Hardening de un servidor Apache - Anti GATERING

De -

Hardening de un servidor Apache

Apache es un servidor web muy popular para un entorno Linux. Al igual que la mayoría de los servicios visibles en Internet, se deben implementar formas de protegerse de usuarios malintencionados. Aquí discuto cómo se endurecen mis instalaciones de Apache como instalados a través del sistema de paquetes apt-get gestión en Debian (debe ser el mismo en Ubuntu también). Esta facilidad se debe aplicar a otras distribuciones, pero sólo en cuenta que las ubicaciones de los archivos son probablemente diferentes.

1) Deshabilitar módulos innecesarios


Al instalar apache a través de apt-get en un servidor basado en Debian, que viene con unos pocos módulos pre-activado para dar a un atacante demasiada información sobre su sistema. Estos son el AUTOINDEX y los módulos de estado. Esto es lo que hacen:

     autoindex: ofrece una buena lista de todos los archivos en un directorio donde se le da ningún archivo de índice
     status: le da un buen poco monitoreo de páginas web

Hay mas de una manera de desactivar estos módulos. Usted puede eliminar el enlace simbólico de /etc/apache/mods-enabled/ o utilizar built in que hace exactamente lo mismo.

a2dismod status
a2dismod autoindex

2) Cambiar algunos de los ajustes por defecto

De forma predeterminada, la mayoría de las aplicaciones que dan la configuración , permiten funcionar sin tocarlas para nada. Para asegurar las cosas por lo general, tiene que editar los archivos de configuración. Bueno, apache no es diferente. Abrir /etc/apache2/apache2.conf y cambiar lo siguiente:
Sugerencia: usar la función de búsqueda de su editor para encontrar rápidamente las opciones

     ServerSignature Off
         Oculta su version de apache en las paginas de error
     ServerTokens Prod
         Detiene la inclusion de informacion en el  encabezado HTTP que da las versiones de Apache
     Quite o comente <IfModule mod_autoindex.c> ... </IfModule>
         Es innecesario tener eso aqui
     Eliminar el alias /icons/ , junto con el listado del directorio
         Estos iconos sólo son utilizados por el módulo de índice automático, no hay razón para tener eso

3) Agregue un poco mas de configuracion custom


Agregue lo siguiente a /etc/apache2/httpd.conf. Explicado que hace en comentarios
<Directory /var/www>
# Utilice esto para evitar el metodo TRACE http el cual sirve
# para recabar(gathering path information) informacion de proxy o servidores (cache servers)

  <LimitExcept GET POST>
     deny from all
  </LimitExcept>

# El '-' desabilita las siguientes funciones
#  FollowSymLinks - puede ser utilizado para buscar carpetas fuera del arbol del directorio
#
#  Includes - maneja a .shtml; previene incluir archivos del servidor, local file include
#
#  AllowOverride None - previene a los desarrolladores cambiar opciones con el
#  .htaccess

  Options -FollowSymLinks -Includes -Indexes  -MultiViews
  AllowOverride None
  Order allow,deny
  Allow from all
</Directory>

Ademas, agregue esto, para prevenir acceso al root de su directorio ( root directory (/) )

<Directory />
    Order deny,allow
    deny from all
</Directory>

4) Cambie algunos permisos


Su carpeta public html (en Debian por default es /var/www) deberia ser escribible solo por el usuario root. Eso si, necesita ser LEIDO por todo el mundo asi que se configura asi, demos los siguientes permisos:

chown -R root /var/www
chmod -R 775 /var/www

Resumen

Estos pasos le dará un servidor Apache bastante seguro, pero de ninguna manera completa y depende totalmente de lo que usted necesita hacer en su servidor. Esto es sólo una lista de mis recomendaciones personales y es lo que uso para configurar un servidor web desde cero. La clave para mantenerse seguro, sin embargo, es mantener sus sistemas actualizados y ver de seguimiento de fallos listas de correo (Bugtraq por ejemplo) de los informes ya que a menudo proporcionan soluciones y soluciones para estos problemas.

-- James Jara

Comentarios

Publicar un comentario

Entradas populares de este blog

Netcat & Wireshark

De -
Imagen
Netcat Esta es una herramienta de red que permite a través de comandos y con una simple abrir puertos TCP/UDP funcionando como servidor (-l), o bien conectarnos a un determinado servidor en un puerto especifico (Cliente), por medio del netcat podemos obtener informacion de banners de servicios, por ejemplo supongamos que realizamos un escaneo con Nmap a un determinado HOST y descubrimos que el puerto 3306 se encuentra abierto, podemos intenar realizar una conexion a ese puerto utlizando el netcat y asi obtener mas informacion sobre determinado servicio, o bien obtener una conexion exitosa a ese puerto. Esta herramienta fue desarrollada por Hobbit en el año 96 y liberada bajo GNU para unix, posteriormente se migro a otras plataformas como Windows y Mac OS X. Se realizo el siguiente video con el fin de mostrar el uso de esta herramienta, en el mismo se realizan conexiones cliente servidor entre windows y backtrack sniffeando los paquetes con wireshark, se muestra como obte...
Leer más
De -
GOOGLE DORKS En general podriamos definir lo que es  Google  Dorks como búsquedas avanzadas mediante el uso de operadores complejos que Google  pone a nuestra disposición, unos de estos operadores son los llamados OPERADORES BOOLEANOS, que son los que Google utiliza   para realizar búsquedas combinadas de varios términos. Esos operadores son una serie de símbolos que Google reconoce y modifican la búsqueda realizada. Además de los operadores booleanos, existen otra serie de palabras clave que se pueden utilizar para  realizar "búsquedas diferentes" con Google El objetivo principal del uso de los Dorks de Google es que mediante el uso de estas facilidades podemos ahorrarnos el trabajo de buscar vulnerabilidades y dejar que google nos muestra las que encontró y tiene indexadas .  "Toda la información proporcionada son para fines educativos.En ningún caso alguno se hace responsable de cualquier mal uso de la información.Toda la información son para el d...
Leer más

Metadata informacion oculta de Fotos Camaras Digitales

De -
Obteniendo informacion oculta de Fotos Camaras Digitales - Metadata EXIF Como saben en information gathering recuperamos , rastreamos y localizamos información de diferentes fuentes, este caso sera de FOTOGRAFÍAS. Para casos donde se involucran fotos, documentos, videos , etc puede localizar a la empresa , solicitando nuestros servicios de hacking forense, para obtener ocultos de estos archivos.. Por ejemplo.. Mucha gente no lo sabe, pero  Cuando usted toma una foto desde una cámara digital, se registra: La hora y fecha El dispositivo Id del dispositivo Otros datos Importantes Coordenadas gps  Y cuando usted edita una foto ,se registra: Datos de la computadora como el username Ruta del archivo (revela información valiosa siempre) Hora y fecha Programa que se utilizo Otros datos varios Al fin esto aplica para cualquier tipo de archivo no solo para fotos, esta es la razón por la cual Si se trabaja en una entidad o empresa hay que tener cuidado c...
Leer más