miércoles, 8 de mayo de 2013

Seguridad para servidores web apache2

Es recomendable eliminar la información sensible sobre el servidor que este muestra con las configuraciones por defecto de los programas. Así dificultamos que cualquiera sepa que software utilizamos para proveer los servicios y las versiones instaladas.

En este caso trataremos como ocultar dicha información de las HTTP Headers que devuelve nuestro apache para no mostrar ningún tipo de información. De ello se encarga la directiva ServerSignature, cuando el valor de esta directiva es “On” el servidor web muestra información sobre el servidor web cuando la petición de un cliente da como resultado un error HTTP 3XX, 4XX o 5XX, esta información normalmente incluye el nombre del servidor, la versión que se encuentra en ejecución, el tipo de servidor (unix, windows) y si existe definido un “ServerName” este valor también aparecerá.


Para evitar que se muestre ningún tipo de información editaremos el archivo /etc/apache2/conf.d/security buscamos la directiva ServerSignature y ponemos su valor en “Off”.

$ nano /etc/apache2/conf.d/security

Guardamos el archivo, reiniciamos apache2 y probamos que ya no sale ninguna información sensible.

$ /etc/init.d/apache2 restart

No hay comentarios:

Publicar un comentario