meta data de esta página
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anteriorRevisión previaPróxima revisión | Revisión previa | ||
| aplicaciones:apache:bastionado [022017/08/ 13:30] – lc | aplicaciones:apache:bastionado [182023/01/ 13:35] (actual) – editor externo 127.0.0.1 | ||
|---|---|---|---|
| Línea 1: | Línea 1: | ||
| + | {{tag> | ||
| + | ====== Bastionar Apache ====== | ||
| + | ==== Instalación ==== | ||
| + | * Mejor compilar que instalar de binarios. | ||
| + | * Mejor en un entorno chroot | ||
| + | |||
| + | ==== Actualizaciones. ==== | ||
| + | Hay que mantener el servidor actualizado con las últimas actualizaciones. A la hora de actualizar comprobar el changelog para ver si hay incompatibilidades. | ||
| + | |||
| + | * Descargar las actualizaciones de las fuentes oficiales http:// | ||
| + | * Comprobar el hash y las firmas del fichero que te descargues http:// | ||
| + | Si lo hemos instalado desde los repositorios podemos hacer < | ||
| + | |||
| + | ==== Desactivar los módulos innecesarios ==== | ||
| + | Para ver los módulos cargados ejecutar <sxh> httpd -t -D DUMP_MODULES</ | ||
| + | <sxh bash> | ||
| + | |||
| + | para ver los módulos con los que se compiló< | ||
| + | |||
| + | < | ||
| + | |||
| + | Módulos que se suelen cargar por defecto: | ||
| + | * mod_imap: Que ofrece servicio de mapeo automático de ficheros de índice del lado del servidor. | ||
| + | * mod_include: | ||
| + | * mod_info: Da información sobre el servidor. Los escáneres rastrean la información que ofrece. Se suele habilitar en pruebas y desarrollo, pero no en producción. | ||
| + | * mod_userdir: | ||
| + | * mod_status: Para tener estadísticas. | ||
| + | * mod_cgi: Ofrece soporte para ejecución de cgis. Si no tienes programas cgi en tu servidor deshabilítalo. | ||
| + | * mod_autoindex: | ||
| + | |||
| + | |||
| + | Para desactivar un módulo y que no se cargue basta con poner un comentario en la línea que carga el módulo en el fichero de configuración | ||
| + | Como minimo eliminar o deshabilitar los siguientes módulos | ||
| + | * mod_negotiation | ||
| + | * mod_user_dir | ||
| + | |||
| + | En CentOS / Redhat (RHEL) / Fedora para deshabilitar un módulo deberemos de renombrar dicho módulo quitándole la extensión **.conf ** y reiniciamos el servicio del apache | ||
| + | |||
| + | Por ejemplo para deshabilitar el modulo **mod_python** vamos a la carpeta / | ||
| + | |||
| + | Para habilitar un módulo basta con hacer el proceso contrario. Renombramos el fichero a su extensión **.conf** y reiniciamos el servicio de apache | ||
| + | |||
| + | En Debian / Ubuntu para deshabilitar un módulo podemos usar dos scripts : | ||
| + | * a2enmod es un script para habilitar un módulo dentro de la configuración del apache2. | ||
| + | * a2dismod es un script para deshabilitar un módulo | ||
| + | |||
| + | La forma de deshabilitar un módulo sería ejecutarlo < | ||
| + | |||
| + | <note warning> con el comando **apachectl configtest** debemos de comprobar que no hemos deshabilitado un módulo que estemos usando</ | ||
| + | |||
| + | ==== Instalar módulos ==== | ||
| + | Para agregar **nuevos módulos** mediante el comando **config-status.** | ||
| + | |||
| + | **Ejemplo Instalación de Módulos** | ||
| + | |||
| + | Para instalar módulos, el **primer módulo** que debe ser activado es el **módulo para módulos**, esto se realiza mediante el comando: | ||
| + | < | ||
| + | ./ | ||
| + | |||
| + | El comando anterior agrega mod_so (el módulo de módulos) a **config.status**; | ||
| + | < | ||
| + | ./ | ||
| + | |||
| + | === Módulos que pueden aumentar la seguridad === | ||
| + | * mod_rewrite | ||
| + | * mod_headers | ||
| + | * mod_setenvif | ||
| + | * mod_security | ||
| + | * mod_auth | ||
| + | * mod_ssl | ||
| + | |||
| + | El **mod_security** hace las veces de firewall de las aplicaciones web y nos permite además monitorizar el tráfico en tiempo real. | ||
| + | |||
| + | El **mod_evasive** nos protege de ataques por fuerza bruta y DDos | ||
| + | |||
| + | Para instalar ambos módulos | ||
| + | < | ||
| + | < | ||
| + | |||
| + | ==== Permisos ==== | ||
| + | - Sólo el administrador debe poder modificar los archivos de configuración para que nadie más pueda manipularlos. | ||
| + | - Crear una cta para arrancar y parar los servicios | ||
| + | - Crear un grupo para gestionar el servidor | ||
| + | |||
| + | ==== Suministrar la menor información ==== | ||
| + | |||
| + | Modificamos / | ||
| + | < | ||
| + | ServerTokens ProductOnly | ||
| + | ServerSignature Off</ | ||
| + | |||
| + | ==== Quitar el acceso a los listados de directorios | ||
| + | quitar o comentar el acceso a los index | ||
| + | < | ||
| + | ## option indexes FlollowSymLinks | ||
| + | </ | ||
| + | |||
| + | También podemos podemos editar la configuración y usar la orden options | ||
| + | < | ||
| + | < | ||
| + | | ||
| + | </ | ||
| + | </ | ||
| + | === Desactivar la directiva de uso como proxy === | ||
| + | < | ||
| + | |||
| + | ==== Directiva FilesMacth Limitar los ficheros a descargar ==== | ||
| + | < | ||
| + | < | ||
| + | Order Deny,Allow | ||
| + | Deny from All | ||
| + | </ | ||
| + | </ | ||
| + | |||
| + | |||
| + | ==== Fortificar con Varnish ==== | ||
| + | http:// | ||
| + | |||
| + | ==== Herramientas ==== | ||
| + | * [[http:// | ||
| + | * [[http:// | ||
| + | * http:// | ||
| + | |||
| + | ===== Referencias ===== | ||
| + | * http:// | ||
| + | * http:// | ||
| + | * http:// | ||
| + | * http:// | ||
| + | * http:// | ||
| + | * http:// | ||