Ensayo De Seguridad De Apache

INTRODUCCIÓN

Apache es uno de los servidores Web más utilizados y una parte vital cuando alojamos un website o un servicio Web. Este cuenta con varias herramientas que nos pueden ayudar a reforzar la resistencia de nuestro website a posibles ataques. En este documento vamos a ver algunas recomendaciones para reforzar la seguridad de nuestro servidor apache.

Todas las modificaciones se hacen en el archivo de confirguracion de apache /etc/httpd/conf/httpd.conf.

Lo primero que se hace es deshabilitar la firma o Banner de Apache

La Firma de Apache es el nombre de la aplicación junto con su versión que se muestran al momento de hacer un requerimiento Web. Esta información no es necesaria y puede ser utilizada por un atacante para violar la seguridad del servidor.

Un breve ejemplo, supongamos que Apache versión 1.4 tiene una brecha de seguridad que es fácil de comprometer y fue solucionada en la versión 1.6, si usted no ha actualizado y el atacante conoce esta información, ya inmediatamente sabrá por donde atacar.

Para deshabilitar esto accedemos al archivo de configuración de Apache y modificamos los siguientes valores:

ServerSignature off

ServerTokens ProductOnly

Proseguimos a deshabilitar el HTTP TRACE

HTTP TRACE es usado para devolver toda la información recibida. Puede ser modificado para que devuelva cookies HTTP robando la sesión HTTP. Puede ser utilizado para ataques de Cross Site Scripting o XSS, así que lo más recomendable es deshabilitarlo por cuestiones de seguridad. Modificamos lo siguiente en el archivo de configuración de Apache:

TraceEnable off

Confirmamos que Apache corre bajo el usuario y grupo Apache

Es de vital importancia que se asegure que apache corra bajo el usuario y grupo Apache. Unos de los errores más grandes que se ha visto es que lo dejan correr como Root y esto lleva a una seria brecha de seguridad. Para confirmarlo se accede al archivo de configuración de Apache, se verifica o se modifica las siguientes directivas.

User apache

Group apache

Se Deshabilita los modulos que no se esten utilizando

Apache cuenta con varios módulos. Si se quiere ver cuáles módulos en el servidor está corriendo se ejecuta el siguiente comando como root.

# grep –n LoadModule /etc/httpd/conf/httpd/conf

Aquí desplegara un Listado con todos los módulos que Apache carga. Analice la lista y confirmar cuales utiliza el servidor, los que no, simplemente se comenta la línea en el archivo de configuración.

Se limita el tamaño de las solicitudes

Los ataques de Denial of Service (DOS) siempre son posibles cuando se permite solicitudes de gran tamaño en el servidor Apache. Apache cuenta con una directiva para limitar esto:

LimitRequestBody

Por defecto está ilimitada. Se modifique este valor según sea la necesidad del sitio web.

No permitir que apache acceda a Directorios fuera de su raiz

Permitirle a Apache que tenga acceso a directorios fuera de su raíz es dejar una gran brecha de seguridad, al menos que realmente se necesite que Apache acceda a ellos. Para deshabilitar esto sólo se tiene que modificar la entrada Directory de Document Root para que se vea como sigue:

<Directory />

Order Deny,

...