Protegiendo tu servidor Apache

Muchos de los ataques que suelen recibir los sitios web, se deben a malas configuraciones  o configuraciones por “default” realizadas por algunos administradores que menosprecian el valor de la información y por tanto no se consideran como posibles objetivos

Sin embargo, es muy recomendable procurar tener seguro cualquier servidor, asi sea el de pruebas, el que tengamos en nuestro hogar o por el contrario el servidor principal de nuestra empresa. Ahora bien, Muchos de los lectores se diran en este momento:  “Pero yo no soy experto en seguridad” y en efecto, tienen razon pero esto no es una limitante, si bien es cierto que se requieren ciertos conocimientos tecnicos, tambien lo es que existen procedimientos basicos que ayudaran a que nuestro servidor, sea menos vulnerable a scriptkiddies y lammer, personajes que abundan en la red . En este articulo se pretende dar a conocer algunos consejos o trucos que nos brinden un poco mas de seguridad en nuestro servidor web apache, no sobra decir que son consejos muy basicos, pero aplicados nos pueden salvar de  muchas situaciones.

Consejos para brindar mas seguridad a nuestro servidor Apache

  1. Este consejo es aplicable en cualquier en cualquier caso de la informatica. Es parte VITAL para la seguridad de nuestro servidor, actualizar constantemente el software con las ultimas versiones, ya que estas resuelven bugs, que pueden ser explotados por cualquier individuo.
  2. La pagina de error 404 muestra mucha informacion sobre las versiones de los aplicativos que corren en nuestro servidor, esta informacion se puede utilizar posteriormente para  realizar un ataque, buscando algun exploit en la red, que explote una vulnerabilidad a dichas versiones, por esta razon le debemos indicar al apache que no muestre esta informacion, para ello debemos modificar   el archivo security que se encuentra generalmente en  esta ruta /etc/apache2/conf.d/security
  3. Debemos buscar estas opciones y cambiarlas asi respectivamente:

    ServerSignature Off
    ServerTokens Prod

  4. Otro buen consejo consiste en deshabilitar modulos en apache  que no necesitemos, para esto debemos modificar el archivo apache2.conf y alli en la seccion “include module configuration”  poner solo los modulos necesarios.
  5. Instalar el modulo security disponible para apache. Este modulo es muy util, para brindar un poco mas de seguridad a nuestro apache, en Internet existen muchas paginas que explican el proceso de instalacion.
  6. Por ultimo aunque no es un consejo especifico para el servidor Apache, es fundamental que las aplicaciones que esten colgadas en el servidor, sean lo suficientemente seguras, para que  no se comprometa la seguridad de nuestro sistema, procuremos filtrar todas las variables para prevenir ataques como sql injection, RFI, LFI, Xss entre otros.

Con estos pequeños consejos haremos que nuestro servidor, sea un poco menos  vulnerable a  dichas personas que se dedican a compilar y a lanzar exploits y ataques sin pensar. Es algo muy basico pero sirve, si desean obtener mas informacion,  o profundizar en el tema dejo un enlace muy interesante al sitio web de uno de los ponentes en el proximo Eisi que se realizara en octubre en la ciudad de manizales, Chema alonso, hizo una serie de entradas dedicadas a este tema, alli hablan mas a fondo sobre algunos modulos y su posterior configuracion, recomiendo la lectura.

One Comment