Que tu servidor Apache Lamp sea más seguro

Actualizado el sábado, 11 enero, 2020

En este articulo vamos a intentar securizar el Apache de tu servidor Lamp. Así que sin ningún preámbulo comenzamos…

 

Ocultar información sensible:

La información que proporciona Apache por defecto, es muy sensible. Por tanto sería posible que un atacante maligno se apoderara de nuestro servicio. Intentamos solucionarlo con una nueva configuración.

sudo nano /etc/apache2/conf-available/custom.conf

Copia, pega y guarda el siguiente código:
ServerTokens Prod
ServerSignature Off
TraceEnable Off
Options all -Indexes
Header unset ETag
Header always unset X-Powered-By
FileETag None

En caso de que no lo tengas activado, activamos el modulo «headers».
sudo a2enmod headers

Habilitamos la nueva configuración:
sudo a2enconf custom.conf

Reiniciamos apache.
sudo systemctl restart apache2.service

 

Instalar y habilitar mod_security

Es un firewall de aplicaciones web (WAF) que se instala como módulo adicional de Apache.

sudo apt-get install libapache2-modsecurity

sudo a2enmod security2

Ya esta instalado. Configuramos el módulo y habilitamos las reglas básicas.
sudo mv /etc/modsecurity/modsecurity.conf-recommended /etc/modsecurity/modsecurity.conf

nano /etc/modsecurity/modsecurity.conf

Ahora copia y pega, o edita la siguiente configuración en tu archivo modsecurity.conf.
SecRuleEngine On
SecResponseBodyAccess Off
SecRequestBodyLimit 8388608
SecRequestBodyNoFilesLimit 131072
SecRequestBodyInMemoryLimit 262144

Guarda y cierra el archivo.

Ahora eliminamos el CRS actual e instalamos el OWASP CRS, usa los siguientes comandos:

sudo rm -rf /usr/share/modsecurity-crs

sudo git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git /usr/share/modsecurity-crs

cd /usr/share/modsecurity-crs

sudo mv crs-setup.conf.example crs-setup.conf

Proseguimos, editamos el archivo…. «security2.comf».
nano /etc/apache2/mods-enabled/security2.conf

editamos:
<IfModule security2_module>
	SecDataDir /var/cache/modsecurity
	IncludeOptional /etc/modsecurity/*.conf
	IncludeOptional "/usr/share/modsecurity-crs/*.conf"
	IncludeOptional "/usr/share/modsecurity-crs/rules/*.conf
</IfModule>

Guardamos y reiniciamos apache.
sudo systemctl restart apache2.service

 

Instalar y habilitar mod_evasive

El mod_evasive se utiliza principalmente para protegerte de ataques:

  • Dos
  • DDos
  • Force Brute

Empezamos:

sudo apt-get install libapache2-mod-evasive

Abrimos el archivo /etc/apache2/mods-enabled/evasive.conf .
nano /etc/apache2/mods-enabled/evasive.conf

y lo editamos para que nos quede tal como el ejemplo:
<IfModule mod_evasive20.c>
	DOSPageCount        5
	DOSSiteCount        50
	DOSPageInterval     1
	DOSSiteInterval     1
	DOSBlockingPeriod   600
	DOSLogDir           "/var/log/mod_evasive"
</IfModule>

Guarda y cierra.

Por ultimo creamos un directorio donde se almacenaran los logs de registro.

sudo mkdir /var/log/mod_evasive

sudo chown -R www-data: /var/log/mod_evasive

Reiniciamos apache:
sudo systemctl restart apache2.service

 

Y con estos simples consejos, tu apache estará mucho más protegido. Suerte.

 

Agregar comentario