodotto NCSA httpd, dalla cui versione 1.3 ha avuto origine il progetto Apache. 2

3 apache Apache è un programma multipiattaforma: è in grado di operare indifferentemente su GNU/Linux, BSD, Unix, Windows e Mac OS, oltre a molte altre. Apache in pratica riceve un URL dal client e lo converte nel nome di file corrispondente, in modo da poterlo reinviare come risposta al client stesso. Innanzitutto Apache deve determinare quale indirizzo IP e quale numero di porta sono interessati, oltre, nel caso di HTTP 1.1 all intestazione Host per identificare verso quale virtual host reindirizzare la richiesta. 3

4 apache La directory che contiene un sito web, in Apache, è sempre composta da almeno tre direcory: conf: contiene i file di configurazione specifici del virtual host. htdocs: in questa directory verranno memorizzati tutti i dati del sito web: pagine html, immagini dati ed ogni genere di materiale, anche multimediale, che verrà messo sul sito. logs: contiene tutti i file di log del server web. cgi-bin: è la posizione predefinita degli eventuali script. 4

5 httpd.conf / apache2.conf Il principale file di configurazione di Apache è http.conf, di solito posizionato nella directory /etc/httpd/conf/ che sovraintende quindi a tutte le configurazioni generali del sistema per quanto concerne Apache. Nel caso di Apache 2 il file di configurazione diventa apache2.conf, e risiede nella directory /etc/apache2, mentre il file httpd.conf, anch esso presente è utilizzato solo per garantire la retrocompatibilità nel caso di alcuni moduli di apache. Vi sono poi un enorme quantità di direttive e variabili disponibili per ottimizzare la resa del webserver Apache. Il primo parametro in assolto da definire per il corretto funzionamento del webserver è ServerName che definisce il nome host del server su cui Apache è in esecuzione. 5

6 httpd.conf / apache2.conf Considerando la diffusione in crescita della versione 2 del webserver apache, sarà questa versione che verrà presa in esame per vedere le prime opzioni di configurazione di questo programma. Oltre alla direttiva Servername, che serve anche a risolvere eventuali errori del tipo cannot determinate local host name, due direttive fondamentali per il corretto funzionamento di Apache sono: User: definisce l utente sotto cui viene fatto girare Apache. Group: definisce il gruppo dell utente di cui sopra. Tali direttive sono fondamentali per il mondo Unix e GNU/Linux, mentre vengono trascurate nel mondo WIn32. Apache ha infatti un comportamento misto: un processo di apache è inizializzato da root, per permettergli di utilizzare la porta 80. 6

7 httpd.conf / apache2.conf Ma ovviamente, per ragioni di sicurezza, il processo con UID 1 non è attivo e non ascolta le richeste, cosa che invece fanno i processi di Apache con UID pari a quello dello user settato in apache2.conf (vecchio httpd.conf) che hanno ovviamente permessi ridotti sul sistema. Tipicamente l utente (www-data nel caso di debian, apache per Fedora e così via ) a cui fa riferimento apache ha come home directory /var/www, ovvero dove vengono memorizzati i file dei siti ospitati sulla macchina e come UID ha un numero basso, nei primi 64 in modo da identificarsi chiaramente come utente di sistema. ServerRoot: indica la directory radice da cui derivano tutte le directory di configurazione, gestione degli errori e logging di apache (tipicamente /etc/apache2 oppure) 7

8 httpd.conf / apache2.conf PidFile: è il file in cui Apache memorizza tutti i PID (Process ID) dei suoi processi figli, per mettere l amministratore in condizione di gestirli al meglio (adesso in var/run/apache2.pid mentre una volta era in /logs/httpd.pid). E possibile poi configurare e personalizzare i classici messaggi o pagine di errore che il server fornisce in particolari situazioni, quali: ErrorDocument 500: Errore del server ErrorDocument 401: Non autorizzato ErrorDocument 403: Accesso negato ErrorDocument 404: Pagina non trovata 8

9 httpd.conf / apache2.conf <VirtualHost>: questa direttiva permette di inserire nel file apache2.conf direttive relative ad un singolo host, e si comporta come un vero e proprio tag html, in quanto richiede anche il tag di chiusura </VirtualHost>. Oltre a <VirtualHost> sono presenti anche <Directory>, <files> e <Location>. Apache non gestisce le richieste tramite un processo monolitico, ma attraverso una serie di processi figli, il cui numero è definito dalle seguenti direttive: StartServers: questa direttiva indica il numero di processi che vengono avviati alla avio di Apache. MaxRequestPerChild: max di richieste per processo 9

10 httpd.conf / apache2.conf MinSpareServers: questa direttiva è tesa ad evitare situazioni di picco, prescrivendo il numero minimo di server presenti sul sistema: se tale numero scende sotto tale valore vengono attivati nuovi server. MaxSpareServers: direttiva opposta alla precedente che prevede, nel caso si ecceda il numero di server liberi, i server eccedenti vengono soppressi fino al valore previsto. MaxClients: indica il numero massimo di processi, indipendentemente dal carico del sistema: importante per evitare collassi del sistema per un eccessivo uso di risorse da parte di Apache. 10

11 httpd.conf / apache2.conf La direttiva MaxRequestPerChild è fondamentale per evitare i processi zombie dopo un picco di memoria (se si vuole eludere tale direttiva, invece, il valore da settare è 0). Un altro aspetto di sicurezza da tener presente è la quantità di informazioni sul nostro server web e sul sistema che vogliamo rendere disponibile al mondo esterno, regolabile tramite la direttiva ServerTokens che può assumere alcuni valori: Prod: Nome del server (indica solo il tipo di webserver: ottimo per la sicurezza). Major: Nome del server e sua versione maggiore. Minor: Nome del server e sua versione completa. Min: Output Minimo (Consigliato per la sicurezza). 11

12 httpd.conf / apache2.conf OS: Definizione anche del sistema operativo Full: Elencazione completa di tutti i parametri del server (da usare tipicamente solo in fase di sviluppo). Opzione predefinita se ServerTokens non è definita. Talvolta, per esigenze di sicurezza e/o gestione del server web è opportuno porre in ascolto il sistema su porte particolari e su interfacce differenti da quelle di defalut. Ricordiamo che la porta di default per il protocollo http è la porta 80, mentre la porta 443, è la porta predefinita per il protocollo sicuro httpd. La direttiva che permette di definire queste opzioni è Listen. 12

13 httpd.conf / apache2.conf Tale direttiva richiede come parametri l indirizzo IP dell interfaccia interessata ed il numero di porta su cui il server si deve porre in ascolto. Apache è poi in grado di caricare moduli binari per abilitare funzionalità aggiuntive, e sono già previsti alcune opzioni di default, che andrebbero rimosse se non utilizzate, seguendo il noto motto dell esercito inglese KISS (keep It Simple, Stupid), con la direttiva LoadModule. Un altra direttiva chiave per la corretta gestione di Apache è la direttiva Include che permette di caricare porzioni di configurazione da file esterni al classico httpd.cond o apache2.conf. 13

14 httpd.conf / apache2.conf Un esempio tipico di file che viene introdotto in tale modo nella configurazione di Apache è il file php.conf oppure php.ini a seconda delle versioni relativo al modulo di gestione del linguaggio di scripting server-side PHP. Per verificare la correttezza del file di configurazione di apache è sempre possibile utilizzare il comando httpd oppure apache2 con l opzione t per testare la correttezza sintattica di tale configurazione. Ogni volta che si mette mano alla configurazione di Apache è necessario riavviare il servizio, utilizzano lo script con l opzione restart. Altro aspetto chiave della configurazione di Apache sono le direttive che riguardano il cosiddetto sito predefinito, ovvero il sito che Apache fornisce digitando l indirizzo del server. 14

15 httpd.conf / apache2.conf Ovviamente, come già detto in precedenza, spesso il webserver si trova a gestire decine se non centinaia di siti contemporaneamente, questo grazie ad apposite direttive, sia che si tratti di siti virtuali che di siti utente. Ad esempio, in Debian tutta la parte di configurazione relativa ai virtual host è inserita in file a parte, sotto la directory /etc/apache2/sites-enabled. Normalmente le directory ed i file presenti della DocumentRoot del webserver sono direttamente visibili da parte degli utenti, ma ovviamente Apache ha la possibilità di gestire tali accessi in un modo più evoluto, tramite l utilizzo della direttiva <directory>. 15

16 <directory> Il primo elemento da definire all interno di una direttiva <directory>, oltre al fatto che si tratta ovviamente di una directory da gestire come un tag HTML, e quindi con la sua chiusura </directory> alla fine delle variabili ad essa relativa è la direttiva Options. Una delle opzioni fondamentali di questa direttiva è Indexes che permette di ottenere l indicizzazione automatica del contenuto della directory, opzione da usare con molta cautela per evitare possibili buchi di sicurezza. Abbiamo poi altre opzioni, quali: All: vengono attivate tutte le funzionalità evolute della directory. FollowSymLinks: per permettere l utilizzo di link simbolici nella directory. 16

17 <directory> Includes: permette l esecuzione dei serv side includes. MultiViews: permette di gestire la content negotiation, mettendo in grado Apache di selezionare i contenuti in base alle impostazioni del browser. None: non è permessa nessuna funzionalità evoluta. Altra opzione è Allow-Override che permette di utilizzare file.htaccess per configurare le caratteristiche all interno della directory: fondamentale per permettere ai clienti in hosting di configurarsi il proprio spazio. Utilizzando il valore None si impedisce l utilizzo dei file.htaccess da parte degli utenti. Il nome.htaccess è predefinito, ma è possibile modificarlo con la direttiva AccessFileName. 17

18 <directory> E poi possibile determinare i permessi all interno della directory basandoci su opzioni molto simili a quelle di un firewall, di cui però bisogna determinare la priorità con la direttiva Order che definisce quali regole debbano essere considerate per prime (allow,deny prima le concessioni e poi le restrizioni, mentre con deny,allow avviene il contrario). La corretta definizione delle regole si basa sulla successione di permessi e restrizioni ed è fondamentale sapere in che ordine verranno interpretati. I comportamenti dei blocchi <directory> sono esaminati sequenzialmente ed hanno valore per la directory in esame e tutte le sue sotto-directory, appare quindi ovvio che un ultima direttiva per <directory /> di fatto annullerà tutte le regole precedenti. 18

19 <directory> E poi molto importante, soprattutto, nel caso di directory molto complesse, ma anche per proteggere maggiormente la sicurezza, la definizione di alias che permettono di ridurre la lunghezza dell URL per determinati file o per occultare percorsi ritenuti critici sul server. Questa direttiva deve essere valorizzata prima della directory oggetto ed all esterno della direttiva <directory>. Vi sono poi molte altre direttive che possono essere valorizzate all interno del tag <directory> che permettono di definire nei minimi dettagli il comportamento e le caratteristiche della directory stessa. 19

20 <Files> e log Apache prevede anche una direttiva di controllo a livello di files, che viene letta ed interpretata successivamente a quella delle directory, permettendo un controllo più dettagliato. E poi possibile integrare tali controlli a livello di files all interno delle directory in modo da limitare il campo di azione a quella singola directory. I file di log di apache sono importantissimi, sia per la gestione ordinaria, che per verificare eventuali attacchi ed intrusioni sul server stesso. Normalmente tali file sono ubicati nella directory /var/log/httpd oppure in /var/log/apache2. 20

21 <Files> e log I due più rilevanti sono access.log, che registra tutti gli accessi al webserver, con caratteristiche come l IP di provenienza, il protocollo, il browser ed il sistema operativo, ed error.log che registra tutti gli errori in cui è incorso il server. Esistono poi programmi dedicati che provvedono all'analisi dei logo, sopratutto quello degli accessi per fornire statistiche sull'utilizzo del sito CLF Common Log Format: è un tentativo di standard dei file di log per facilitare la comparazione tra log di server differenti. Un file CLF è costituito da una riga per ciascuna richiesta HTTP, all'interno della singola riga compaiono diverse informazioni separate da spazi: host, ident, authuser, date, request, status, bytes. 21

22 <VirtualHost> La direttiva virtualhost permette di realizzare diversi siti sulla stessa macchina semplicemente inserendo alcune direttive in termini di Servername e DocumentRoot. E importante ricordare che tale sistema può funzionare su Ip singolo solo se i clienti sono compatibili con lo standard HTTP 1.1, in quanto lo standard precedente, lo 1.0 non può gestire tale variante. Apache permette di vincolare l accesso a determinate aree e sottoaree a determinati utenti, utilizzando un sistema di autenticazione basato su userid e password, tramite il comando htpasswd. E bene ricordarsi il posizionamento del file creato da htpasswd, che deve essere eseguito la prima volta con l opzione c <nome_file> <utente>. E possibile anche riservare l accesso solo ad alcuni utenti di htpasswd. 22

23 MySQL Ormai è quasi impossibile realizzare un sito web che non faccia riferimento in modo dinamico ad informazioni memorizzate in un database ed ogni aspetto dell informatica è basato o dipende in modo più o meno diretto da un database. A fianco dei principali colossi del settore,quali Oracle, IBM DB2, Microsoft SQL Server e molti altri, esistono soluzioni come PostgreeSQL e soprattutto MySQL, che pur non avendo il blasone dei prodotti sopracitati possono tranquillamente sostituirli nella maggior parte delle applicazioni. In questo corso vedremo rapidamente la configurazione e l utilizzo di MySQL, un prodotto sia free che commerciale, molto utilizzato soprattutto nel mondo Internet con il sistema cosiddetto LAMP (Linux, Apache, MySQL e PHP) che risulta essere uno dei principali ambienti di sviluppo per applicazioni web anche molto complesse. 23

24 MySQL Le licenze previste per l utilizzo di MySQL sono GPL o commerciale, per i nostri esempi faremo sempre riferimento alla licenza GPL, ma chi avesse necessità di visionare la licenza commerciale (nel caso di inclusione di MySQL in altri prodotti commerciali) la potrà facilmente reperire sul sito del produttore MySQL AB ( MySQL è disponibile per buona parte dei dialetti x-nix esistenti ed anche per Windows e Macintosh, sia sotto forma di sorgenti che di binari, di cui si consiglia l utilizzo in pressochè tutti gli ambiti ed ambienti. Per GNU/Linux, oltre ovviamente ai sorgenti, è disponibile per il download la versione a pacchetti RPM ed una ulteriore versione binaria. 24

25 MySQL Il principale file di configurazione di MySQL è /etc/my.cnf. Per gestire il demone di MySQL si utilizza il classico comando: /etc/init.d/mysql (start stop status) Un buon metodo per venire a conoscenza di parecchi parametri in merito alla versione di MySQL installata su di un sistema è quello di lanciare il comando mysqladmin version. MySQL si basa su di un sistema di permessi basato sulle utenze, che fanno capo ad un superutente, denominato root che ha un accesso totale ed indiscriminato a tutti i dati, compresa la tabella di riferimento degli utenti e dei permessi (E vitale per il corretto funzionamento del server non modificare in modo maldestro e senza cognizione tale tabella). 25

26 MySQL In fase di installazione l utente amministratore root viene creato senza password, di fatto rendendo il sistema molto vulnerabile, è quindi opportuno provvedere subito ad assegnare una password all utente amministratore con il comando: mysqladmin u root password qwerty Esiste poi un client testuale per la gestione del database che si attiva con il comando mysql seguito dall utente e dal database su cui si vuole agire, con la seguente sintassi: mysql u root p database_oggetto In tal modo si dichiara di volersi collegare al server del database con l utente root, dotato di password, relativamente al db database_oggetto. 26

27 MySQL Il database mysql (inteso non come server ma come nome di database) è il luogo in cui sono descritti gli utenti ed i rispettivi privilegi in rapporto ai database presenti sul server. I comandi eseguibili nel client testuale di MySQL sono quelli tipici del linguaggio SQl, più alcuni comandi specifici di MySQL, mentre per uscire da tale client si deve digitare il comando exit. Per semplificare la gestione operativa di MySQL esiste un front-end grafico, web-based di nome phpmyadmin, molto comodo e semplice da utilizzare, che permette di gestire la creazione, personalizzazione e rimozione dei dati, delle tabelle e dei database direttamente da un browser web. 27

28 MySQL E opportuno prestare molta attenzione alla sicurezza, in quanto un database troppo poco restrittivo in termini di permessi di fatto renderebbe i dati disponibili ad utenti non autorizzati, incorrendo nelle sanzioni della legge della privacy per cattiva gestione dei dati sensibili nel caso di dati di questo tipo, e rendendo di fatto vulnerabili i dati, permettendone anche la modifica e cancellazione ad utenti non autorizzati. Nel caso di collegamenti tramite ODBC o da remoto, è bene ricordare che la porta predefinita è la 3306, da aprire o bloccare a seconda dei casi sul firewall. 28

29 ftp Il protocollo ftp (File transer Protocol) è uno dei principali protocolli di Internet assieme all http. Il suo scopo è quello di permettere il trasferimento di file di medie/grosse dimensioni depositati su di un server, tramite l utilizzo di appositi programmi detti FTP client. Il protocollo FTP ha un difetto implicito in termini di sicurezza: la trasmissione dello username e della password avviene in chiaro, permettendone di fatto l intercettazione. Per risolvere questo problema si può utilizzare sftp (un programma ftp integrato con openssh) che permette di rendere più sicura una sessione ftp cifrandola. L utilizzo di ftp può avvenire sia tramite programmi a riga di comando che con interfacce grafiche, ma in taluni casi è imprescindibile utilizzare la shell, per cui ci concentreremo su tale opzione. 29

30 ftp Uno dei casi tipici in cui è necessario ricorrere alla riga di comando è quello in cui il programma non riconosce se il file è di tipo ASCII o binario, fenomeno riconoscibile dal fatto che i file ASCII sono trasferiti con una rappresentazione ^M del carattere speciale di carriage return (l andata a capo). Ecco alcuni dei principali comandi di una sessione ftp: ascii: imposta il trasferimento in formato ASCII bin: imposta il trasferimento in formato binario bye, quit: chiude la sessione ftp get, mget: inizia il trasferimento di un singolo file, oppure multiplo 30

31 ftp hash: imposta un indicatore visivo di avanzamento del trasferimento open: apre una connessione verso un server put, mput: invia un file singolo o multiplo Ovviamente poi il comando principe è help, che prevede l elenco completo di tutti i comandi disponibili in una sessione ftp. Per attivare una connessione verso un server ftp, è sufficiente digitare da shell ftp <nome_server/indirizzo IP>. Connettendosi in questo modo si è autenticati con un accesso di tipo anonimo, immettendo come nome utente anonymous e come password il proprio indirizzo e- mail. 31

32 ftp Questa immissione del proprio indirizzo come password non è obbligatoria, ma è una forma di rispetto e cortesia verso l amministratore del server, per cui non vi sono validi motivi per non seguirla. E opportuno tenere comunque presente che ogni ftp server degno di questo nome rileva e traccia in un file di log l indirizzo ip degli utenti, informazione questa ben più vincolante e stringente di un semplice indirizzo .una volta stabilita la connessione al server, si può navigare in maniera remota nelle cartelle rese disponibili su tale sistema, utilizzando i normali comandi tipici di GNU/Linux come ls e cd in primis ma anche dir pwd e tutti i principali strumenti di navigazione nel filesystem. 32

33 ftp Il comando lftp, invece, attiva una modalità di trasferimento dati, basata su protocolli multipli, quali anche http, https ed hftp. Un altro comando per il trasferimento di file è wget, ma supporta solo un trasferimento non interattivo dei file, nonostante questo è molto usato per la realizzazione di script di sincronizzazione, e per lanciare operazioni di download in background proprio per il suo non essere interattivo. Per quanto riguarda invece i prodotti grafici, praticamente ogni filebrowser esistente per GNU/Linux è di fatto anche un ftp client, oltre poi a prodotti specifici quali gftp. 33

34 Server ftp Il protocollo FTP, come già detto in precedenza si basa su di un modello client/server, in cui il client accede alla informazioni depositate su di un server ed instaura una connessione bidirezionale, permettendo oltre alla gestione dei file in remoto, il loro trasferimento sia verso il server che dal server verso il client. L accesso ai server FTP può essere anonimo, come spiegato prima, o soggetto alla corretta immissione di una coppia di parametri di autenticazione (username e password). Come è ovvio, i sistemi FTP server anonimi sono i più semplici da implementare ed amministrare, non avendo problemi di gestione degli utenti, ma innescano dei problemi di sicurezza rendendo di fatto disponibili i file a chiunque, fattore di cui è necessario tenere conto. 34

35 Server ftp Ovviamente è opportuno procedere con un minimo di buon senso nella gestione dei permessi sui file e sulle directory, così come disattivare utenti quali root dagli ftp login. Se si prende la decisione di installare e rendere disponibile un ftp server di tipo anonimo, è necessario porre tale server su di una macchina dedicata, possibilmente all esterno del firewall della rete locale, in una situazione di DMZ (DeMilitarizated Zone) se possibile. La macchina in questione dovrebbe essere, tra virgolette sacrificabile, ovvero facilmente ripristinabile e priva di dati in qualche modo riservati o sensibili. 35

36 Server ftp Se possibile sarebbe poi meglio che i dati scaricabili dal server siano posti su di un file system read only o direttamente da un dispositivo read only come un cdrom o un dvd, per prevenire eventuali manomissioni o corruzioni di tali informazioni. Esamineremo in dettaglio due diversi tipi di ftp server: wu-ftpd, di fatto lo standard per molte distribuzioni e vsftpd, un server che sfrutta openssh. Convenzionalmente tutti gli utenti che accedono in forma anonima ad un ftp server sono identificati con l utente GNU/Linux ftp con cui il server descrive i permessi assegnati all utente anonimo. L utilizzo tipico di /sbin/nologin come shell di default per ftp rende impossibile per l utente ftp anonimo il login interattivo sulla macchina. 36

37 Server ftp Inoltre la password di default in /etc/shadow deve essere l asterisco (*), che indica di fatto l impossibilità per tale account di effettuare il login. Di fatto, uno degli usi tipici di un server ftp anonimo è quello di rendere disponibili dei file ai propri utenti senza che questi debbano mettere a rischio le loro password con un accesso ftp convenzionale, in quanto una connessione di tipo ftp verso il server non è criptata e quindi facilmente intercettabile da chiunque utilizzi uno sniffer. 37

38 Server ftp: vsftpd Vsftpd (Very Secure FTP Server) è un prodotto meno diffuso rispetto a Wu-FTPd, ma è molto usato in quegli ambiti in cui la preoccupazione per la sicurezza riveste un ruolo prioritario. Nonostante il nome, anche vsftpd non prevede l implementazione della criptazione di username e password. E comunque uno dei server più sicuri, tanto da essere utilizzato da ftp.redhat.com, ftp.debian.org ftp.gnu.org ed anche rpmfind.net. Il principale file di configurazione di vstftpd è il file /etc/vsftpd/vsftpd.conf con cui è possibile modificare buona parte dei pramtri predefiniti di questo ftp server. Come impostazione out of box è consentito l accesso anonimo, ma tale categoria di utenti non ha il permesso di effettuare l upload di file, di creare o modificare directory e file. 38

39 Server ftp: vsftpd Il file di configurazione permette di settare tutti i principali parametri dell ftp server: anonymous_enable: permette di abilitare o disabilitare (YES NO) l accesso anonimo al server. anon_mkdir_write_enable / anon_other_write_enable: permette di abilitare o disabilitare (YES NO) la creazione di nuove cartelle o la possibilità di rinominare sia file che cartelle. anon_upload_enable: permette di abilitare o disabilitare (YES NO) la possibilità di effettuare l upload da parte degli utenti anonimi. 39

40 Server ftp: vsftpd Dopo aver effettuato la modifica del file di configurazione è necessario riavviare il server, o tramite il comando service vsftpd restart, o con il classico script /etc/init.d/vsftpd restart. Per quanto riguarda invece la disponibilità di file sul server, non è necessario riavviare il server per renderli disponibili, ma sarà necessario effettuare un refresh con il client per vedere i nuovi file. Per permettere l upload di file sull ftp server da parte di utenti anonimo (situazione molto critica in termini di sicurezza del sistema, ma obiettivamente molto utile come trucco quick&dirty per velocizzare dei trasferimenti di file all interno di reti locali) è necessario modificare sia il file di configurazione, che i permessi sulla cartella bersaglio in cui far depositare i file. 40

41 Server ftp: vsftpd la directory predefinita per l'accesso anonimo è /home/ftp. E bene ricordare che vsftpd non può funzionare con la directory radice del suo repository (/var/ftp) con i permessi di scrittura abilitati per tutti gli utenti. Sarà quindi necessario prevedere al suo interno una directory con i permessi di scrittura per gli utenti anonimo, ricordando comunque che tale directory sdarà come una lavagna a disposizione di tutti coloro che riusciranno ad accedere al server, cosa molto facile con l accesso anonimo abilitato. Oltre ai settaggi base per la sicurezza e la regolazione degli accessi, il programma vsftpd permette anche di settare alcuni parametri per l ottimizzazione delle prestazioni. t 41

42 Server ftp: vsftpd Prima di vederli in dettaglio giova ricordare che molti altri parametri, quali la velocità della rete, del processore, la quantità di RAM ed il tipo di dischi utilizzati possono incidere enormemente sulle prestazioni di un server FTP, senza poter essere minimamente modificate dai parametri del programma. Modifiche al TCP (in termini di mtu ed altri parametri) sono solo l ultimo stadio di un processo di ottimizzazione del server che deve partire dalla corretta configurazione dei parametri del programma e del fileserver di appoggio. A titolo di esempio, un ftp server con molti file di grosse dimensioni si gioverà di un file system ext3, od addirittura ext2. 42

43 Server ftp: vsftpd.conf Viceversa, un ftp server con moltissimi file di piccole dimensioni si avvantaggerà con un file system di tipo reiser fs, più veloce in questa situazione. Anche la scelta del tipo di raid o di interfaccia per i dischi e per la rete deve essere, se possibile, effettuata in funzione delle tipologie di file che l ftp server andrà a rendere disponibili. Ecco infine alcuni parametri base per vsftpd: max_clients: indica il numero massimo di client che potranno collegarsi contemporaneamente al server (questo numero indica il numero di connessioni, giova ricordare che è possibile instaurare più di una connessione in contemporanea, questo lato client) max_per_ip: questo parametro invece definisce il numero massimo di connessioni che un determinato indirizzo IP può instaurare verso il server FTP. download_enable: questo parametro abilita o disabilita il download in maniera globale su tutto il server, molto utile in caso di manutenzione. 43

44 mail La posta elettronica è, di fatto, il servizio più diffuso e più utilizzato oggi su Internet: ormai per moltissime attività è impossibile pensare ad un mondo privo di . Molta della sua praticità è però messa in crisi dallo spam (o posta indesiderata) e da una tipologia di attacco che descriveremo più avanti, detta phising. Per quanto concerne il phising, l uso di GNU/Linux non permette di migliorare la sicurezza del sistema, mentre per quanto riguarda lo spam e l invio di virus tramite , l uso di GNU/Linux rende il sistema impermeabile ad oltre il 99% dei virus, in quanto scritti per altri sistemi operativi, fato questo che associato all uso di prodotti come spamassassin rendono i server di posta GNU/Linux una delle migliori scelte possibile. 44