Segurança Apache – 10 dicas para uma instalação segura

O Apache é um dos aplicativos de servidor da Web mais populares em uso hoje e tem sido há muito tempo. É de código aberto e gratuito para download, o que o torna muito atraente como uma opção para quem deseja hospedar seus sites com orçamento limitado.

Mas o Apache também se enquadra na categoria de software de “uso geral”, o que significa que pode ser usado por qualquer pessoa com acesso ao seu código ou scripts de instalação. Isso deixa você aberto a possíveis riscos de segurança se seu site não estiver configurado com segurança desde o início.

Neste artigo, abordaremos 10 dicas para proteger sua instalação do Apache para que você não tenha problemas no futuro – continue lendo!

Segurança Apache – 10 dicas para uma instalação segura

1) Desative a diretiva de informações do servidor

Se você habilitar a diretiva em httpd.conf e visitar sua página de configuração do Apache, ela lhe dará informações sobre o que está acontecendo neste fim!

Isso pode incluir informações confidenciais sobre as configurações do seu servidor, como a versão do software que você usa e onde na máquina esses arquivos são armazenados.

Usando essas informações, um invasor pode descobrir se seu servidor está executando uma versão vulnerável do OpenSSL.

Corrija esse problema removendo o módulo mod_info no arquivo de configuração httpd.conf do Apache: #LoadModule info_module modules/mod_info.so

2) Desative a diretiva de status do servidor

A diretiva lista informações sobre o desempenho dos servidores do seu aplicativo, como tempo de atividade e carga. Essas informações podem ser usadas por invasores para determinar quais de seus servidores são os mais ocupados e os mais vulneráveis. Você pode corrigir isso comentando no arquivo de configuração httpd.conf do Apache:

 #<Localização/status do servidor>
# SetHandler server-status
# Pedido negado, permitido
# Negar de todos
# Permitir de .seu_domínio.com
#</Local>

3) Desabilite a Diretiva ServerSignature

A diretiva ServerSignature é uma ótima maneira de adicionar informações extras sobre seu servidor web, incluindo qual versão do Apache você está executando e em qual sistema operacional.

O Apache precisa que esta diretiva seja desabilitada para que você não veja nenhuma informação sensível em seu computador. Use ServerSignature Off em seu arquivo de configuração httpd.conf do Apache.

4) Defina a Diretiva ServerTokens para Prod

A diretiva ServerTokens é usada para enviar de volta uma série de informações no campo de cabeçalho de resposta. Uma diretiva Apache ServerTokens pode ter muitas sintaxes diferentes, incluindo as listadas na documentação.

Quando a diretiva ServerTokens é definida como Prod, apenas o Apache será exibido nos cabeçalhos de resposta do servidor. Faça isso adicionando ServerTokens Prod ao arquivo de configuração httpd.conf do Apache.

5) Desativar listagem de diretórios

A listagem de diretórios mostra todos os arquivos do sistema, tornando mais fácil para um invasor visualizar qualquer informação sensível que desejar. Ativar esta opção não vale o risco!

Você deve sempre ter cuidado quando se trata do código-fonte do seu aplicativo. Um invasor que obtiver acesso pode usar essas informações para fins maliciosos, como analisar falhas de segurança ou obter mais detalhes sobre o que você está fazendo dentro do próprio programa.

Defina a diretiva Options no arquivo httpd.conf do Apache:

 <Diretório /seu/site/diretório>
Opções - Índices
</Diretório>

6) Habilite apenas os módulos necessários

O Apache HTTP Server é uma ferramenta poderosa, mas também pode ser esmagadora se não for configurado corretamente. Existem muitos módulos que vêm pré-instalados e habilitados por padrão que você pode ou não querer usar, então antes de instalar certifique-se de que essas opções façam o que precisam em seu ambiente!

Mas o que aconteceria se você habilitasse todos esses módulos sem pensar em seu efeito no httpd? Bem, pode haver algumas consequências graves. Habilitar esses módulos é como abrir o servidor para quaisquer problemas de segurança que possam existir ou serem descobertos no futuro.

Uma das melhores maneiras de garantir que você instalou todos os módulos necessários para o seu site é consultar a documentação do Apache. Certifique-se de usar apenas os módulos que você precisa e desative os que não estão em uso.

7) Use um usuário e grupo apropriados

O Apache é um servidor web poderoso e versátil, mas é uma prática recomendada usá-lo com uma conta sem privilégios, em vez de sob o daemon (padrão). Isso ajuda a manter seu sistema seguro, limitando o acesso do Apache apenas quando necessário!

Além disso, dois processos diferentes executados com o mesmo usuário e grupo podem levar a explorações em um deles. Alterar o usuário e grupo do Apache requer a edição do arquivo de configuração httpd.conf para as diretivas Change User ou Group.

8) Restringir serviços indesejados

Se você deseja manter seu Apache seguro, é melhor não executar nenhum serviço ou criar links simbólicos se não forem necessários. Desabilitar serviços é fácil com a diretiva Options em httpd.conf, e você pode fazer isso para um diretório específico somente se necessário também!

Aqui está um exemplo do que fazer:

 <Diretório /seu/site/diretório>
Opções -ExecCGI -FollowSymLinks -Inclui
</Diretório>

9) Use o ModSecurity WAF

ModSecurity é um software de código aberto que pode ser usado como firewall de aplicativo da web. Possui diferentes funcionalidades, incluindo filtragem, mascaramento de identidade do servidor e funções de prevenção de ataque de byte nulo para manter seu site protegido contra hackers!

Uma ótima maneira de melhorar a segurança do seu servidor web e se proteger contra uma infinidade de ataques é instalando o mod_security. Isso permitirá que você também tenha a oportunidade de proteção contra negação de serviço distribuída (DDOS).

10) Ativar registro

Para investigar a causa de problemas específicos, você desejará que o log do apache esteja ativado. Isso fornece informações detalhadas sobre solicitações de clientes feitas em seu servidor web e não há melhor maneira do que com isso ao analisar problemas!

O módulo mod_log_config permite registrar ações do Apache. Para fazer isso, certifique-se de que ele esteja incluído em seu arquivo httpd conf.

Por que a segurança do Apache é importante?

É importante ter a segurança do Apache em vigor, pois ajuda a proteger seu servidor da Web contra acesso não autorizado, além de manter seu site protegido contra possíveis ataques.

Não prestar atenção à segurança do Apache pode fazer com que seu site seja invadido, o que pode resultar em perda ou roubo de dados. Seguindo as dicas descritas nesta postagem do blog, você pode ajudar a garantir que sua instalação do Apache seja a mais segura possível!

Conclusão

Concluindo, seguindo estas dicas simples, você pode ajudar a manter sua instalação do Apache mais segura. Essas diretrizes são apenas um ponto de partida, portanto, pesquise mais sobre a segurança de suas necessidades específicas de aplicativos da Web!

A coisa mais importante a lembrar é que a segurança não é um evento único, é um processo contínuo. Fique atento e mantenha seu site seguro!