8/17/2019 Configuracion Apache 1

1/5

Asegurando el Servidor Apache 2.4

Esta es una guía de configuraciones básicas que pueden ser aplicadas al servidor web Apache2, todoslos comandos han sido probados bajo una plataforma LI!" lo que implica que el servidor debe tenerla suite LA#$ para funcionar, la distribuci%n sobre la que se hicieron las pruebas es !buntu &'()' L*+,habiendo instalado previamente a LA#$ todas las actualiaciones de seguridad en el mismo(

La versi%n de apache utiliada es Apache 2(', cabe mencionar que las posibilidades de seguridad quenos brinda este servidor web son mu- e.tensas por lo que en este manual se dan los parámetros paracomenar a implementar una seguridad efectiva en ese servidor, sin embargo, el usuario puede llegarhasta donde sus necesidades lo requieran(

$aso &( /ebemos conocer cual es la versi%n de Apache que estamos ejecutando, esto lo hacemos con elcomando0

1apache2 version

$aso 2( Agregaremos el nombre del servidor al archivo de configuraci%n apache2(conf, ubicado en3etc3apache23 , para tal efecto agregaremos la siguiente línea0

+erverame localhost

localhost será usado para efectos de nuestra clase, aquí debería utiliarse el 45/ del server

$aso 6( El servidor Apache 2(' trae por defecto el /ocument 7oot 3var3www3html, en este casocambiaremos la ruta a 3var3www, esto se hace en el archivo de configuraci%n )))default(conf, estearchivo se ubica en la ruta 3etc3apache23sitesavailable3, para hacer dicho cambio teclearemos lossiguientes comandos en nuestra consola0

1cd 3etc3apache23sitesavailable1nano )))default(conf

- substituiremos la línea /ocument7oot 3var3www3html

por /ocument7oot 3var3www3

!na ve hecho este cambio, reiniciaremos el servicio apache con el comandos

1 3etc3init(d3apache2 restart

8/17/2019 Configuracion Apache 1

2/5

$aso '( $robaremos en nuestro navegar a escribir http033localhost, o bien http033ip8del8servidor, losiguiente que nos aparecerá será una imágen como la siguiente0

  El servidor 9eb sigue funcionando, sin embargoa:n está devolviendo informaci%n que podría servaliosa para un posible atacante de nuestro servicio,

esta informaci%n corresponde al sistema operativoen el cuál opera, la versi%n de Apache que tenemosinstalada - permite inde.ar o mostrar los directoriosque ha- dentro del directorio 3var3www( Estainformaci%n debe limitarse, es aquí donde comienael proceso de asegurar el servidor web(

 $aso ;( ens $rod

el efecto será que no se muestre la versi%n de sistema operativo que estamos ejecutando(

Lo siguiente será ocultar la versi%n de Apache, esto se consigue editando las siguientes líneas0

descomentariamos +erver+ignature

8/17/2019 Configuracion Apache 1

3/5

Breamos un archivo llamado inde.(html en el /ocument7oot - al llamar a nuestro servidor en nuestronavegador debería verse de la siguiente forma0

Bomo puede observarse -a no se muestra ninguna informaci%n del servidor(

$aso ( Instalar mod8evasive, este modulo permitirá bloquear un posible ataque de denegaci%n deservicio, este es un m%dulo mu- básico - se recomienda el uso de mod8securit- para garantiar laeficiencia de seguridad del servidor(

os iremos a 3home3usuario- crearemos una carpeta nueva, en mi caso descargas, ingresaremos a esta carpeta- teclearemos

aptget install libapache2modevasive

Brearemos el directorio donde se almacenarán los logs del m%dulo

1 m>dir 3var3log3mod8evasive

Asignamos los permisos correspondientes a la carpeta de logs

1chown wwwdata0wwwdata 3var3log3mod8evasive3

la configuraci%n del m%dulo se muestra en la ruta 3etc3apache23modsavailable3evasive(conf

- nos muestra un archivo con algo similar a lo siguiente0

@ifmodule mod8evasive2)(c/

8/17/2019 Configuracion Apache 1

4/5

/

8/17/2019 Configuracion Apache 1

5/5

+i solo queremos ver las establecidas0

netstat planQgrep 0P) Q grep E+*AHLI+FE/ Q aw> RSprint T;SUQcut d0 f &QsortQuniq cQsort n

$aso P( vitar un Brosssite, básicamente esto consiste en reducir el riesgo de que un tercero puedarealiar una in-ecci%n de cualquier lenguaje script, OHscript, java +cript( etc(, para esto habilitamos el

modulo rewrite de Apache2 editando el archivo de configuraci%n de cada virtualhost o de nuestro3etc3apache23sitesavailable3)))default(conf

- agregamos las siguientes lineas entre las etiquetas @OirtualFost0P)

@If#odule mod8rewrite(c7ewriteEngine