Usamos cookies propias y de terceros que entre otras cosas recogen datos sobre sus hábitos de navegación para mostrarle publicidad personalizada y realizar análisis de uso de nuestro sitio.
Si continúas navegando consideramos que aceptas su uso. OK Más información | Y más

Tips de seguridad para Apache y Php después de instalarlos en Debian y derivados

By.... 4uxx
12 de marzo de 2014

Hola amig@s , en esta oportunidad les vengo a dar unos  consejos de seguridad después de instalar Apache server y Php en distros Debian y derivados.

A la hora de instalar dichos servicios en nuestro sistema operativo traen archivos ya configurados por defecto, y esto para l@s malintencionados que  desean entrar a nuestro servidor les facilita un poco más las cosas, ya que nos muestra información que  puede comprometer de alguna manera nuestra seguridad, lo cual  por supuesto ayuda al atacante...



Veamos en la siguiente imagen:

Como podemos observar al ingresar un enlace no encontrado nos muestra la página de "No encontrado", y por si fuera poco nos dice la versión de Apache en este caso es la 2.2.14 con la distro Ubuntu y ruta puerto...Ok bien esto muchos lo "ocultan" haciendo una página error personalizada para que no salga lo que por defecto trae, pero igual siempre es bueno cambiar los valores que por defecto traen al instalar Apache, bien pasemos a configurar manualmente para que  no se muestre la versión de Apache y la demás información.

Lo primero que hemos de hacer es modificar el archivo "security"  para cambiar algunos valores  de ON a OFF para esto podemos modificarlo desde la terminal o bien si lo deseamos por medio de algún editor de texto, yo usaré gedit, OJO todo esto como super usuario( root ).

 /etc/apache2/conf.d/security

 O bien llamar el archivo desde la terminal:

 nano /etc/apache2/conf.d/security

 Ahí buscamos la siguiente línea:

ServerTokens OS 

Cambiamos a:

ServerTokens Prod 

 Siempre en el mismo archivo security buscamos las líneas ServerSignature  por defecto vienen de esta manera:


#ServerSignature Off
ServerSignature On

 Entonces le quitamos a la primera  donde dice  Off el signo numeral ' # ' y se la ponemos a la que tiene el modo On, ya que las líneas con numeral no son tomadas en cuenta son tomadas como comentarios,  quedando de la siguiente manera :


ServerSignature Off
#ServerSignature On

 Ahora buscamos las líneas TraceEnable que al igual que lo anterior quitamos el numeral ' # ' al Off y se lo colocamos al modo On quedando de la siguiente manera:

Antes:
#TraceEnable Off
TraceEnable On

 Después:
TraceEnable Off
#TraceEnable On

 Ya modificados guardamos y cerramos el archivo security fácil no? Con esto damos paso para PHP.

Modificando PHP:

 Para que php no muestre información que pueda ser utilizada por un posible atacante vamos a la siguiente ruta:

/etc/php5/apache2/php.ini

 Dentro del archivo  buscamos la siguiente directiva disable_functions. Esta directiva permite desactivar ciertas funciones por razones de seguridad. Requiere una lista con los nombres de las funciones delimitados por comas, la modificamos para que quede exactamente de esta manera:

disable_functions = ,system,show_source,phpinfo/pre>

 Luego buscamos la siguiente directiva allow_url_fopen y la cambiamos de on a off quedando así:

allow_url_fopen = Off

 Buscamos otra directiva que es display_errors e igual la ponemos en modo Off :

display_errors= Off

 Y por último la directiva expose_php también la ponemos en modo Off :

 expose_php = Off
Guardamos y cerramos este archivo, luego reiniciamos el servidor apache y listo, ahora ya no tendrá que sacar la información del servidor, ni la distribución como vemos en la imagen:


Bien con esto concluimos este consejo, espero sea de ayuda para ustedes y  si tienen duda estamos a la orden para ayudar, nos vemos en una próxima entrega me suscribo de ustedes by 4uxx!.







Etiquetas: , , ,

0 comentarios :

>

Publicar un comentario

Suscribirse a: Enviar comentarios ( Atom )
 
Copyright © Developers For Life