Apache es uno de los servidores web más populares, pero su configuración predeterminada contiene opciones cuestionables en muchas distribuciones de Linux.
Apache tiende a anunciar su versión específica y la plataforma en la que se ejecuta, información que podría ser valiosa para los atacantes.
Este artículo rápido te mostrará cómo deshabilitar esta salida para ayudar a proteger tu servidor. Por lo general, no hay razón para que esté activo y apagarlo solo debería tomar un minuto.
¿Cuál es el problema?
En una instalación nueva de Apache 2.4 se muestra el índice de directorio, pero en el pie de página de la página se revela el código de versión de Apache, el nombre del sistema operativo y la dirección IP interna junto al número de puerto de su servidor.
Estos son detalles potencialmente sensibles. Una vulnerabilidad de día cero en Apache podría afectar solo a una pequeña variedad de versiones.
Al dejar esta salida activada, se muestra al mundo si tu máquina está en riesgo. Eso hace que sea mucho más fácil para los atacantes identificar tu host como un posible objetivo potencial.
Apache se refiere a estos datos como su “firma del servidor” y no se limita a las páginas de índice del directorio: El código de la versión se incluye en cada respuesta HTTP dentro del encabezado Server (mostrando el número de versión de Apache).
Ese encabezado estará presente independientemente del código de estado de la respuesta.
Los atacantes pueden encontrar tu versión precisa de Apache simplemente enviando una solicitud a tu servidor, independientemente de si conocen una URL válida o no.
Deshabilitar la firma del servidor
Existen dos fórmulas para deshabilitar esa salida no deseada.
Primero está el valor de ServerSignature en tu archivo de configuración de Apache, la ubicación de ese archivo puede variar entre alguna de las siguientes posibles rutas: /etc/apache2/apache2.conf o /usr/local/apache2/conf/httpd.conf.
La directivaServerSignature también es compatible con los arechivos .htaccess de la raíz de tu web.
Configura la directiva para estar deshabilitada en Off y ello desactivará la firma que aparece en las páginas web generadas por el servidor ServerSignature Off.
Luego Reinicia Apache para aplicar el cambio, puedes hacerlo en Linux mediante el comando: $ sudo servicio apache2 restart.
Eso afectará a las listas de directorios, las páginas de error predeterminadas de Apache y otros resultados HTML producidos por el servidor. Offeliminará por completo la línea de la firma.
La configuración admite opcionalmente un tercer valor, EMailque proporciona un enlace para enviar un correo electrónico a la dirección definida por ServerAdmin:
ServerAdmin ejemplo@ejemplo.com ServerSignature EMail
Eso reemplaza la información de la versión de Apache con el enlace del correo electrónico.
Gestión de tokens de servidor
El contenido del encabezado Server de respuesta está controlado por una configuración diferente, ServerTokens.
Eso solo puede establecerse mediante el archivo de configuración global de tu servidor. No es compatible con los archivos internos de .htaccess.
El valor predeterminado de esta configuración es por defecto Full, este parámetro se encarga de presentar la cadena de la versión precisa y el nombre del sistema operativo.
Además, también puede incluir los números de versión de los módulos cargados y los motores de contenido CGI como PHP.
El parámetro se puede modificar con los siguientes valores alternativos:
Full–Apache/2.4.2 (Ubuntu)Prod–ApacheMajor–Apache/2Minor–Apache/2.4Min–Apache/2.4.2OS– Igual queFullpero sin información sobre los módulos cargados
La elección de Prod es el valor más seguro. Puedes pensar en ello como Produccion aunque en realidad es la abreviatura de ProductOnly.
Este token de servidor significa que el encabezado Server solamente revelará que estás usando Apache, sin ninguna información adicional.
Los atacantes tendrán que realizar más investigaciones de prueba y error para encontrar posibles vulnerabilidades explotables en tu instalación.
Desafortunadamente, no existe forma de eliminar el encabezado Server por completo.
Sin embargo, la mayoría de las personas nunca consumen el encabezado Server y siempre es más seguro anunciar la menor información posible sobre tu sistema.
Si bien, no evitarás la explotación de vulnerabilidades, ServerTokens Prod podría disuadir a los atacantes de realizar intentos especulativos.
También harás que sea más difícil para los transeúntes obtener detalles del funcionamiento interno de tu pila de tecnología.
Es solo un pequeño endurecimiento de seguridad pero algún día podría ser la diferencia que necesitas.
¿Qué pasa con PHP?
Apache se usa a menudo frente a sitios web y aplicaciones con tecnología de PHP.
Desafortunadamente, PHP tiene su propia costumbre de proporcionar su número de versión a Internet, ello parecerá en el encabezado X-Powered-By de las respuestas enviadas por tu código PHP.
Puedes desactivarlo modificando tu archivo de configuración de PHP con la siguiente línea exponer_php = Off
El archivo de configuración generalmente se puede encontrar en la ruta de /etc/php/8.1/apache2/php.ini reemplaza 8.1 con la versión de PHP que estás usando.
Deberás reiniciar tu servidor web para aplicar el cambio.
Conclusión final
La configuración predeterminada de Apache expone el número de versión preciso de tu servidor, así como tu sistema operativo y dirección IP.
Esta información aparentemente inocua, puede ayudar a los atacantes que buscan servidores vulnerables. Desactivar la firma del servidor es una forma rápida de fortalecer tu entorno.
También, es una buena idea abordar la exposición de información similar de otros posibles software dentro de tu pila.
Por ejemplo, PHP o algunos otros frameworks web que vengan con posibles vulnerabilidades similares.
Relacionado
Si recién comienzas a programar con Java, puedes oje la guía para principiantes sobre Java que te guiará a través de todos los conceptos más importantes de Java que necesitas conocer, si pronto quieres comenzar a utilizar cualquier de los frameworks Java. Java es un lenguaje robusto y combinado con un framework Java, puede proporcionar las mejores soluciones para cualquier campo tecnológico, ya bien sea; un ¡SEGUIR LEYENDO!
La autenticación, autorización y contabilidad (AAA) es un sistema para rastrear las actividades de los usuarios en una red basada en IP y controlar su acceso a los recursos de la red. AAA a menudo se implementa como un servidor dedicado. Es un marco utilizado para controlar y rastrear el acceso dentro de una red informática. Este término también se conoce como el Protocolo AAA y ¡SEGUIR LEYENDO!
El equipo de Apache Arrow anunció una nueva la versión de Apache Arrow. Más en concreto, la versión de Apache Arrow 4.0.0. Esta nueva versión cubre 3 meses de trabajo y desarrollo, en las que se incluyen hasta 711 problemas resueltos de 114 colaboradores diferentes. Se han realizado muchas correcciones de errores y mejoras: Si lo deseas, puedes tener acceso al registro completo de los cambios. ¡SEGUIR LEYENDO!
Apache Storm es un framework de cálculo de procesamiento de flujo distribuido escrito principalmente en el lenguaje de programación Clojure. Originalmente creado por Nathan Marz y el equipo de BackType, el proyecto fue de código abierto después de ser adquirido por Twitter. Utiliza "spouts" y "bolts" creados a medida para definir las fuentes de información y las manipulaciones para permitir el procesamiento por lotes y distribuido ¡SEGUIR LEYENDO!
Nginx usa archivos de configuración basados en texto para controlar su comportamiento. Por lo general, el valor predeterminado es /etc/nginx/ y contiene algunos archivos de configuración diferentes, aunque la ubicación puede variar según la instalación. Las ubicaciones habituales La ubicación predeterminada para la carpeta de configuración de nginx es: /etc/nginx/ Es probable que esta ubicación sea la predeterminada para todas las instalaciones normales. Si instalaste nginx ¡SEGUIR LEYENDO!
Aprenda a alojar su propio sitio web con Apache, un servidor web sólido, conocido y fácil de configurar. La configuración de Apache es bastante sencilla en el caso de una instalación básica y realmente, tampoco es mucho más difícil, en caso de querer configurar algo un poco más compleja, como por ejemplo: Múltiples sitios web. La instalación y configuración del servidor web Apache debe realizarse como ¡SEGUIR LEYENDO!
La crítica “brillante” y “atrevidamente original” (The New York Times) de las redes sociales digitales del “David Foster Wallace de la tecnología” (London Evening Standard) que afirma que para arreglar nuestra economía, debemos arreglar nuestra economía de la información.
- Lanier, Jaron (Autor)