Recomendaciones Seguridad Servidor Web Apache.
Apache es uno de los servidores Web más utilizados y una parte vital cuando alojamos un website o un servicio Web. Este cuenta con varias herramientas que nos pueden ayudar a reforzar la resistencia de nuestro website a posibles ataques. En esta publicación vamos a ver algunas recomendaciones para reforzar la seguridad de nuestro servidor apache.
Todas las modificaciones se harán en el archivo de configuración de Apache
/etc/httpd/conf/httpd.conf
1. Deshabilite la Firma o Banner de Apache
La Firma de Apache es el nombre de la aplicación junto con su versión que se muestran al momento de hacer un requerimiento Web. Esta información no es necesaria y puede ser utilizada por un atacante para violar la seguridad del servidor, Se preguntarán ustedes en que afecta esto, un breve ejemplo, supongamos que apache versión 1.4 tiene una brecha de seguridad que es fácil de comprometer y que fue solucionada en la versión 1.6, si usted no ha actualizado y el atacante conoce esta información ya inmediatamente sabrá por donde atacar.
Para deshabilitar esto accedemos al archivo de configuración de Apache,
Modificamos los siguientes valores,
ServerSignature offServerTokens ProductOnly
2. Deshabilite el HTTP TRACE
HTTP TRACE Es usado para devolver toda la información recibida. Puede ser modificado para que devuelva cookies HTTP, como resultado robando la sesión HTTP. Puede ser utilizado para ataques de Cross Site Scripting o XSS, así que lo más recomendable es deshabilitarlo por cuestiones de Seguridad.
Modificamos lo siguiente en el archivo de configuración de Apache,
TraceEnable off
3. Confirme que Apache corre bajo el usuario y grupo apache.
Es de vital importancia que nos aseguremos que apache corra bajo el usuario y grupo apache. Unos de los errores más grandes que he visto es que lo dejan correr como Root y esto lleva a una seria brecha de seguridad. Para confirmarlo accedemos al archivo de configuración de Apache, verificamos o modificamos las siguientes directivas.
User apacheGroup apache
4. Deshabilite Módulos que no esté utilizando
Apache cuenta con varios módulos. Si queremos ver cuáles módulos nuestro servidor está corriendo podemos ejecutar el siguiente comando como root.
# grep –n LoadModule /etc/httpd/conf/httpd/conf
Aquí veremos un Listado con todos los módulos que Apache Carga. Analice la Lista y confirme cuales utiliza su servidor, los que no, Simplemente comente la línea en el archivo de configuración.
5. Limite el tamaño de las Solicitudes
Los Ataques de Denial of Service siempre son posibles cuando permitimos solicitudes de gran tamaño en nuestros servidor Apache. Apache cuenta con una Directiva para limitar esto,
LimitRequestBody
Por defecto esta ilimitada. Modifique este valor según sea la necesidad de su sitio web.
6. No permita que Apache acceda a Directorios fuera de su Raíz.
Permitirle a Apache que tenga acceso a Directorios fuera de su Raíz es dejar una gran brecha de seguridad, al menos que usted realmente necesita que Apache acceda. Para deshabilitar esto solo tiene que modificar la entrada Directory de document root para que se vea como sigue.
<Directory />Order Deny, AllowDeny from allOptions NoneAllowOverride None</Directory>
7. Implemente Mod_Security
Uno de los Módulos más importante de Apache sin duda es Mod_Security. Este es un Firewall de aplicaciones web que puede manejar varias tareas incluyendo filtrado simple, filtrado de expresiones regulares, validación de la codificación de una URL, entre otras. Mod_security es un tema amplio conjunto con su instalación, Así que le voy a dedicar una publicación solo a este módulo abundando un poco más sobre el tema y su instalación.
8. Actualice
Mantenga Apache siempre actualizado, y si su sitio Web usa PHP, manténgalo actualizado de igual forma para así garantizar que cuenta con los últimos parches de seguridad.
Aquí les deje algunas algunas de las recomendaciones de seguridad más importantes para reforzar la seguridad de nuestro servidor Apache, Mas adelante estaré publicando sobre mas recomendaciones y más importante sobre Mod_Security para que refuercen la seguridad de sus servidores.
Comentarios
Publicar un comentario