OVH Community, your new community space.

Consejos para securizar Apache


oceano
13/08/2011, 07:47
Hola Chencho.

Posiblemente sea algo tarde, pero quizá pueda valer para otro compañero a la hora de encontrarlo más adelante. Disculpame power, quizá esta explicación sea algo más extensa que indicar únicamente donde se encuentra.

La ruta donde puedes modificar este archivo es aquí:

1º vi /etc/httpd/conf/httpd.conf (editor vim)
2º ?ServerSignature + enter (localiza la cadena deseada a buscar desde el comienzo del archivo, en este caso ServerSignature . /ServerSignature , igualmente, pero busqueda hacia atrás.
3º pulsa la tecla i para acceder a los cambios (ServerSignature On --> ServerSignature Off) y tecla Esc para salir de edicción y posteriormente, :wq para guardar los cambios. Si quieres salir sin guardar cambios en vim, :q!


Saludos
kennysamuerto
09/08/2010, 01:58
Cita Publicado inicialmente por tonysanchez
Muy buena kennysamuerto.

Una vez mas me quito el sombrero contigo y tus aportes.

Muy intersantes las reglas de gotroot.com sobre todo por ser dinamicas, y añadir unas cuantas reglas muy utiles para asegurarnos frente a inutiles que no actualizan su software ni a tiros..

Si la añades, como tengo yo un script para ir localizando los ataques a esos sitios sin actualizar, para darles de vez en cuando un tiron de orejas lo borda.

Tambien muy bueno el desactivado de reglas por Location, para aquellos que siguen con problemas pero son necesarios mantener en los hosting compartidos, sin perder clientes lamentables.

Chapo.
Es una de las caracteristicas que mas me gustan de estas reglas. Por eso, siempre siempre las recomiendo.

A disfrutarlas!
tonysanchez
12/07/2010, 12:28
Muy buena kennysamuerto.

Una vez mas me quito el sombrero contigo y tus aportes.

Muy intersantes las reglas de gotroot.com sobre todo por ser dinamicas, y añadir unas cuantas reglas muy utiles para asegurarnos frente a inutiles que no actualizan su software ni a tiros..

Si la añades, como tengo yo un script para ir localizando los ataques a esos sitios sin actualizar, para darles de vez en cuando un tiron de orejas lo borda.

Tambien muy bueno el desactivado de reglas por Location, para aquellos que siguen con problemas pero son necesarios mantener en los hosting compartidos, sin perder clientes lamentables.

Chapo.
lonas
10/07/2010, 19:48
Cita Publicado inicialmente por luis_sanz
hola kenny
llevo dias probando, intentado añadir las reglas de gotroot.com, pero no se aun en que me equivoco ya que no va..

el mod_security lo tengo perfectamente instalado, ya que lo instala cpanel jejeje y funciona bien tal y como lo tengo ahora, ya que bloqueo algo de vez encuando.. pero me gustaria mejorarlo con las reglas de gotroot ya que las q uso son las 'por defecto'..

¿podrias guiarme un poco de como añadir las reglas de gotroot.com en mod_security instalado en un centos5.4?


un saludo
estoy en la misma situación que tu campeón ¿diste con ello?

saludos
o_absolut
02/02/2010, 08:37
Hola,

He canviado el Uasuario y grupo de apache en httpd.conf, antes era nobody.

Pero cuando hago un restart a apache me dice bad username, me imagino que debo crealo antes.

Supongo que asi: useradd -s /bin/false

Y luego nose si tendre problemas con permisos o propietario de los archivos de apache.

En el php.ini tengo que tocar algo? le tengo que decir al PHP que usuario usar??

Perdonen pero es que voy desorientado!!
barbaro
23/01/2010, 19:02
Aun con esos dos ajustes en ciertas cabeceras se puede todavia ver,aparte habria que ir al fichero "php.ini", y ponemos a "off" la línea "expose_php = On".

saludos
chencho
14/01/2010, 11:40
Acabo de caer, perdonad el despiste ¬¬
Power
14/01/2010, 11:36
Hola,

Cita Publicado inicialmente por chencho
Estas dos directivas de ssh no me funcionan:

ServerSignature Off
ServerTokens Prod
No son directivas de SSH sino directivas en el fichero de configuración del servidor Apache.

Saludos
chencho
14/01/2010, 10:54
Estas dos directivas de ssh no me funcionan:

ServerSignature Off
ServerTokens Prod
MalastiC
09/01/2010, 12:55
Nunca había entrado a esta parte del foro y me encuentro con esot.

Muchas gracias.
sergioflores
24/12/2009, 17:38
Ante todo, muchísimas gracias por estos consejos para securizar nuestro servidor!! Son de los mas útiles.

Pero un tenido un grave problema!! o espero que sea pequeño....

Resulta que cambie el puerto de acceso y resulta que no me acorda del APF, el firewall, que debería estar bloqueado o algo, porque ahora es imposible acceder.

He probado a reiniciar el servidor, pero nada, se debe de ejecutar al inicio el APF.

Existe solución???


Muchisimas gracias!!
luis_sanz
12/12/2009, 22:49
Cita Publicado inicialmente por kennysamuerto

Podeis ademas usar el mod_security, que es un excelente modulo para apache:
http://www.modsecurity.org/

Entre otras cosas, mod_security limita la memoria de subida, enmascara la identidad del servidor, filtra en base a expresiones regulares... etc.

Se recomienda usar con las reglas de: gotroot.com
hola kenny
llevo dias probando, intentado añadir las reglas de gotroot.com, pero no se aun en que me equivoco ya que no va..

el mod_security lo tengo perfectamente instalado, ya que lo instala cpanel jejeje y funciona bien tal y como lo tengo ahora, ya que bloqueo algo de vez encuando.. pero me gustaria mejorarlo con las reglas de gotroot ya que las q uso son las 'por defecto'..

¿podrias guiarme un poco de como añadir las reglas de gotroot.com en mod_security instalado en un centos5.4?


un saludo
kennysamuerto
13/11/2009, 18:18
Añadidos primeros 5 consejos.

Continuare con mas.
kennysamuerto
13/11/2009, 02:35
CONSEJO 1: SEGURIDAD EN EL SSH

Ya esta desarrollado en: http://foros.ovh.es/showpost.php?p=28623&postcount=7

CONSEJO 2: OCULTAR LA VERSION

Es importante, porque los hackers suelen sacar esta informacion para buscar bugs:

Hay dos directivas que necesitas agregar, o cambiar en el archivo de configuración:

ServerSignature Off
ServerTokens Prod

ServerTokens sirve para determinar lo que apache pone en la cabecera de http del servidor.

CONSEJO 3: APACHE BAJO SU PROPIO GRUPO Y USUARIO

Algunas versiones de apache actuan como nobody. Esto es muy peligroso, asi que lo recomendable es usar:

User apache Group apache

Podeis ademas usar el mod_security, que es un excelente modulo para apache:
http://www.modsecurity.org/

Entre otras cosas, mod_security limita la memoria de subida, enmascara la identidad del servidor, filtra en base a expresiones regulares... etc.

Se recomienda usar con las reglas de: gotroot.com

CONSEJO 4: DESACTIVAR INCLUDES POR PARTE DEL SERVIDOR

Esto también se hace con las opciones de directiva dentro de la etiqueta ; tiene dos posibles valores none o include.

Options -Includes

CONSEJO 5: DESACTIVAR LOS CGI

Si no necesitas la ejecución de CGI por algún motivo en concreto, desactívala. Esto se hace con las opciones de directiva dentro de la etiqueta directorio; tiene dos posibles valores none o ExecCGI.

Options -ExecCGI






Continuara....