El presente instructivo tiene como finalidad mostrar algunas recomendaciones de configuraciones que pueden ser aplicadas en servidor web apache2 para su protección.
El presente instructivo ha sido actualizado y es aplicado perfectamente a servidor Web Apache versión 2.4
Aplicaciones o configuraciones complementarias:
Recomendaciones a nivel de sistema operativo:
1. Es algo complicado establecer un estandar para el particionado de un servidor, siempre abrá variables que no dependerán de los administradores. A continuación un ejemplo de lo que podría ser un particionado típico para un servidor WEB:
Particionado base:
- /boot -> 500MB -> EXT4
- /swap -> 5GB
Particionado LVM:
- /raiz -> 10 GB -> EXT4
- /home -> 5GB -> EXT4
- /usr -> 5GB -> EXT4
- /usr/local -> 5GB -> EXT4
- /opt/www -> 5GB -> EXT4
- /var/log -> 10GB -> EXT4
- /tmp -> 5GB -> EXT4
2. Cambiar la ruta del directorio por defecto (/var/www/html) destinado por Apache(2.4) para alojar los website:
2.1 Crear una nuev a ruta:
admin@servidor:/$ sudo mkdir -p /opt/www/html
2.2 Efectuar cambios en Apache2:
Archivo configuración de Apache2 “/etc/apache2/apache2.conf”:
<Directory /opt/www/html/>
Options -Indexes -FollowSymLinks -ExecCGI +SymLinksIfOwnerMatch
AllowOverride None
Require all granted
</Directory>
Archivo configuración del site “/etc/apache2/sites-enabled/000-default.conf”:
DocumentRoot /opt/www/html
3. Se recomienda efectuar cambios en las opciones de montaje del directorio “/opt”, habilitando las siguientes opciones:
- -nodev: Impide la interpretación de los dispositivos especiales o de bloques del sistema de archivos
- -nosuid: Bloquea el funcionamiento de suid, y sgid bits. suid permite a los usuarios comunes ejecutar binarios con privilegios concedidos temporalmente
- -noexec: No permite la ejecución de binarios que se encuentren en el sistema de archivos. Muy pendiente con el código o aplicativo que se utilizará con el servidor apache, ya que si tienen un binario, el mismo no podrá ser ejecutada
Ejemplo de una entrada en fstab:
/dev/mapper/VolGroup-lvsrv /opt ext4 nodev,nosuid,noexec 0 2
Recomendaciones a nivel de aplicativo Apache 2.4
Configuración
Evita la búsquedas de DNS para que los nombres de host se pueden registrar
1. Editar archivo de configuración de apache2:
admin@servidor:/$ sudo vim /etc/apache2/apache2.conf
Continuar leyendo “Tips Seguridad Servidor Apache2 – Hardening Secure Apache Web Server” →