8 Consejos de seguridad servidores Apache

https://openwebinars.net/consejos-seguridad-serv...

BLOG
Qu quieres leer hoy?

8 Consejos de seguridad servidores

Apache

Por Esa A.
el 02 de March de 2016

Like

124

Tweet

Vamos a ver unos consejos con los que asegurar un poco una instalacin por defecto de
Apache y evitar ser vctimas de la mayora de los ataques.

1. Ocultar versin y sistema

1 of 9

09/08/16 16:52

8 Consejos de seguridad servidores Apache

https://openwebinars.net/consejos-seguridad-serv...

Mediante la instalacin por defecto de Apache muchas conguraciones que aplica, son
excelentes para entornos de desarrollo, no obstante encontramos que pueden ser fuente de
origen a la hora de encontrar vulnerabilidades.
En este apartado destaca el que por defecto muestre la versin con la que estamos
trabajando, que ya de por s en entornos en produccin es algo nefasto, pero no queda ah
ya que tambin muestra el sistema operativo e incluso la IP y el puerto al que tenemos
escuchando.
Esto podemos solucionarlo llegando al chero de conguracin y buscando el parmetro
ServerSignature en el directorio de instalacin de Apache (/etc/httpd/conf/httpd.conf en
RHEL, CentOS o Fedora; y /etc/apache/apache2.conf en Debian/Ubuntu). Por defecto lo
encontraremos como 'On, cosa que cambiaremos y estableceremos Off para evitar este
inconveniente que hemos encontrado.
nano /etc/httpd/conf/httpd.conf //CentOS, Fedora, RHEL
nano /etc/apache/apache2.conf

// Debian, Ubuntu

ServerSignature Off
ServerTokens Prod

Y tras la conguracin deberemos reiniciar los servicios si queremos comprobar que todo
funciona como debera.
service httpd restart
service apache2 restart

2. Desactivar listado de directorios

Otro aspecto por defecto bastante molesto si somos mnimamente precavidos en cuanto a
seguridad. Esto de que Apache muestre los directorios y archivos que tenemos alojados no
termina de convencer a muchos, por lo que vamos a corregirlo.
Para ello nos dirigiremos al chero de conguracin correspondiente segn el sistema

Las cookies nos permiten ofrecer nuestros servicios. Al utilizar nuestros servicios,
aceptas el uso qu
donde
nosde
encontremos
y buscaremos
la directiva
Options, debiendo quedar de la Aceptar
hacemos
las cookies.
Ms Informacin
(/cookies/
).

2 of 9

09/08/16 16:52

8 Consejos de seguridad servidores Apache

https://openwebinars.net/consejos-seguridad-serv...

siguiente forma:
<Directory /var/www/html>
Options Indexes
</directory>

3. Mantenernos actualizados
Tener nuestra instalacin actualizada puede salvarnos de ms de una situacin incmoda, ya
que las correcciones principales son en base a vulnerabilidades que se han corregido, por lo
que es algo ms que recomendable, obligatorio.
yum update httpd
apt-get install apache2

Para ver qu versin tenemos instalada slo deberemos ejecutar el comando:

httpd v
apache2 v

4. Deshabilitar mdulos innecesarios

Esto es algo muy destacable, ya que afecta directamente al rendimiento y ocupacin de
recursos del hosting, adems por supuesto de hacer nuestro sitio ms frgil en cuanto a
ataques a consecuencia de una vulnerabilidad en algn mdulo, a ms mdulos activos, ms
posibilidades de ser vctimas
Deshabilitarlos es tan sencillo como comentar las lneas de cada mdulo indeseado en el
archivo de conguracin, y para encontrar los mdulos cargados bastar con utilizar el
siguiente comando:

Las cookies nos permiten ofrecer nuestros servicios. Al utilizar nuestros servicios,
aceptas el uso qu
Aceptar
hacemos de las cookies.
Ms Informacin
(/cookies/
).

3 of 9

09/08/16 16:52

8 Consejos de seguridad servidores Apache

https://openwebinars.net/consejos-seguridad-serv...

grep LoadModule /etc/httpd/conf/httpd.conf

grep LoadModule /etc/apache2/apache2.conf

# have to place corresponding `LoadModule' lines at this location

# LoadModule foo_module modules/mod_foo.so
LoadModule
LoadModule
LoadModule
LoadModule
LoadModule
LoadModule
LoadModule
LoadModule
LoadModule
LoadModule
LoadModule
LoadModule
LoadModule
LoadModule
LoadModule
LoadModule

auth_basic_module modules/mod_auth_basic.so
auth_digest_module modules/mod_auth_digest.so
authn_file_module modules/mod_authn_file.so
authn_alias_module modules/mod_authn_alias.so
authn_anon_module modules/mod_authn_anon.so
authn_dbm_module modules/mod_authn_dbm.so
authn_default_module modules/mod_authn_default.so
authz_host_module modules/mod_authz_host.so
authz_user_module modules/mod_authz_user.so
authz_owner_module modules/mod_authz_owner.so
authz_groupfile_module modules/mod_authz_groupfile.so
authz_dbm_module modules/mod_authz_dbm.so
authz_default_module modules/mod_authz_default.so
ldap_module modules/mod_ldap.so
authnz_ldap_module modules/mod_authnz_ldap.so
include_module modules/mod_include.so

....

5. Permitir o Denegar acceso a directorios

No se puede resumir ms, podemos congurar el acceso a los directorios desde el chero de
conguracin con los siguientes parmetros:
None : No permitir a los usuarios activar ninguna funcionalidad sobre este directorio.
Deny, Allow : Este es el orden en el que sern procesadas las rdenes.
Deny from all : Esta directiva denegar el acceso a las peticiones de todos los usuarios al

directorio root.

Las cookies nos permiten ofrecer nuestros servicios. Al utilizar nuestros servicios,
aceptas el uso qu
Aceptar
hacemos de las cookies.
Ms Informacin
(/cookies/
).

4 of 9

09/08/16 16:52

8 Consejos de seguridad servidores Apache

https://openwebinars.net/consejos-seguridad-serv...

<directory />
Options None
Order deny, allow
Deny from all
</directory>

6. Usar Mod_Security y Mod_Evasive

Mod_Security hace las veces de rewall para nuestras web-apps, adems de monitorizar el
trco en tiempo real, ayudndonos a defendernos contra ataques por fuerza bruta.
Instalar este mdulo no es ms complejo que ejecutar los siguientes comandos:
En Debian/Ubuntu:
sudo apt-get install libapache2-modsecurity
sudo a2enmod mod-security
sudo /etc/init.d/apache2 force-reload

En CentOS, RHEL, Fedora:

sudo yum install mod_security
/etc/init.d/httpd restart

Mod_evasive previene ataques DDoS y ataques por fuerza bruta, procesando cada peticin
con detenimiento analizando su composicin. Usa tres mtodos de deteccin:
Si detecta muchas peticiones a una misma pgina un unos pocos segundos.
Si cualquier proceso trata de realizar ms de cincuenta peticiones concurrentes.
Si una IP sigue intentando hacer nuevas peticiones cuando sta se encuentra en lista
negra.
Para su instalacin slo deberemos ejecutar estos comandos:
Las
cookies
nos permiten
ofrecer nuestros
servicios.
Al utilizar
aceptas el uso qu
sudo
yum install
mod_evasive
(para CentOS,
Fedora,
RHEL)nuestros servicios,
Aceptar
hacemos de las cookies.
Ms Informacin
(/cookies/
).

5 of 9

09/08/16 16:52

8 Consejos de seguridad servidores Apache

https://openwebinars.net/consejos-seguridad-serv...

sudo apt-get install libapache2-mod-evasive (Para Ubuntu, Debian)

7. Deshabilitar Enlaces Simblicos

Por defecto la instalacin de Apache sigue los symlinks o enlaces simblicos, pero es un
inconveniente fcilmente reparable. Bastar con encontrar el apartado Enable symbolic
links y aadir la directiva
# Enable symbolic links
Options FollowSymLinks

8. Limitar tamao de peticiones

Por defecto Apache no establece ningn lmite para las peticiones, como las peticiones
HTTP por ejemplo, y si congursemos una peticin desmesurada al servidor web,
podramos sufrir un ataque por denegacin del servicio.
Esto podremos modicarlo aplicando un lmite para las peticiones en el chero de
conguracin de Apache mediante la directiva LimitRequestBody en la etiqueta de
Directorio. Podremos establecer un lmite comprendido entre 0 (sin lmite) y 2147483647
(2GB) que deberemos expresar como habis visto en bytes.
Si por ejemplo tenemos una web y queremos permitir que se suban archivos de ms de
500k, deberemos aplicar esta conguracin:
<directory "var/www/web_01/subida_usuario">
LimitRequestBody 512000
</directory>

Con estos consejos tendremos un servidor bastante ms seguro que por defecto y unos
conocimientos que nos ayudarn en el desarrollo del curso de conguracin de servidores
web (https://openwebinars.net/cursos/servidores-web/), donde se profundizar en el tema
yLas
se cookies
vern otras
muy tiles
y solicitadas
sector. nuestros servicios, aceptas el uso qu
nosherramientas
permiten ofrecer
nuestros
servicios.enAlelutilizar
hacemos de las cookies.
Ms Informacin
(/cookies/
).

6 of 9

Aceptar

09/08/16 16:52

8 Consejos de seguridad servidores Apache

https://openwebinars.net/consejos-seguridad-serv...

Suscrbete ahora a ms de 26 Cursos (/suscripcion/?ref=postcta-button)

Like 124

1 Comment
Recomendar

Tweet

OpenWebinars.Net

Login

Ordenar por los mejores

Share

nete a la discusin...
Oscar Rosado hace 4 meses

Muy interesante. Gracias por compartir!

Reply Share
Subscribe d Aade Disqus a tu sitio web Add Disqus Aadir

Privacidad

(https://creativecommons.org
/licenses/by-nc-sa/4.0/)

Este artculo esta licenciado bajo Creative

Commons Attribution-NonCommercialShareAlike 4.0 International License
(https://creativecommons.org/licenses
/by-nc-sa/4.0/)

Categoras
Destacados (/Categoria/destacados/)
Programacin (/Categoria/programacion/)
Sistemas (/Categoria/sistemas/)
cookies(/Categoria/webinars/)
nos permiten ofrecer nuestros servicios. Al utilizar nuestros servicios,
aceptas el uso qu
Las
Webinars
Aceptar
hacemos de las cookies.
Ms Informacin
(/cookies/
).

Cloud Computing (/Categoria/cloud/)

7 of 9

09/08/16 16:52

8 Consejos de seguridad servidores Apache

https://openwebinars.net/consejos-seguridad-serv...

Servers (/Categoria/servers/)
Ver Ms

Ofertas de Empleo
Tcnico Jr. Servidores Web/Aplicaciones
Grupo Innovati, (Asturias)
(http://www.tecnoempleo.com/tecnico-jr-servidores-web-aplicaciones-asturias/apache-tomcatiis-oracle-w/rf-ce224be691a10h5a4532?utm_source=openwebinars)
Administrador de Sistemes Open Source
Nextret S.L., (Barcelona)
(http://www.tecnoempleo.com/administrador-de-sistemes-open-source-barcelona/gnu-linux-mysqlwmware-cen/rf-4e41lbfd5g69bc20f7e2?utm_source=openwebinars)
Linux System Administrator
Page Personnel, (Barcelona)
(http://www.tecnoempleo.com/linux-system-administrator-barcelona/linux-debian-ubuntu-postxzimbra/rf-ecfa105b0n349z8df416?utm_source=openwebinars)
DevOps- Especialista en Test Agile
Experis, (Madrid)
(http://www.tecnoempleo.com/devops-especialista-en-test-agile-madrid/linux-nginx-tomcat-apacheansible/rf-db0bs4547b8a302112p4?utm_source=openwebinars)
Administrador Sistemas Linux - DevOps
Novabase Espaa S.A., (Madrid)
(http://www.tecnoempleo.com/administrador-sistemas-linux-devops-madrid/linux-apache-ngix-phpjava-mysq/rf-3bd2h2df6baa9n0dd761?utm_source=openwebinars)
VER MS OFERTAS (HTTPS://WWW.TECNOEMPLEO.COM/BUSQUEDA-EMPLEO.PHP?TE=APACHE&
UTM_SOURCE=OPENWEBINARS)

Powered by

Aprende Apache aqu (/cursos/)

Ir al Curso (?ref=next-class-sidebar)

Las cookies nos permiten ofrecer nuestros servicios. Al utilizar nuestros servicios,
aceptas el uso qu
Aceptar
hacemos de las cookies.
Ms Informacin
(/cookies/
).

8 of 9

09/08/16 16:52

8 Consejos de seguridad servidores Apache

https://openwebinars.net/consejos-seguridad-serv...

Otros usuarios tambin vieron...

(/como-congurar-nginx-como-proxy-front-end-para-apache/?ref=post-related)

Cmo aumentar el rendimiento de tu Web usando Nginx como Proxy con Apache (/comocongurar-nginx-como-proxy-front-end-para-apache/?ref=post-related)

(/hacking-tutorial-keyloggers/?ref=post-related)

Hacking Tutorial: Keyloggers (/hacking-tutorial-keyloggers/?ref=post-related)

(/instalar-node-js-en-linux-y-windows/?ref=post-related)

en Linuxofrecer
y Windows
(/instalar-node-js-en-linux-y-windows/?ref=postLasInstalar
cookiesNode.js
nos permiten
nuestros
servicios. Al utilizar nuestros servicios,
aceptas el uso qu
Aceptar
hacemos de las cookies.
Ms Informacin
(/cookies/
).related)

9 of 9

09/08/16 16:52