En posts anteriores hemos mostrado cómo instalar Apache y poner en funcionamiento hosts virtuales. También hemos mostrado cómo utilizar las directivas de configuración para modificar el comportamiento del servidor. El próximo paso consiste en aumentar la seguridad en Apache mediante los tips básicos que compartiremos en este post y en el siguiente.
De hecho, es importante aclarar que la seguridad de un servidor web merece un libro entero. Los tips provistos en este post y en el próximo son simples de implementar incluso para nuevos usuarios. Por eso se aconseja consultar el apartado Security tips en la documentación de Apache posteriormente.
Aumentar la seguridad en Apache
Además de mantener a Apache actualizado (sugerencia primordial de seguridad), los siguientes tips le brindarán seguridad a nuestro servidor web:
TIP #1: Esconder la versión de Apache y el sistema operativo
Cuando se realiza una petición a un recurso no existente, Apache por lo general responde de la manera mostrada en la Fig. 1a. ¿Por qué nos interesa esconder la versión de Apache y el sistema operativo sobre el cual está corriendo? La respuesta es sencilla. Pueden existir bugs para dicha versión, y no deseamos que un atacante saque provecho de las mismas. Implícitamente, este punto nos obliga a mantener el paquete actualizado a la última versión disponible.
Al insertar las siguientes directivas en el archivo principal de configuración podemos lograr este objetivo:
ServerSignature Off ServerTokens Prod
A continuación, las peticiones a recursos inexistentes no revelarán la versión de Apache ni el sistema operativo, tal como vemos en la Fig. 1b.
Como se puede ver, esta sugerencia es fácil de implementar luego de haber aprendido a utilizar las directivas de Apache.
Espero que este post les haya resultado de utilidad. ¡Gracias por leer y nos encontramos en el próximo post!