Apache Security: 10 consejos para una instalación segura

Apache es una de las aplicaciones de servidor web más populares en uso hoy en día y lo ha sido durante mucho tiempo. Es de código abierto y de descarga gratuita, lo que lo hace muy atractivo como una opción para aquellos que buscan alojar sus sitios web con un presupuesto limitado.

Pero Apache también entra en la categoría de software de "propósito general", lo que significa que puede ser utilizado por cualquier persona con acceso a su código o scripts de instalación. Eso lo deja expuesto a posibles riesgos de seguridad si su sitio no está configurado de manera segura desde el principio.

En este artículo, repasaremos 10 consejos para asegurar su instalación de Apache para que no tenga ningún problema en el futuro. ¡Siga leyendo!

Apache Security: 10 consejos para una instalación segura

1) Deshabilitar la directiva de información del servidor

Si habilita la directiva en httpd.conf y visita su página de configuración de Apache, ¡le dará información sobre lo que está sucediendo en este extremo!

Esto puede incluir información confidencial sobre la configuración de su servidor, como qué versión de software usa y en qué parte de la máquina se almacenan estos archivos.

Usando esta información, un atacante podría averiguar si su servidor está ejecutando una versión vulnerable de OpenSSL.

Solucione este problema eliminando el módulo mod_info en el archivo de configuración de Apache httpd.conf: #LoadModule info_module modules/mod_info.so

2) Deshabilitar la directiva de estado del servidor

La directiva enumera información sobre el rendimiento de los servidores de su aplicación, como su tiempo de actividad y carga. Los atacantes pueden usar esta información para determinar cuáles de sus servidores son los más ocupados y los más vulnerables. Puede solucionar esto comentándolo en el archivo de configuración de Apache httpd.conf:

 #<Ubicación/estado-servidor>
# Estado del servidor SetHandler
# Orden denegar, permitir
# Negar todo
# Permitir desde .tu_dominio.com
#</Ubicación>

3) Deshabilitar la directiva ServerSignature

La directiva ServerSignature es una excelente manera de agregar información adicional sobre su servidor web, incluida la versión de Apache que está ejecutando y en qué sistema operativo.

Apache necesita que esta directiva esté deshabilitada para que no vea ninguna información confidencial en su computadora. Use ServerSignature Off en su archivo de configuración de Apache httpd.conf.

4) Establezca la directiva ServerTokens en Prod

La directiva ServerTokens se utiliza para devolver una serie de información en el campo del encabezado de respuesta. Una directiva Apache ServerTokens puede tener muchas sintaxis diferentes, incluidas las enumeradas en la documentación.

Cuando la directiva ServerTokens se establece en Prod, solo se mostrará Apache en los encabezados de respuesta del servidor. Haga esto agregando ServerTokens Prod a su archivo de configuración de Apache httpd.conf.

5) Deshabilitar el listado de directorios

La lista de directorios le muestra todos los archivos del sistema, lo que facilita que un atacante vea cualquier información confidencial que pueda desear. ¡Habilitar esta opción no vale la pena correr el riesgo!

Siempre debe tener cuidado cuando se trata del código fuente de su aplicación. Un atacante que obtenga acceso podría potencialmente usar esa información con fines maliciosos, como analizar fallas de seguridad u obtener más detalles sobre lo que está haciendo dentro del propio programa.

Configure la directiva Opciones en el archivo httpd.conf de Apache:

 <Directorio/su/sitio web/directorio>
Opciones -Índices
</Directorio>

6) Habilite solo los módulos requeridos

El servidor Apache HTTP es una herramienta poderosa, pero también puede ser abrumador si no se configura correctamente. Hay muchos módulos que vienen preinstalados y habilitados de forma predeterminada que puede o no querer usar, así que antes de instalar, ¡asegúrese de que estas opciones hagan lo que necesitan en su entorno!

Pero, ¿qué sucedería si habilitara todos estos módulos sin pensar en su efecto en httpd? Bueno, podría haber algunas consecuencias graves. Habilitar estos módulos es como abrir el servidor a cualquier problema de seguridad que pueda existir o descubrirse en el futuro.

Una de las mejores formas de asegurarse de haber instalado todos los módulos necesarios para su sitio web es consultar la documentación de Apache. Asegúrese de usar solo los módulos que necesita y deshabilite los que no están en uso.

7) Use un usuario y grupo apropiado

Apache es un servidor web poderoso y versátil, pero es una buena práctica usarlo con una cuenta sin privilegios, en lugar de usar un demonio (predeterminado). ¡Esto ayuda a mantener su sistema seguro al limitar el acceso de Apache solo cuando es necesario!

Además, dos procesos diferentes que se ejecutan con el mismo usuario y grupo pueden generar vulnerabilidades en uno de ellos. Cambiar el usuario y el grupo de Apache requiere editar el archivo de configuración httpd.conf para cambiar las directivas de usuario o grupo.

8) Restringir servicios no deseados

Si desea mantener su Apache seguro, es mejor no ejecutar ningún servicio ni crear enlaces simbólicos si no son necesarios. Deshabilitar los servicios es fácil con la directiva Opciones en httpd.conf, ¡y también puede hacerlo para un directorio en particular solo si es necesario!

He aquí un ejemplo de lo que debe hacer:

 <Directorio/su/sitio web/directorio>
Opciones -ExecCGI -FollowSymLinks -Incluye
</Directorio>

9) Utilice el ModSecurity WAF

ModSecurity es un software de código abierto que se puede utilizar como un cortafuegos de aplicaciones web. ¡Tiene diferentes funcionalidades que incluyen filtrado, enmascaramiento de identidad del servidor y funciones de prevención de ataques de bytes nulos para mantener su sitio a salvo de los piratas informáticos!

Una excelente manera de mejorar la seguridad de su servidor web y protegerlo contra una multitud de ataques es instalando mod_security. Esto también le permitirá tener la oportunidad de protegerse contra la denegación de servicio distribuida (DDOS).

10) Habilitar registro

Para investigar la causa de problemas particulares, querrá habilitar el registro de apache. ¡Esto proporciona información detallada sobre las solicitudes de los clientes realizadas en su servidor web y no hay mejor manera que con esto en su lugar cuando busca problemas!

El módulo mod_log_config le permite registrar acciones de Apache. Para hacerlo, asegúrese de que esté incluido en su archivo httpd conf.

¿Por qué es importante la seguridad de Apache?

Es importante contar con la seguridad de Apache porque ayuda a proteger su servidor web del acceso no autorizado, así como también mantiene su sitio web a salvo de posibles ataques.

No prestar atención a la seguridad de Apache puede provocar que su sitio web sea pirateado, lo que podría provocar la pérdida o el robo de datos. ¡Al seguir los consejos descritos en esta publicación de blog, puede ayudar a garantizar que su instalación de Apache sea lo más segura posible!

Conclusión

En conclusión, siguiendo estos simples consejos puede ayudar a mantener su instalación de Apache más segura. Estas pautas son solo un punto de partida, así que asegúrese de investigar más a fondo sobre la seguridad de las necesidades específicas de su aplicación web.

Lo más importante que debe recordar es que la seguridad no es un evento de una sola vez, es un proceso continuo. ¡Manténgase alerta y mantenga su sitio seguro!