Apache es el servidor web más popular y más utilizado del mundo, y es el primer servidor web utilizado para servir a más de 100 millones de sitios web en todo el mundo. Se sabe que Apache es un servidor web muy seguro, pero en este artículo explicaremos algunos cambios de configuración básicos para hacer que Apache sea aún más seguro en un CentOS VPS.
El consejo de seguridad más importante, no solo para Apache, sino para todos los servicios, aplicaciones y scripts es mantenerlos actualizados cada vez que sale una nueva versión. Apache se desarrolla activamente y los problemas de seguridad se solucionan en las nuevas versiones.
Para actualizar el servidor web Apache a la última versión disponible, ejecute el siguiente comando
yum -y update httpd
La directiva ServerSignature está habilitada de forma predeterminada y muestra la versión de Apache instalada en su servidor y el sistema operativo que está utilizando. Los atacantes pueden utilizar fácilmente esta información contra su servidor. Para ocultar esta información importante, debe modificar dos directivas en el archivo de configuración de Apache.
Abra el archivo de configuración de Apache, busque las directivas y realice los siguientes cambios.
vi /etc/httpd/conf/httpd.conf ServerSignature Off ServerTokens Prod
Si la lista de directorios no está deshabilitada, todos podrán listar el contenido de los directorios bajo el directorio raíz del documento. La lista de directorios se puede deshabilitar mediante la directiva "Opciones" en el archivo de configuración de Apache.
Abra el archivo de configuración con un editor de texto y agregue la siguiente directiva
<Directory /your/document/root> Options -Indexes </Directory>
Reemplace '/su/documento/raíz' con la ruta al directorio raíz del documento real.
mod_security es un módulo Apache muy útil. Reforzará la seguridad del servidor web Apache y protegerá su sitio web de varios ataques, bloqueando casi todos los exploits comúnmente conocidos.
Para instalar y configurar mod_security en su servidor CentOS, consulte nuestra guía de instalación:
– Instale mod_security con la regla básica OWASP establecida en un CentOS VPS
Apache tiene muchos módulos y algunos de ellos están habilitados en la instalación predeterminada de Apache. No todos son necesarios y se recomienda deshabilitar los módulos no utilizados. Puede usar el siguiente comando para enumerar todos los módulos de Apache habilitados
httpd -M Loaded Modules: core_module (static) mpm_prefork_module (static) http_module (static) so_module (static) auth_basic_module (shared) auth_digest_module (shared) authn_file_module (shared) authn_alias_module (shared) authn_anon_module (shared) ....
Puede consultar la documentación oficial de Apache de los módulos para obtener más información sobre su funcionalidad.
Todos los módulos innecesarios se pueden deshabilitar agregando el carácter '#' al comienzo de la línea LoadModule en el archivo de configuración del servidor web. Por ejemplo:
vi /etc/httpd/conf/httpd.conf # LoadModule auth_basic_module modules/mod_auth_basic.so # LoadModule auth_digest_module modules/mod_auth_digest.so
La directiva de Apache 'LimitRequestBody' se puede usar para limitar la cantidad de bytes permitidos en el cuerpo de una solicitud. El límite depende principalmente de las necesidades de su sitio web. De forma predeterminada, el límite de 'LimitRequestBody' está establecido en ilimitado y puede convertirlo en víctima de ataques de denegación de servicio (DOS).
El límite de esta directiva de Apache se puede establecer desde 0 (ilimitado) hasta 2147483647 (2 GB). Por ejemplo, si desea permitir la carga de archivos con un tamaño de 100 K en el directorio /var/www/html/upload, puede agregar la siguiente directiva en el archivo de configuración de Apache.
<Directory "/var/www/html/upload directory"> LimitRequestBody 102400 </Directory>
Los archivos de registro siempre son muy útiles para obtener más información sobre los eventos que ocurren en su servidor. Por lo tanto, es una buena práctica habilitar el registro de Apache. Le proporcionará más información y detalles sobre todas las solicitudes de los clientes realizadas en su servidor web. Para habilitar el registro de Apache, debe asegurarse de que el módulo 'log_config_module' esté habilitado en su servidor.
httpd -M |grep log_config_module Syntax OK log_config_module (shared)
El módulo Apache 'log_config_module' habilita la funcionalidad de las directivas TransferLog, LogFormat y CustomLog que se pueden usar para crear un archivo de registro.
Por supuesto, no tiene que hacer nada de esto si utiliza uno de nuestros servicios de alojamiento VPS de Linux, en cuyo caso simplemente puede solicitar a nuestros administradores expertos de Linux que refuercen el servidor web Apache por usted. Están disponibles las 24 horas del día, los 7 días de la semana y atenderán su solicitud de inmediato.
PD. Si te gustó esta publicación, compártela con tus amigos en las redes sociales usando los botones de la izquierda o simplemente deja una respuesta a continuación. Gracias.