configuración apache
directivas para securizar
- evitar listado directorios
Options -Indexes - permitir .htaccess: (/etc/apache/sites-available/default)
AllowOverride All - evitar información del servidor (/etc/apache/conf.d/security):
ServerSignature OffServerTokens Prod
- securizar galletas (via https) para evitar XSS
- en
/etc/php5/apache2/php.ini, cambiar estas dos variables a true:session.cookie_httponly = True session.cookie_secure = True
- modificar
/etc/apache2/mods-enabled/headers.load:Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
módulos para securizar
- mod_security
- mod_qos
- mod_status
$ sudo apt-get install libapache2-mod-security $ sudo a2enmod mod-security $ sudo /etc/init.d/apache2 force-reload- modsecurity console: http://waf-fle.org/
httpd.conf, trucos
- se pueden utilizar variables de entorno de BASH para configurar el apache, permitiendo tener una «plantilla» para usar en varios servidores (o ficheros INCLUDE)
- dentro del httpd.conf, usar:
User = ${VARIABLE} - en el bash:
VARIABLE="apache"