LinuxParty

En este artículo se muestra cómo instalar y configurar mod_security. mod_security es un módulo Apache que proporciona detección y prevención de intrusiones para aplicaciones web. Su objetivo es proteger las aplicaciones web de ataques conocidos y desconocidos, como ataques de inyección de SQL, secuencias de comandos entre sitios, ataques de trayectoria de ruta, etc.

En el primer capítulo voy a mostrar cómo instalar mod_security en Debian, Ubuntu y en Fedora, y en el segundo capítulo voy a describir cómo configurar Apache para mod_security que es independiente de la distribución que estes usando

Quiero decir primero que no es la única forma de establecer un sistema de este tipo. Hay muchas maneras de lograr este objetivo, pero esta es la manera que tomo. ¡No hay ninguna garantía de que esto funcione para usted!

1 Instalación

Hoy en día IPv6 es cada vez más comunmente utilizado en los servidores web. Es mejor implementar IPv6 en servidores para ser accesible en redes IPv6. Aquí es una instrucción muy rápida sobre cómo prepararse para IPv6 en sus servidores web Apache.

He instalado un nuevo CentOS y un apache fresco en mi servidor de prueba, sin ningún panel de control. Si está utilizando un panel de control o cualquier otro sistema de operación, la forma de preparar debe ser la misma

Este artículo recopila los trucos y ejemplos de configuración más útiles para el arhivo .htaccess del servidor web Apache.

Redirección y reescritura de URL

Para que funcionen correctamente los ejemplos de configuración mostrados en esta sección, debes tener el módulo mod_rewrite instalado y activado en el servidor.

Forzar a que todas las URL empiecen por www

Esta configuración funciona solamente para las URL no seguras que empiezan por http://:

RewriteEngine on
RewriteCond %{HTTP_HOST} ^ejemplo\.com [NC]
RewriteRule ^(.*)$ http://www.ejemplo.com/$1 [L,R=301,NC]

Esta configuración funciona tanto para las URL seguras (https://) como para las URL normales (http://):

RewriteCond %{HTTP_HOST} !^$
RewriteCond %{HTTP_HOST} !^www\. [NC]
RewriteCond %{HTTPS}s ^on(s)|
RewriteRule ^ http%1://www.%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Índice

1. Introducción al .htaccess
2. Bloqueando y permitiendo acceso
3. Re-escritura y Redirección
4. Compresión y caché
5. Otras funcionalidades del .htaccess
6. Recomendaciones sobre el fichero .htaccess
7. Simbología del fichero .htaccess

1.- Introducción

Hay muchísimos artículos en la red sobre el fichero .htaccess, así que es una buena forma de agrupar y reunir lo que realmente es interesante sobre este tema, mediante ejemplos claros que sirvan como ejemplo.

Primero, tenemos que decir que el fichero .htaccess es una verdadera 'navaja suiza' para el control del acceso a tu sitio web. Con ella se puede redireccionar a una persona, denegar el acceso, comprimir los ficheros, establecer una caché para los archivos, etc.

.htaccess significa acceso de hipertexto -hipertext access- y es un archivo de configuración de Apache. Apache es el software encargado de servir páginas web para plataformas Unix, Microsoft Windows, Mac, etc.

Crear un directorio protegido es una buena idea, para mantener lejos a curiosos e indeseados el acceso a ciertas partes del sitio, donde puedas tener información confidencial que no quieras compartir con nadie, o con algunas personas, en este caso, esta configuración te será ideal

Para crear un directorio protegido para apache, puedes hacer dos cosas, (recomendado) acceder a tu shell linux (o a la del servidor, si tienes acceso) y escribir desde allí...

Por lo general asociamos .htaccess directamente a la seguridad, pero es posible realizar otras cosas con estos ficheros. Crear uno de estos archivos es muy simple, usando cualquier editor de texto plano y al salvarlo con el nombre ".htaccess" -claro está, sin las comillas-.

Antes de entrar en materia debemos asegurarnos de respaldar cualquier archivo .htaccess presente en el directorio que vamos utilizar para copiar el nuestro.

Con esto en mente, pasemos a revisar algunos ejemplos prácticos:

Los servidores web utilizan HTTP por defecto, que es un protocolo de texto claro. Como su nombre indica, un protocolo de texto no cifrado que no aplica ningún tipo de encriptación de los datos. Mientras el servidor web basado en HTTP es muy fácil de configurar, tiene una desventaja importante en términos de seguridad. Exponerse a cualquier ataque "man-in-the-middle" capaz de ver el contenido de los paquetes en tránsito con analizadores de paquetes cuidadosamente colocados. En caso de una vulnerabilidad, un usuario malintencionado puede incluso configurar un servidor "impostor" en la ruta de tránsito, que a continuación, se hace pasar por el servidor web de destino. En este caso, los usuarios finales pueden comunicarse realmente con el servidor impostor en lugar del servidor de destino real. De esta manera, el usuario malintencionado puede engañar a los usuarios finales para que entreguen información confidencial, como nombre de usuario y las contraseñas a través de falsos formularios cuidadosamente elaborados.

Si lo que buscas es instalar LetsEncrypt: Tenemos estos artículos:

Generar tu certificado SSL gratis, manualmente con Let's Encrypt

Para más artículos sobre SSL, usa "Buscar, este resultado"

Índice

1. Introducción al .htaccess
2. Bloqueando y permitiendo acceso
3. Re-escritura y Redirección
4. Compresión y caché
5. Otras funcionalidades del .htaccess
6. Recomendaciones sobre el fichero .htaccess
7. Simbología del fichero .htaccess

1.- Introducción

Hay muchísimos artículos en la red sobre el fichero .htaccess, así que es una buena forma de agrupar y reunir lo que realmente es interesante sobre este tema, mediante ejemplos claros que sirvan como ejemplo.

Primero, tenemos que decir que el fichero .htaccess es una verdadera 'navaja suiza' para el control del acceso a tu sitio web. Con ella se puede redireccionar a una persona, denegar el acceso, comprimir los ficheros, establecer una caché para los archivos, etc.

.htaccess significa acceso de hipertexto -hipertext access- y es un archivo de configuración de Apache. Apache es el software encargado de servir páginas web para plataformas Unix, Microsoft Windows, Mac, etc.

La Fundación Apache Software anunció el proyecto Allura para acoger proyectos de desarrollo de software, Piense GitHub o SourceForge en sus propios servidores - Allura tiene git, svn, hg, wiki, tickets, foros, noticias, etc Está escrito. en python y tiene una plataforma modular y extensible para que pueda escribir sus propias herramientas y extensiones. Actualmente utilizado por SourceForge, DARPA, Centro Aeroespacial Alemán, y Proyectos Europeos de Código Abierto. Allura es de código abierto... Disponible bajo la Licencia Apache v2.0.