Secure Web Server Apache Security Five Measures

  

No hace falta decir que, una razón importante para que Apache ocupe la mitad del servidor web es que puede proporcionar un entorno operativo web seguro. La comunidad Apache ha trabajado mucho para garantizar su seguridad. En el pasado, cuando se descubrió que el producto tenía una falla de seguridad, los desarrolladores de Apache crearon un parche lo antes posible.

Sin embargo, aunque Apache ya es un producto de seguridad, si no toma algunas precauciones de seguridad al construir su servidor, este tipo de servidor web todavía es vulnerable a muchos ataques.

En este artículo, te daré 10 consejos para que puedas proteger tu servidor web Apache de muchos ataques. Sin embargo, es importante recordar que debe evaluar cuidadosamente cada técnica para asegurarse de que sea adecuada para su organización.

Solo se requiere instalación

Una de las características más importantes de Apache es su flexibilidad y una gran cantidad de módulos de instalación opcionales, que pueden convertirse en una gran debilidad cuando se trata de problemas de seguridad. Cuanto más instales, más grande se crea la superficie de ataque para los posibles atacantes. Una instalación estándar de Apache contiene más de 20 módulos, incluidas las funciones CGI, así como algunos mecanismos de autenticación. Si no planea adoptar CGI y solo desea usar sitios web estáticos, no necesita autenticación de usuario, probablemente no necesite ninguno de los servicios proporcionados por estos módulos, así que desactívelos cuando instale Apache.

Si está utilizando un servidor Apache en ejecución y no desea volver a instalarlo, debe revisar el archivo de configuración httpd.conf para las líneas que comienzan con LoadModule. Consulte la documentación de Apache (también puede buscar con Google, Yahoo, etc.), encuentre el propósito de cada módulo y averigüe qué módulos no necesita. Luego reinicie Apache. //Este artículo se transfirió desde la red de aplicaciones de hardware y software de computadora www.45it.com.cn

Exposición minimizada

Apache es fácil de instalar y bastante fácil de administrar. Desafortunadamente, muchas instalaciones de Apache proporcionan demasiada información útil sobre su servidor para extraños completos, como los números de versión de Apache y la información relacionada con el sistema operativo. Con esta información, un atacante potencial puede rastrear vulnerabilidades devastadoras específicas que pueden afectar su sistema, especialmente si no tiene la capacidad de mantener todos los parches actualizados. De esta manera, el atacante puede saber exactamente qué está ejecutando sin prueba y error, para que pueda ajustar su método de ataque.

Para evitar que el servidor transmita información confidencial, asegúrese de desactivar la directiva ServerSignature en httpd.conf. Una instalación predeterminada de Apache desactivará esta directiva, pero muchos administradores la han habilitado.

Del mismo modo, deshabilitar la búsqueda de directorios también es una buena idea. Cuando la búsqueda de directorios está habilitada, los usuarios que acceden a un directorio que no contiene los documentos que necesitan verán una lista completa de contenido en ese directorio. Sin lugar a dudas, no debe almacenar material confidencial en texto sin formato en un servidor web. A menos que deba hacerlo, no debe permitir que las personas vean más de lo que necesitan.

La navegación de directorios está habilitada por defecto. Para deshabilitar esta función, edite el archivo http.conf y borre la referencia de Índices para cada directiva de Directorio.

Por ejemplo, en el servidor Apache 2.2.4 del autor para experimentación, este es el comando de directorio predeterminado:

Índices de Opciones FollowSymLinks
AllowOverrride Ninguno
Permitir orden, denegar
Permitir de todos

Borre el aspecto después de la referencia de los índices:

Opciones FollowSymLinks
AllowOverrride Ninguno
Permitir orden, denegar
Permitir de todos

También puede deshabilitar la directiva (es decir, -Indexes) manteniendo la directiva de índices y arrancando con un guión.

Deshabilitar el seguimiento de la conexión simbólica

Si usted es la única persona que está revisando el contenido web y casi no comete errores al crear un nuevo enlace simbólico, es posible que no se preocupe por esto. Sin embargo, si tiene muchas personas que pueden agregar contenido a su sitio, no todos son tan cautelosos como usted, existe el riesgo de que un usuario pueda crear accidentalmente un enlace simbólico a su sistema de archivos. Parte de eso, y realmente no quieres que la gente vea estos archivos. Por ejemplo, si alguien en la raíz de su servidor Apache crea un enlace simbólico a una carpeta /, ¿qué debería hacer?

Para cancelar la solicitud del servidor Apache para permitir a los usuarios rastrear enlaces simbólicos, debería Borre el comando FollowSymlinks en el comando Directorio.

Por ejemplo, en el servidor experimental Apache 2.2.4 del autor, el comando de Directorio es el siguiente:

Índices de Opciones FollowSymLinks
AllowOverrride Ninguno
Permiso de orden, rechazar
Permitir De todos

Después de borrar la referencia de FollowSymLinks, se ve así:

Índices de Opciones
AllowOverrride Ninguno
Permitir pedido, denegar
Permitir de todos

Si algunos usuarios necesitan la capacidad de rastrear enlaces simbólicos, considere usar SymLinksIfOwnerMatch en su lugar.

Características específicas del comando de escucha

Cuando instala Apache por primera vez, httpd.conf contiene un comando de escucha 80. Debe cambiarse a Listen mn.xx.yy.zz: 80, donde mn.xx.yy.zz es la dirección IP que desea que Apache escuche para su solicitud. Esto es especialmente importante si su Apache se ejecuta en un servidor con varias direcciones IP. Si no toma precauciones, el comando predeterminado Escuchar 80 le dice a Apache que escuche en el puerto 80 de cada dirección IP.

Sin embargo, es posible que esta medida no se aplique a su entorno y debe determinarse según sea necesario.

Elimine los comentarios predeterminados de httpd.conf

El archivo predeterminado httpd.conf en Apache 2.2.4 tiene más de 400 líneas. De las 400 líneas, solo una pequeña parte son las instrucciones reales de Apache, y el resto son solo comentarios que ayudan al usuario a colocar correctamente las instrucciones en httpd.conf. Según la experiencia del autor, estos comentarios a veces tienen un efecto negativo e incluso mantienen instrucciones peligrosas en el archivo. Copié el archivo httpd.conf a otros archivos, como httpd.conf.orig, en muchos de los servidores Apache que administro, y luego eliminé por completo los comentarios adicionales. Los archivos se vuelven más fáciles de leer, lo que resuelve mejor los posibles problemas de seguridad o configura incorrectamente los archivos.

Copyright © Conocimiento de Windows All Rights Reserved