Hardening en un servidor web Apache2

Otra de las deudas técnicas que tenía con este blog era la de algunos tips útiles para realizar un Hardening a un servidor Apache2. A continuación relaciono algunas de las cosas mas importantes:

  1. Desactivar las banderas de versión:
    Cuando mostramos la versión de nuestro navegador estamos facilitando la vida del atacante, pues ya restringe el dominio de vulnerabilidades que tendrá que explorar para buscar un vector de ataque.
    Añadir esto al final de nuestro archivo de configuración de apache, en ubuntu en /etc/apache2/httpd.conf

    ServerTokens Prod
    ServerSignature Off 
  2. Desactivar el indexado de archivos:
    Apache por defecto permite explorar archivos por medio de un navegador, lo cual puede revelar información confidencial de nuestros usuarios o nuestro sistema, por eso es bueno desactivar el indexado:
    Añadir esto en el segmento de nuestro virtualhost

    <Directory /ruta/al/directorio/raiz/de/apache>    
    Options -Indexes    
    AllowOverride None    
    Order deny,allow    
    Deny from all    
    </Directory>
  3. Quitar los permisos de ejecución a terceros en carpetas donde se pueda subir información:
    Una explicación mas detallada de esto se puede encontrar en este post

    sudo groupadd varwwwusers
    sudo adduser www-data varwwwusers
    sudo chgrp -R varwwwusers /var/www/html
    sudo chmod -R 770 /var/www/html
  4. Deshabilitar métodos inseguros:
    Aunque a veces nos limitamos al GET y al POST, HTTP tiene otro montón de métodos que pueden ser usados en nuestra contra, para el robo de credenciales por medio de cookies se suele usar el método TRACE que esencialmente hace un eco de la petición entrante, permitiendo a un tercero interceptar las cookies entrantes
    Para deshabilitarlo, basta añadir esta línea al archivo de configuración

    TraceEnable off

    Se pueden Restringir todos los métodos a excepción de los nombrados usando la etiqueta LimitExcept, pero lo dejo a decisión de cada desarrollador

    <LimitExcept GET POST HEAD>
    deny from all
    </LimitExcept>
  5. Mantenerse actualizado:
    Siempre es importante mantener la versión de nuestras aplicaciones lo mas actualizadas posibles, usualmente los proveedores parchan los bugs y vulnerabilidades en los nuevos lanzamientos de versiones.

Si quieres una guía adicional, te recomiendo este artículo

Related Posts

Definitivamente docker ofrece muchas ventajas a la hora de instalar paquetes de software, en esta ocación listaré un conjunto de imágenes las cuale...

Primero se redirecciona el dominio @ a la dirección IP del servidor, para esto se ingresa a Godaddy, se selecciona el dominio y se le da Administra...

Para todos aquellos que alguna vez hemos desarrollado en Django con Python 2.7, esto es un problema gigante, pero definitivamente solucionable.

...