seguridad-informatica-costarica.blogspot.

com
james jara web jamesjara.com

Hardening de un servidor Apache , Anti GATHERING

Hardening de un servidor Apache Gathering es la tecnica utilizada para extraer informacion sobre un objetivo, desde la ip, sistema operativo, servidores, versiones hasta geolocalizacion, con esta configuracion podemos mitigar y proteger (hardening) el servidor un poco mas..

Apache es un servidor web muy popular para un entorno Linux. Al igual que la mayora de los servicios visibles en Internet, se deben implementar formas de protegerse de usuarios malintencionados. Aqu discuto cmo se endurecen mis instalaciones de Apache como instalados a travs del sistema de paquetes apt-get gestin en Debian (debe ser el mismo en Ubuntu tambin). Esta facilidad se debe aplicar a otras distribuciones, pero slo en cuenta que las ubicaciones de los archivos son probablemente diferentes.

1) Deshabilitar mdulos innecesarios

Al instalar apache a travs de apt-get en un servidor basado en Debian, que viene con unos pocos mdulos pre-activado para dar a un atacante demasiada informacin sobre su sistema. Estos son el AUTOINDEX y los mdulos de estado. Esto es lo que hacen: autoindex: ofrece una buena lista de todos los archivos en un directorio donde se le da ningn archivo de ndice status: le da un buen poco monitoreo de pginas web Hay mas de una manera de desactivar estos mdulos. Usted puede eliminar el enlace simblico de /etc/apache/mods-enabled/ o utilizar built in que hace exactamente lo mismo. a2dismod status a2dismod autoindex

2) Cambiar algunos de los ajustes por defecto

De forma predeterminada, la mayora de las aplicaciones que dan la configuracin , permiten funcionar sin tocarlas para nada. Para asegurar las cosas por lo general, tiene que editar los archivos de configuracin. Bueno, apache no es diferente. Abrir /etc/apache2/apache2.conf y cambiar lo siguiente:

seguridad-informatica-costarica.blogspot.com jamesjara.com

Sugerencia: usar la funcin de bsqueda de su editor para encontrar rpidamente las opcionesServerSignature Off Oculta su version de apache en las paginas de error ServerTokens Prod Detiene la inclusion de informacion en el encabezado HTTP que da las versiones de Apache Quite o comente <IfModule mod_autoindex.c> </IfModule> Es innecesario tener eso aqui Eliminar el alias /icons/ , junto con el listado del directorio Estos iconos slo son utilizados por el mdulo de ndice automtico, no hay razn para tener eso

3) Agregue un poco mas de configuracion custom

Agregue lo siguiente a /etc/apache2/httpd.conf. Explicado que hace en comentarios <Directory /var/www> # Utilice esto para evitar el metodo TRACE http el cual sirve # para recabar(gathering path information) informacion de proxy o servidores (cache servers) <LimitExcept GET POST> deny from all </LimitExcept> # El - desabilita las siguientes funciones # FollowSymLinks puede ser utilizado para buscar carpetas fuera del arbol del directorio # # Includes maneja a .shtml; previene incluir archivos del servidor, local file include # # AllowOverride None previene a los desarrolladores cambiar opciones con el # .htaccess Options -FollowSymLinks -Includes -Indexes -MultiViews AllowOverride None Order allow,deny Allow from all </Directory> Ademas, agregue esto, para prevenir acceso al root de su directorio ( root directory (/) ) <Directory /> Order deny,allow deny from all </Directory>

4) Cambie algunos permisos

Su carpeta public html (en Debian por default es /var/www) deberia ser escribible solo por el usuario root. Eso si, necesita ser LEIDO por todo el mundo asi que se configura asi, demos los siguientes permisos: chown -R root /var/www chmod -R 775 /var/www

Resumen
Estos pasos le dar un servidor Apache bastante seguro, pero de ninguna manera completa y depende totalmente de lo que usted necesita hacer en su servidor. Esto es slo una lista de mis recomendaciones personales y es lo que uso para configurar un servidor web desde cero. La clave para mantenerse seguro, sin embargo, es mantener sus sistemas actualizados y ver de

seguridad-informatica-costarica.blogspot.com jamesjara.com

seguimiento de fallos listas de correo (Bugtraq por ejemplo) de los informes ya que a menudo proporcionan soluciones y soluciones para estos problemas. James Jara

seguridad-informatica-costarica.blogspot.com jamesjara.com