Fuera de la caja, sus servidores Apache están anunciando más información de la que usted probablemente desea. Jack Wallen le muestra cómo minimizar la cantidad de detalles que muestran esos servidores.
Si administra el servidor web Apache, sabe que hay muchas cosas que puede hacer para ayudar a mejorar su seguridad. Por ejemplo, podría (y debería) emplear mod_security. También puede ocultar carpetas de directorios, ejecutar sólo los módulos necesarios, limitar las solicitudes de gran tamaño, restringir la navegación a directorios específicos y mucho más.
Ver: Cómo proteger su servidor Apache 2 en cuatro pasos
Pero hay dos pasos, a menudo pasados por alto, que puede tomar para ayudar a dar a su servidor Apache un poco más de seguridad: Desactivar la firma de Apache y configurar ServerTokens. ¿Por qué ayuda esto? Simple. Si usted difunde la información específica de su servidor, estará informando a los potenciales actores maliciosos a qué se enfrentan. Podrían saber qué servidor web está utilizando, qué versión del servidor web, la plataforma de alojamiento y mucho más. Usted no quiere que esa información se muestre para que todos la vean. Entonces, ¿cómo se ofusca esa información? Hay dos opciones a configurar, y voy a mostrarte exactamente cómo configurarlas, para ocultar los detalles de tu servidor. Te voy a mostrar cómo se hace esto tanto en Apache (CentOS 7) como en Apache2 (Ubuntu. El proceso es muy sencillo.
Lo que necesitas saber
Vamos a tratar las siguientes dos opciones:
- ServerSignature – se utiliza para configurar una línea de pie de página debajo de los documentos generados por el servidor.
- ServerTokens – controla los detalles que el servidor envía. Los detalles pueden incluir el sistema operativo y otros módulos cumplidos.
Hay seis configuraciones diferentes de ServerToken:
- Completo (o no especificado) – Servidor: Apache/2.4.18 (UNIX) PHP/7.0.25
- Prod (o ProductOnly) – Servidor: apache
- Mayor – Servidor: Apache/2
- Menor – Servidor: Apache/2.4
- Mínimo (o Mínimo) – Servidor: Apache/2.4.18
- SO – Servidor: Apache/2.4.18 (UNIX)
Así que la menor cantidad de información que puede dar con ServerTokens es Prod, que sólo le dirá al público que el servidor es Apache. No entregará el número de versión, la plataforma anfitriona ni ninguna información sobre los módulos.
¿Cómo se configuran?
Apache2 en Ubuntu
Abra una ventana de terminal y ejecute el comando sudo nano /etc/apache2/conf-enabled/security.conf. Dentro de ese archivo, busque SeverTokens y póngalo en Prod, luego busque ServerSignature y póngalo en Off (.
Guarde y cierre ese archivo. Reinicie Apache con el comando:
sudo systemctl reload apache2
Apache ahora servirá un mínimo de información.
Apache en CentOS 7
Para CentOS 7, estas dos directivas tienen que ser añadidas (ya que no se encuentran en el archivo de configuración por defecto. Abra una ventana de terminal y ejecute el comando sudo nano /etc/httpd/conf/httpd.conf. En la parte inferior de ese archivo ), agregue lo siguiente:
ServerTokens ProdServerFirma desactivada
Guarde y cierre el archivo. Reinicie Apache con el comando sudo systemctl reload httpd.
Eso es todo lo que hay que hacer.
Ahora ha configurado Apache para que anuncie menos información de la que era, fuera de la caja. Aunque esto no endurecerá directamente a Apache, hará que sea un poco más difícil para los hackers usar los datos de su servidor web en su contra. Haga esto para todos sus servidores Apache y disfrute de un poco más de seguridad.
Boletín Semanal de Código Abierto
No se pierda nuestros consejos, tutoriales y comentarios sobre el sistema operativo Linux y las aplicaciones de código abierto. Entregado los martes
mismo