Sto considerando l’ ipotesi di aggiungere un web application firewall al nostro server minifisto.  Cosa fa un web application firewall, beh pensate a come funziona un semplice firewall, che opera a livello 3 e 4 del protocollo osi/iso. Beh un web application firewall si occupa di analizzare specificatamente tutto il traffito http/https al fine di bloccare e contrastare principalmente attacchi di cross site scripting e sql injection. Ovviamente tutto questo e’ da aggiungersi ad eventuali altre contromisure che dovrebbero essere prese al livello di : codice, applicazione, network e via dicendo.

Ora… tutto sarebbe piu’ semplice se potessi farlo a livello di pfsense, cosi da proteggere anche altri eventuali websites. Fatto sta che non ci sono webservers disponibili per pfsense da usare come reverse proxy ( e tramite i quali usare modsecurity ), per cui dovro’ per forza percorrere la strada piu scomoda. Tra i vari waf che si possono installare direttamente su nginx nell’ instanza di minifisto, c’ e’ l ‘ ormai famoso modsecurity e naxsi appunto. Entrambi, a meno che non prenda qualche pacchetto in giro per la rete, necessitano la ricompliazione di nginx. Naxsi mi attira sopratutto per il fatto che non ha un database da aggiornare via via, e mi pare overall piu’ semplice come approccio. Inoltre ha una interessante modalita’ ( dry run per gli addetti ai lavori ) che in poche parole permette di non fare l’ enforcing delle regole, e di riportaresolamente nei logs blocchi o falsi postivi. Si apre quindi l’ interessante opzione ( specie una volta che e’ in production ) di lasciarlo qualche giorno in questa modalita’ per vedere se c’ e’ stato un eventuale match e nel caso scrivere apposite regole. Gia’, ci sara’ scriversi qualche regola, ma sul progetto github dello stesso gia’ ci sono dei file da cui prendere spunto. Testero’ naxsi su un’ istanza e faro’ dei test in locale.

Ebbene si, accade anche nei migliori stack. Ieri sera, dopo aver giocherellato un po troppo con i plugins e aggiornato dei pacchetti ( prevalentemente bugfix ), devo aver sminchiato qualcosa. Si lo so, avrei dovuto testare queste cose in anticipo su un altro ambiente, ma minifisto non e’ certo il Financial Times. Entrando nel merito del problema: non credo fosse assolutamente legato ai plugins in se, in quanto dopo una veloce occhiata ai logs ho notato in syslogs php-fpm andava in segfault continuamente e nginx mi spiattellava in faccia di tanto in tanto un bello status code 502 ( bad gateway ). Sicche’ ne ho approfittato per fare un bel dist upgrade all’ ultima LTS disponibile per ubuntu. Avendo una snapshot ( sana ) della  virtual machine,  opportunamente creata tramite cron, ho quindi lanciato il comando e aspettato.

Una volta finito, un reboot, pulizia dei log ( dopo salvataggio degli stessi ), e qualche tocco qua e la per nginx in quanto il nuovo supporta HTTP/2 che volevo gia’ comunque implementare. Tutto e’ andato per il meglio, ho rimosso alcuni plugin comunque sospetti, ed ho riabilitato il monitoring ( che avevo in precedenza disabilitato per evitare un flood di ridondanti notifiche ).  Altra cosa, ho ripulito la cache di cloudflare giusto per completezza.

Tutto e’ andato quindi per il meglio, ora Minifisto e’ fully http/2 compliant.

Proxima estacion modsecurity e fastcgi_caching ( ngx_cache_purge e Nginx Helper plug-in inclusi )