5.5. Aseguramiento del Servidor Apache HTTP

El Servidor Apache HTTP es uno de los servicios más estables y seguros que se entregan con Red Hat Enterprise Linux. Hay una cantidad impresionante de opciones y técnicas disponibles para asegurar el Servidor Apache HTTP — demasiadas para verlas en profundidad.

Es importante que si está configurando el Servidor Apache HTTP, lea la documentación disponible para la aplicación. Esto incluye el capítulo llamado Servidor Apache HTTP en el Manual de referencia de Red Hat Enterprise Linux, el capítulo llamado Configuración del Servidor Apache HTTP en el Manual de administración del sistema de Red Hat Enterprise Linux y los manuales Stronghold, disponibles en http://www.redhat.com/docs/manuals/stronghold/.

Abajo hay una lista con las opciones de configuración que los administradores deberían tener mucho cuidado cuando las usen.

5.5.1. FollowSymLinks

Esta directiva está activada por defecto, por lo tanto tenga cuidado al crear enlaces simbólicos al documento raíz del servidor Web. Por ejemplo, es una mala idea proporcionar un enlace simbólico a /.

5.5.2. La directiva Indexes

Esta directiva está activada por defecto, pero puede que no sea recomendable. Si no desea que los usuarios hojeen los archivos en el servidor, es mejor que elimine esta directiva.

5.5.3. La directiva UserDir

La directiva UserDir está desactivada por defecto porque puede confirmar la presencia de una cuenta de usuario en el sistema. Si desea activar la navegación del directorio del usuario en el servidor, utilice las directivas siguientes:

UserDir enabled 
UserDir disabled root

Estas directivas activan la navegación del directorio del usuario para todos los directorios de usuarios excepto /root. Si desea añadir usuarios a la lista de cuentas deshabilitadas, añada una lista de usuarios delimitada por espacios en la línea UserDir disabled.

5.5.4. No elimine la directiva IncludesNoExec

Por defecto, el servidor contiene módulos que no pueden ejecutar comandos. No se recomienda modificar esta configuración a menos que tenga la necesidad real de hacerlo, puesto que potencialmente habilita a que un atacante pueda ejecutar comandos en el sistema.

5.5.5. Limite los permisos para los directorios ejecutables

Asegúrese de que solamente asigna permisos de escritura al usuario root para cualquier directorio que contenga scripts o CGIs. Esto se puede lograr escribiendo los comandos siguientes:

chown root <directory_name>
chmod 755 <directory_name>

Además, siempre verifique que cualquier script que esté ejecutando en el sistema funcione como se espera antes de colocarlos en producción.