10 mejores prácticas para asegurar y endurecer su servidor web Apache

Solucione este problema de seguridad desactivando el método TRACE HTTP en la Configuración de Apache

Puede hacerlo modificando/añadiendo la siguiente directiva en su httpd.conf de su servidor web Apache

TraceEnable desactivado

Ejecutar como Usuario y Grupo separado

Por defecto, Apache está configurado para ejecutarse con nobody o daemon

No configure el Usuario (o Grupo) como root a menos que sepa exactamente lo que está haciendo, y cuáles son los peligros

Solución

Ejecutar Apache en su propia cuenta no root es bueno. Modifique la directiva de usuario y grupo en httpd.conf de su servidor web Apache

Usuario apache
Grupo apache

Desactivar firma

La configuración Off, que es la predeterminada, suprime la línea de pie de página

La configuración On simplemente añade una línea con el número de versión del servidor y ServerName del host virtual del servidor

Solución

Es bueno desactivar la Firma, ya que puede que no desee revelar la versión de Apache que está ejecutando

FirmaServidor Desactivada

Desactivar Banner

Esta directiva controla si el campo Cabecera de respuesta del servidor, que se devuelve a los clientes, incluye una descripción del tipo de sistema operativo genérico del servidor, así como información sobre los módulos compilados

Solución

ServerTokens Prod

Restringir el acceso a una red o IP específica

Si desea que su sitio sólo pueda ser visto por una dirección IP o red específica, puede modificar el Directorio de su sitio en httpd.conf

Solución

Indique la dirección de red en la directiva Permitir

<Directorio /suweb>
Opciones Ninguna
AllowOverride Ninguna
Orden deny,allow
Denegar desde todos
Permitir desde 10.20.0.0/24
</Directorio&gt

Indique la dirección IP en la directiva Permitir

<Directorio /suweb>
Opciones Ninguna
AllowOverride Ninguna
Order deny,allow
Denegar desde todos
Permitir desde 10.20.1.56
</Directorio&gt

Utilizar sólo TLS 1.2

Según los informes, SSL 2.0, 3.0, TLS 1, 1.1 adolece de varios fallos criptográficos

¿Necesita ayuda para configurar SSL? consulte esta guía

Solución

SSLProtocolo -ALL TLSv1.

2

Desactivar el listado de directorios

Si no tiene index.html en el directorio de su sitio web, el cliente verá todos los archivos y subdirectorios listados en el navegador (como la salida ls -l)

Solución

Para desactivar la exploración de directorios, puede establecer el valor de la directiva Option en "None" o "-Indexes".

<Directorio />
Opciones Ninguna
Orden permitir,denegar
Permitir desde todos
</Directorio&gt

O
<Directorio

/>
Opciones -Indexes
Orden permitir,denegar
Permitir desde todos
</Directorio&gt

Eliminar módulos OSD innecesarios

Verifique su configuración para eliminar los módulos OSD redundantes

Hay muchos módulos activados por defecto tras la instalación. Puede eliminar los que no necesite

Desactive los cifrados nulos y débiles

Permita sólo cifrados fuertes, así cerrará todas las puertas a quienes intenten hacer un apretón de manos con suites de cifrado inferiores

Solución

SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4 RSA:

ALTO:

MEDIO

Mantener actual

Como Apache es un código abierto activo, la forma más fácil de mejorar la seguridad del servidor web Apache es mantener la última versión. En cada versión se añaden nuevas correcciones y parches de seguridad. Actualice siempre a la última versión estable de Apache

Lo anterior son sólo algunas de las configuraciones esenciales, y si usted está buscando en profundidad, entonces usted puede referirse a mi guía paso a paso de seguridad y endurecimiento