Consejos de seguridad en servidores Apache

Aqui teneis unos consejos con los que asegurar un poco una instalación por defecto de Apache y evitar ser víctimas de la mayoría de los ataques.

1. Ocultar versión y sistema

Mediante la instalación por defecto de Apache muchas configuraciones que aplica, son excelentes para entornos de desarrollo, no obstante encontramos que pueden ser fuente de origen a la hora de encontrar vulnerabilidades.

En este apartado destaca el que por defecto muestre la versión con la que estamos trabajando, que ya de por sí en entornos en producción es algo nefasto, pero no queda ahí ya que también muestra el sistema operativo e incluso la IP y el puerto al que tenemos escuchando.

Esto podemos solucionarlo llegando al fichero de configuración y buscando el parámetro ‘ServerSignature’ en el directorio de instalación de Apache (/etc/httpd/conf/httpd.conf en RHEL, CentOS o Fedora; y /etc/apache/apache2.conf en Debian/Ubuntu). Por defecto lo encontraremos como ‘On’, cosa que cambiaremos y estableceremos ‘Off’ para evitar este inconveniente que hemos encontrado.

Y tras la configuración deberemos reiniciar los servicios si queremos comprobar que todo funciona como debería.

 

2. Desactivar listado de directorios

Otro aspecto por defecto bastante molesto si somos mínimamente precavidos en cuanto a seguridad. Esto de que Apache muestre los directorios y archivos que tenemos alojados no termina de convencer a muchos, por lo que vamos a corregirlo.

Para ello nos dirigiremos al fichero de configuración correspondiente según el sistema donde nos encontremos y buscaremos la directiva ‘Options’, debiendo quedar de la siguiente forma:

 

3. Mantenernos actualizados

Tener nuestra instalación actualizada puede salvarnos de más de una situación incómoda, ya que las correcciones principales son en base a vulnerabilidades que se han corregido, por lo que es algo más que recomendable, obligatorio.

Para ver qué versión tenemos instalada sólo deberemos ejecutar el comando:

 

4. Deshabilitar módulos innecesarios

Esto es algo muy destacable, ya que afecta directamente al rendimiento y ocupación de recursos del hosting, además por supuesto de hacer nuestro sitio más frágil en cuanto a ataques a consecuencia de una vulnerabilidad en algún módulo, a más módulos activos, más posibilidades de ser víctimas

Deshabilitarlos es tan sencillo como comentar las líneas de cada módulo indeseado en el archivo de configuración, y para encontrar los módulos cargados bastará con utilizar el siguiente comando:

 

5. Permitir o Denegar acceso a directorios

No se puede resumir más, podemos configurar el acceso a los directorios desde el fichero de configuración con los siguientes parámetros:

None: No permitirá a los usuarios activar ninguna funcionalidad sobre este directorio.

Deny, Allow: Este es el orden en el que serán procesadas las órdenes.

Deny from all: Esta directiva denegará el acceso a las peticiones de todos los usuarios al directorio ‘root’.

 

6. Usar Mod_Security y Mod_Evasive

Mod_Security hace las veces de firewall para nuestras web-apps, además de monitorizar el tráfico en tiempo real, ayudándonos a defendernos contra ataques por fuerza bruta.

Instalar este módulo no es más complejo que ejecutar los siguientes comandos:

En Debian/Ubuntu:

En CentOS, RHEL, Fedora:

Mod_evasive previene ataques DDoS y ataques por fuerza bruta, procesando cada petición con detenimiento analizando su composición. Usa tres métodos de detección:

  • Si detecta muchas peticiones a una misma página un unos pocos segundos.
  • Si cualquier proceso trata de realizar más de cincuenta peticiones concurrentes.
  • Si una IP sigue intentando hacer nuevas peticiones cuando ésta se encuentra en lista negra.

Para su instalación sólo deberemos ejecutar estos comandos:

 

7. Deshabilitar Enlaces Simbólicos

Por defecto la instalación de Apache sigue los symlinks o enlaces simbólicos, pero es un inconveniente fácilmente reparable. Bastará con encontrar el apartado ‘Enable symbolic links’ y añadir la directiva

 

8. Limitar tamaño de peticiones

Por defecto Apache no establece ningún límite para las peticiones, como las peticiones HTTP por ejemplo, y si configurásemos una petición desmesurada al servidor web, podríamos sufrir un ataque por denegación del servicio.

Esto podremos modificarlo aplicando un límite para las peticiones en el fichero de configuración de Apache mediante la directiva ‘LimitRequestBody’ en la etiqueta de Directorio. Podremos establecer un límite comprendido entre 0 (sin límite) y 2147483647 (2GB) que deberemos expresar como habéis visto en bytes.

Si por ejemplo tenemos una web y queremos permitir que se suban archivos de más de 500k, deberemos aplicar esta configuración:

 

Con estos consejos tendremos un servidor bastante más seguro que por defecto, tema muy interesante visto como esta hoy en día el tema.

Fuente: openwebinars.net

facebook Consejos de seguridad en servidores Apachetwitter Consejos de seguridad en servidores Apachegoogle Consejos de seguridad en servidores Apachediggit Consejos de seguridad en servidores Apachepinterest Consejos de seguridad en servidores Apachelinkedin Consejos de seguridad en servidores Apacheprint Consejos de seguridad en servidores Apacheemail Consejos de seguridad en servidores ApacheSi te gusto, comparte el articulo.

Artículos Relacionados

Agregar comentario


*

Recibe nuestro newsletter

Suscribete a nuestro newsletter y mantente informado con nuestros últimos artículos, noticias y más. Todo completamente gratis.