Asegurar un servidor Apache en CentOS 6

• Paso 1: instalación del servidor web
• Paso 2 - Asegurando tus directorios personales
• Paso 3: aplique un parche de seguridad a Apache para la separación de privilegios de usuario
• Paso 3 - Crea tu primer host virtual
• Paso 4: configurar Apache para que se ejecute como otro usuario
• Paso 5 - Ocultar la versión de Apache
• Paso 6: reiniciar Apache para aplicar los cambios
• Conclusión

Es fácil tomar atajos al proteger un servidor, pero correrá el riesgo de perder datos en caso de que un atacante obtenga acceso de root a cualquiera de sus servidores. Incluso para instalaciones simples, debe asegurar su servidor de antemano. La seguridad de los servidores es un tema amplio y varía según el sistema operativo y las aplicaciones que se ejecutan en ellos.

Este tutorial se centra en proteger Apache en CentOS 6. Hay algunos pasos posteriores a la instalación que puede seguir para protegerse de la escalada de privilegios, así como de los ataques con privilegios insuficientes.

Sin más preámbulos, comencemos.

Paso 1: instalación del servidor web

Por supuesto, si no tiene instalado Apache o PHP, debe hacerlo ahora. Ejecute este comando como usuario root o use sudo:

yum install httpd php

Paso 2 - Asegurando tus directorios personales

Ahora que Apache está instalado, sigamos adelante y comencemos a protegerlo. Primero, queremos asegurarnos de que nadie más que el propietario pueda ver los directorios de otros usuarios. Cambiaremos todos los directorios de inicio a 700, para que solo los respectivos propietarios de los directorios de inicio puedan ver sus propios archivos. Ejecute este comando como root o use sudo:

chmod 700 /home
chmod 700 /home/*
chmod 700 /home/*/*

Al usar comodines, cubrimos todos los archivos que actualmente residen en el directorio de inicio.

Paso 3: aplique un parche de seguridad a Apache para la separación de privilegios de usuario

Antes de parchear Apache, primero debemos instalar el repositorio que contiene el paquete con el parche. Ejecute los siguientes comandos como root (o sudo).

yum install epel-release
yum install httpd-itk

Con "apache2-mpm-itk", podemos decir qué usuario PHP debe ejecutar según el host virtual. Agrega una nueva opción de configuración AssignUserId virtualhost-user virtualhost-user-group, que nos permite decirle a Apache / PHP que ejecute el código de usuario bajo una cuenta de usuario específica.

Si está compartiendo este servidor, supongo que ya ha creado un host virtual para Apache anteriormente. En ese caso, puede pasar al paso 4.

Paso 3 - Crea tu primer host virtual

Puede seguir la plantilla a continuación para crear un host virtual en Apache.

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
</VirtualHost>

Abra su editor de texto favorito /etc/httpd/conf.d/example-virtualhost.confy luego agregue el contenido de arriba. Aquí está el comando para usar nano:

nano /etc/httpd/conf.d/example-virtualhost.conf

Déjame explicarte la configuración aquí. Cuando especificamos "NameVirtualHost", en realidad le estamos diciendo al servidor web que estamos alojando múltiples dominios en una IP . Ahora, en este ejemplo, utilicé mytest.websitecomo dominio de ejemplo. Cambie eso al suyo o al dominio que elija. DocumentRootes lo que le dice a Apache dónde se encuentra el contenido. ServerNamees una directiva que usamos para decirle a Apache el dominio del sitio web. Y una última etiqueta, </VirtualHost>que le dice a Apache que ese es el final de la configuración del host virtual.

Paso 4: configurar Apache para que se ejecute como otro usuario

Como se mencionó anteriormente, parte de proteger su servidor incluye ejecutar Apache / PHP como un usuario separado para cada host virtual. Es simple decirle a Apache que haga esto después de aplicar el parche; todo lo que necesita hacer es agregar:

AssignUserId vhost-user vhost-user-group

... a su configuración. Así es como se vería el host virtual de ejemplo después de agregar esta opción:

NameVirtualHost mytest.website

<VirtualHost mytest.website>

DocumentRoot /home/vhost-user/public_html
ServerName mytest.website
AssignUserId vhost-user vhost-user-group

</VirtualHost>

La magia está en la línea que comienza con AssignUserId. Con esta opción, le estamos diciendo a Apache / PHP que se ejecute como el siguiente usuario / grupo.

Paso 5 - Ocultar la versión de Apache

Este paso es bastante simple; simplemente abra el archivo de configuración de Apache ejecutando el siguiente comando como usuario root:

nano /etc/httpd/conf/httpd.conf

Busque "ServerTokens" y cambie la opción después a "ProductOnly". Esto le dice a Apache que solo revele que es "Apache", en lugar de "Apache / 2.2" o algo similar.

Paso 6: reiniciar Apache para aplicar los cambios

Ahora que hemos asegurado el servidor, debemos reiniciar el servidor Apache. Haga esto ejecutando el siguiente comando como root o con sudo:

service httpd restart

Conclusión

Estos son solo algunos pasos que puede seguir para proteger su servidor. Una vez más, incluso si es alguien en quien confía que aloja un sitio web en su servidor, debe planear protegerlo. En los escenarios anteriores, incluso si una cuenta de usuario se ve comprometida, el atacante no habrá obtenido acceso a todo el servidor.