Ocultar versión de apache

categoría: Seguridad informática | tags: , , | sin comentarios »

Si bien la segurdiad por seguridad por oscuridad debe tratarse como un añadido secundario a otros métodos más básicos, puede resultar una buena práctica para poner las cósas un poco más difíciles a un posible atacante.

Para ocultar la versión de un servidor web apache haremos lo siguiente:

Editamos el archivo de configuración de apache

vi /etc/apache2/apache2.conf

Modificamos las siguientes directivas ó en caso de no contar con ellas las añadiremos

ServerTokens ProductOnly
ServerSignature Off

Después de guardar los cambios en el archivo se debe reiniciar apache

/etc/init.d/apache2 restart

A continuación se incluyen dos capturas de pantalla del antes y el después de hacer este cambio.

Esta captura muestra la información que ofrece apache con su configuración por defecto. Facilita información tal como: sistema operativo, versión de apache y versión de PHP. Toda esta información es totalmente innecesaria en un servidor en producción.

version-apache011

La siguiente captura muestra la información facilitada tras realizar los camibios expuestos anteriormente. Tan sólo muestra que el servidor es “Apache” sin más detalles.

version-apache02


Servidor web instantáneo con python

categoría: General | tags: , | 1 comentario »

Con python es posible iniciar un servidor web minimalista en el directorio actual especificando un puerto (en este caso 8013):

python -m SimpleHTTPServer 8013

El servidor ignora letras de unidad y rutas relativas (p. ej “..”) pero no cuenta con ningún otro sistema de seguridad. Una forma rápida y sencilla de compartir archivos en una red local.