Script para reporte de SPAM
servidor web Apache
Julio 2012
La presente publicación pertenece a INTECO (Instituto Nacional de Tecnologías de la Comunicación) y
está bajo una licencia Reconocimiento-No comercial 3.0 España de Creative Commons. Por esta razón está
permitido copiar, distribuir y comunicar públicamente esta obra bajo las condiciones siguientes:
o
Reconocimiento.El contenido de este informe se puede reproducir total o parcialmente por
terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO-CERT como a su
sitio web: http://www.inteco.es. Dicho reconocimiento no podrá en ningún caso sugerir que
INTECO-CERT presta apoyo a dicho tercero o apoya el uso que hace de su obra.
o
Uso No Comercial. El material original y los trabajosderivados pueden ser distribuidos, copiados y
exhibidos mientras su uso no tenga fines comerciales.
Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de
estas condiciones puede no aplicarse si se obtiene el permiso de INTECO-CERT como titular de los
derechos de autor. Texto completo de la licencia:http://creativecommons.org/licenses/by-nc-sa/3.0/es/
El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document
Format). Se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no
textual, marcado de idioma y orden de lectura adecuado.
Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía
disponibleen la sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es
Seguridad en Apache
2
ÍNDICE
1.
INTRODUCCIÓN
5
2.
DIRECTIVAS Y ARCHIVOS DE CONFIGURACIÓN
7
3.
SEGURIDAD EN LA INSTALACIÓN
9
4.
CONTROL DE LOS ARCHIVOS PUBLICADOS
10
4.1.
Denegar el acceso por defecto
10
4.2.
Revisar las directivas Alias
104.3.
Evitar la resolución de enlaces simbólicos
11
5.
12
5.1.
Deshabilitar el listado de ficheros
12
5.2.
Limitar el acceso a archivos por extensión
12
5.3.
Información en la cabecera “Server”
13
5.4.
6.
OCULTAR INFORMACIÓN
Información en páginas generadas por el servidor
15
17
6.1.
¿CGI o módulo?
17
6.2.
7.
CGI Y MÓDULOS
Medidasde seguridad
18
19
7.1.
Por contraseña
19
7.2.
Autorización a grupos
21
7.3.
8.
AUTENTICACIÓN Y AUTORIZACIÓN
Otros factores de autenticación
21
22
8.1.
Ventajas de HTTPs sobre HTTP
22
8.2.
Configuración segura de HTTPS
22
8.3.
Comprobación de la seguridad de HTTPS
24
8.4.
Autenticación del usuario por certificado
24
8.5.9.
COMUNICACIÓN HTTPS Y AUTENTICACIÓN CON CERTIFICADO CLIENTE
Criterios compuestos de autorización
25
ATAQUES DE DENEGACIÓN DE SERVICIO
26
9.1.
Ataques DOS
26
9.2.
Número máximo de peticiones concurrentes
27
Seguridad en Apache
3
9.3.
28
9.4.
10.
Restricciones sobre las peticiones
Monitorización del uso de recursos
28
31
10.1.Monitorización del servicio
31
10.2.
Configuración y revisión de logs
32
10.3.
11.
MONITORIZACIÓN
Detección de ataques
33
FUENTES DE INFORMACIÓN
Seguridad en Apache
34
4
1.
INTRODUCCIÓN
En la actualidad, cada vez más aplicaciones y servicios se desarrollan para entornos web siendo accesibles a través del navegador- de forma que se facilite el acceso desdelas redes
internas de las empresas o a través de Internet. Por este motivo, se debe poner especial
énfasis en la seguridad de los servidores web.
Por poner un ejemplo, caídas del servidor, problemas se seguridad por la configuración,
robo de información confidencial, defacements (modificaciones en del aspecto de la web) o
inyección de código malicioso son algunas de las consecuencias de no...
Regístrate para leer el documento completo.