Proponha uma correção, faça uma sugestão
Dicas: Segurança no Apache instalado no Ubuntu (Parte I)
O Apache é o servidor Web mais usado em todo o mundo. Flexibilidade, documentação e uma enorme comunidade, são alguns dos pontos fortes que marcam a diferença do Apache para a concorrência.
A instalação do Apache é extremamente simples mas como administradores do serviço é importante que este esteja configuração da melhor forma no sentido de garantir a melhor segurança. Aqui ficam algumas dicas.
Como instalar/actualizar o Apache?
A instalação do apache no Ubuntu e derivados é bastante simples. Para isso basta abrir o terminal e executar os seguintes comandos:
sudo apt-get update sudo apt-get install apache2 |
Esconder a versão do Apache
Por omissão o Apache pode apresentar ao utilizador a versão.
No sentido de omitirmos tal informação, basta editar o ficheiro /etc/apache2/conf-enabled/security.conf e acrescentar/editar os seguintes parâmetros:
ServerSignature Off ServerTokens Prod |
Depois de realizadas as configurações basta fazerem restart ao serviço.
sudo /etc/init.d/apache2 restart |
Desactivar pesquisa na directoria e links simbólicos
Por omissão o Apache permite listar os directórios criados na sua estrutura. Se tal opção está activa, um utilizador pode facilmente ver todos os ficheiros presentes nessa directoria, ficheiros esses que podem até conter informação que não pretendemos tornar pública.
Para proteger o acesso a essa informação basta editar o ficheiro /etc/apache2/apache2.conf e definir os seguintes parâmetros:
Options -FollowSymLinks
AllowOverride None
Require all granted |
Nota: Estes parâmetros devem estar definidos para a raiz da estrutura (ex. /var/www/html).
Desactivar módulos desnecessários
O Apache vem por omissão com vários módulos instalados que normalmente nem precisamos no nosso servidor. Para saber os módulos activos basta usar o comando:
ls /etc/apache2/mods-enabled/ |
Exemplo de como desactivar o módulo status:
sudo a2dismod status sudo /etc/init.d/apache2 restart |
Estas são algumas dicas que pode aplicar já ao seu servidor apache. São configurações simples e que ajudam na segurança do serviço. Para a semana apresentamos mais algumas. Se entretanto quiserem partilhar algumas configurações connosco estejam à vontade, nós publicamos no próximo artigo.
Este artigo tem mais de um ano
Loading ...
Muito interesante 🙂
interessante
Muito bom, fica a dica para os próximos tutoriais sobre o mesmo assunto
Paginas https e já agora fazer o encaminhamento automático de http para https
Bom trabalho 😀
Olá.
Excelente iniciativa para começarem a fazer o hardening do vosso apache.
Chamada de atenção para o facto de, as opções definidas apenas desativarem o seguimento de ligações simbólicas. Para desativar a listagem de ficheiros quando não está presente o documento raiz definido deve ser adicionada a opção -Indexes : http://httpd.apache.org/docs/2.4/mod/core.html#options
Sugestão para os próximos artigos: parametrizar o apache para utilizar o http2.
Bom trabalho
Já agora um reforço de acrescento ao Apache. Podemos ter um painel de gestão estilo Cpanel como é habitual encontrar nos alojamentos web mas igualmente gratuíto. Dá pelo nome de Zpanel aqui fica a dica para quem tiver interesse:
http://www.zpanelcp.com/
Muito interessante