meta data de esta página
  •  

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
aplicaciones:apache:bastionado [2017/03/10 10:56] lcaplicaciones:apache:bastionado [2023/01/18 13:35] (actual) – editor externo 127.0.0.1
Línea 2: Línea 2:
 ====== Bastionar Apache ====== ====== Bastionar Apache ======
  
-=== Instalación ===+==== Instalación ====
   * Mejor compilar que instalar de binarios.   * Mejor compilar que instalar de binarios.
   * Mejor en un entorno chroot   * Mejor en un entorno chroot
  
-=== Actualizaciones. ===+==== Actualizaciones. ====
 Hay que mantener el servidor actualizado con las últimas actualizaciones. A la hora de actualizar comprobar el changelog para ver si hay incompatibilidades. Hay que mantener el servidor actualizado con las últimas actualizaciones. A la hora de actualizar comprobar el changelog para ver si hay incompatibilidades.
  
   * Descargar las actualizaciones de las fuentes oficiales http://httpd.apache.org/download.cgi   * Descargar las actualizaciones de las fuentes oficiales http://httpd.apache.org/download.cgi
   * Comprobar el hash y las firmas del fichero que te descargues http://www.apache.org/dist/httpd/KEYS   * Comprobar el hash y las firmas del fichero que te descargues http://www.apache.org/dist/httpd/KEYS
-Si lo hemos instalado desde los repositorios podemos hacer <code>yum update httpd</code>+Si lo hemos instalado desde los repositorios podemos hacer <sxh>yum update httpd</sxh>
  
-=== Desactivar los módulos innecesarios ===+==== Desactivar los módulos innecesarios ===
 +Para ver los módulos cargados ejecutar <sxh> httpd -t -D DUMP_MODULES</code> o bien <sxh bash>grep LoadModule /etc/httpd/conf/httpd.conf</sxh> 
 +<sxh bash>grep LoadModule /etc/apache2/apache2.conf</sxh>
  
-Para ver los módulos cargados ejecutar <code> httpd -t -D DUMP_MODULES</code> o bien <code>grep LoadModule /etc/httpd/conf/httpd.conf</code> +para ver los módulos con los que se compiló<sxh> httpd -V</sxh>
-<code>grep LoadModule /etc/apache2/apache2.conf</code>+
  
-para ver los módulos con los que se compiló<code> httpd -V</code> +<note>Todos los módulos que hay para Apache están documentados en la siguiente URL: http://modules.apache.org/</note>
- +
-Todos los módulos que hay para Apache están documentados en la siguiente URL: http://modules.apache.org/+
  
 Módulos que se suelen cargar por defecto: Módulos que se suelen cargar por defecto:
Línea 31: Línea 30:
   * mod_autoindex: Listados de directorio para cuando no hay archivo por defecto.   * mod_autoindex: Listados de directorio para cuando no hay archivo por defecto.
  
-<code> + 
---disable-modulo: comando para evitar que sé cargue un determinado módulo.  +Para desactivar un módulo y que no se cargue basta con poner un comentario en la línea que carga el módulo en el fichero de configuración 
-Tiene que estar cargado para poder habilitar o deshabilitar. +Como minimo eliminar o deshabilitar los siguientes módulos 
-</code>  +
-  +
-== Quitar los módulos === +
-Eliminar o deshabilitar los siguientes módulos +
   * mod_negotiation   * mod_negotiation
   * mod_user_dir   * mod_user_dir
  
-=== Instalar módulos ===+En CentOS / Redhat (RHEL) / Fedora para deshabilitar un módulo deberemos de renombrar dicho módulo quitándole la extensión **.conf ** y reiniciamos el servicio del  apache 
 + 
 +Por ejemplo para deshabilitar el modulo **mod_python** vamos a la carpeta /etc/httpd/conf.d/ y renombramos el fichero **python.conf** a **python.bak** y reiniciamos el servidor apache 
 + 
 +Para habilitar un módulo basta con hacer el proceso contrario. Renombramos el fichero a su extensión **.conf** y reiniciamos el servicio de apache 
 + 
 +En Debian / Ubuntu para deshabilitar un módulo podemos usar dos scripts : 
 +  *  a2enmod es un script para habilitar un módulo dentro de la configuración del apache2. 
 +  *  a2dismod es un script para deshabilitar un módulo 
 + 
 +La forma de deshabilitar un módulo sería ejecutarlo <sxh>a2dismod {nombre-módulo}</sxh> y para habilitar un módulo sería con <sxh>a2enmod {nombre-módulo}</sxh> 
 + 
 +<note warning> con el comando **apachectl configtest** debemos de comprobar que no hemos deshabilitado un módulo que estemos usando</note> 
 + 
 +==== Instalar módulos ====
 Para agregar **nuevos módulos** mediante el comando **config-status.** Para agregar **nuevos módulos** mediante el comando **config-status.**
  
Línea 54: Línea 63:
 ./config.status --enable-module=proxy </code> ./config.status --enable-module=proxy </code>
  
-== Módulos que pueden aumentar la seguridad ==+=== Módulos que pueden aumentar la seguridad ===
   * mod_rewrite   * mod_rewrite
   * mod_headers   * mod_headers
Línea 62: Línea 71:
   * mod_ssl   * mod_ssl
  
-=== Permisos ===+El **mod_security** hace las veces de firewall de las aplicaciones web  y nos permite además monitorizar el tráfico en tiempo real. 
 + 
 +El  **mod_evasive** nos protege de ataques por fuerza bruta y DDos 
 + 
 +Para instalar ambos módulos  
 +<code>yum install mod_security mod_evasive</code> 
 +<note>reiniciar el servicio httpd para aplicar los cambios </code> 
 + 
 +==== Permisos ====
   - Sólo el administrador debe poder modificar los archivos de configuración para que nadie más pueda manipularlos.   - Sólo el administrador debe poder modificar los archivos de configuración para que nadie más pueda manipularlos.
   - Crear una cta para arrancar y parar los servicios   - Crear una cta para arrancar y parar los servicios
   - Crear un grupo para gestionar el servidor   - Crear un grupo para gestionar el servidor
  
-=== Suministrar la menor información ===+==== Suministrar la menor información ====
  
 Modificamos /etc/httpd/conf/httpd.conf Modificamos /etc/httpd/conf/httpd.conf
Línea 74: Línea 91:
 ServerSignature Off</file> ServerSignature Off</file>
  
-=== Quitar el acceso a los directorios  ===+==== Quitar el acceso a los listados de directorios  ====
 quitar o comentar el acceso a los index quitar o comentar el acceso a los index
 <file> <file>
Línea 89: Línea 106:
 <file>ProxyRequests off</file> <file>ProxyRequests off</file>
  
-=== Directiva FilesMacth Limitar los ficheros a descargar ===+==== Directiva FilesMacth Limitar los ficheros a descargar ====
 <file> <file>
 <FilesMatch "\.(old|bak|tgz|sql|inc|tar\.gz|zip|rar)$"> <FilesMatch "\.(old|bak|tgz|sql|inc|tar\.gz|zip|rar)$">