Buenas,
Manuales sobre cómo gestionar la seguridad del servidor Apache hay muchos. Algunos son buenos, otros son malos, unos son muy accesibles y algunos son excesivamente profundos. A mí sin embargo me suelen gustar mucho las guías que elaboran los propios usuarios, ya que cuentan el proceso de una manera simplificada, lo cual ayuda bastante a aquellos que instalan por primera vez este tipo de productos.
El amigo Chema, abanderado de honor de Spectra, me sorprende publicando una guía sobre fortificación del producto, y lo que es peor, instalando una versión Linux. En el primer capítulo, se aborda la instalación del servidor.
Yo soy demasiado clásico a la hora de instalar Apache, y tiendo a instalar la rama 1.3.x, porque a mí la rama 2.x no me gusta nada, pero bueno. Para gustos colores. Espero que dentro de esta serie de cuatro artículos se traten temas muy importantes en un servidor Apache que se precie (y si no se tratan, ya los trataré yo :P)
* mod_security
* mod_forensics
* Enjaulado de Apache (Apache Jailing)
* Herramientas de apoyo a la fortificación
Otros enlaces interesantes para aprender a militarizar Apache:
Apache Hardening
Securing Apache: Step by Step
Si preferís libros, también hay bastantes. Un buen manual es Apache Security, de Ivan Ristic, uno de los fundadores de Mod Security.
Es de febrero de 2005, pero es un manual bastante completo y elaborado. De lo mejor que he visto en fortificación de Apache. Podéis buscarlo por ISBN 0596007248 en vuestro punto de venta online favorito. En Amazon sale por 23 dólares mal contados, lo que aplicando el cambio EUR-USD hace que se quede en unos más que accesibles 16 euros y pico. Si administras Apache, no tienes excusa.
Un saludo,
jeje. Mola eso de «abanderado de honor de Spectra».
:P. Los artículos tienen 4 partes, sobre la rama 2 de Apache, que es la que la Apache SF recomienda (pese a que no te guste ¿por qué no te gusta?). Espero con ansias tus textos sobre Modsecurity, porque el manual que viene en la web del proyecto que has linkado es superduro. Técnicamente muy útil, pero muy poco didactico y leerlo fue duro.
Respecto a lo de la jaula, tenemos que intentar que la gente use mod_chroot para que no haya que copiar toooooodos los archivos como se hacían antes. El link que pones es así de duro también y hay que evitarlo.
En los artículos he intentado hablar de mod_ssl, mod_auth, autenticación ldap, configuración de logs, configuración de valores, … En fin, un poco de todo. Lo que me ha cabido en 30 páginas.
Sigo esperando que nos veamos con una copa en la mano, que tengo cositas que discutir contigo.
Saludos!!!
Buenas,
Pues lo de Apache 1.x es algo muy subjetivo. Apache2 es un gran producto, el modelo de threads es cojonudo, pero tiene 4 o 5 cosillas que me gusta hacer a mi manera con Apache 1.x
Quizás todo venga de la época que apareció Apache2, ya que en ese momento, los de mod_perl sacaron mod_perl2 y la verdad, hicieron demasiados cambios en el API, al menos, cambios que me afectaban y me daban por saquillo. También hubo gresca con los desarrolladores de PHP, que no asumieron muy bien el cambio, y siguieron desarrollando para Apache 1.x
Por otro lado yo vengo de tener en mi conf directivas LoadModule, y bueno, eso con Apache2 pasó a la historia. En definitiva, no encontré ventajas para pasarme a la rama 2.x en su día, y honestamente, tampoco las encuentro a día de hoy.
A ver si saco tiempo y hablo del mod_security, que está cojonudo. Si hay algo que me guste de Apache son los «mods» que tiene. El jailing es durillo, pero con unos scriptcillos de nada replicar las jaulas es coser y cantar :)
Lo del debate copa en mano sigue en pie. Un saludo, estaré al tanto de los próximos capítulos ;)
Espero la fecha para las copas!. El día 3 tenemos un cenorro y fiestorro en Madrid. Así que tienes el momento perfecto para venirte. Vienen muchos «pájaros» en esto de la seguridad.
En Apache 2, puedes seguir con los load modules, de hecho el mod_security se sigue cargando así en el conf. En cuanto a las jaulas, en con mod_chroot ya no hay que hacer nada dificil. Siempre puedes usar, como dicen ellos el «hard way», pero ya no hay que hacer nada de copiar directorios y cosas así. Te dejo el link de mod_chroot para Apache.
Apúntate al