Suse y Mod Security
Rodrigo Fuentealba
darkprox en gmail.com
Lun Jul 9 16:17:15 CLT 2007
El 9/07/07, Vida Luz <vlal en ns.ideay.net.ni> escribió:
> Gracias Cristian y Rodrigo
>
> Ok, estamso claro que la mejor proteccion es tener uan BD con acceso a
> usuarios bien perfilados y un buen codigo, no estamos con PHP estamos
> trabajando con JAVA, TOMCAT, sin embargo hemso revisado bien el codigo
> antes de sacar este sitio al publico y queriamos una buena seguridad con
> el S.O. y con el web server.
Uhm, ¿Tomcat corre sobre Apache o lo reemplaza? Supongamos que corre
sobre Apache. De todas maneras los consejillos podrán quedar para la
posteridad.
> Les agradesco sus comentarios, si tienen algo mas sera bienvenido.
1.- Revisa bien los módulos que carga Apache (LoadModule blah_module
lib/httpd/blah.so), porque mientras menos módulos tenga, más liviano
será en memoria y menos problemas de seguridad podrías tener. Módulos
como mod_imap.so NO SON para conectarte a revisar tu mail con Internet
Mail A... Protocol (se me fue la sigla), sino para generar mapas de
imágenes, algo que HTML 4 hace, y XHTML también.
2.- Define bien, de acuerdo a tus necesidades, las directivas de
.htaccess; de esta manera será más difícil que te exploten
vulnerabilidades desde fuera. (Más de alguna vez, en entornos de
prueba, he explotado vulnerabilidades porque el sysadmin dejó un
AllowOverride All lo suficientemente mal puesto)
3.- Algo que no se requiere? Bórralo. Encuentro pésima la costumbre de
dejar la versión actual del sistema arriba del servidor y la versión
anterior en un archivo comprimido en la raíz. Basta probar con
"sistema.tgz", "sistema.tar.gz", "sistema.20060104.tar.gz" y cositas
así para descargarlo. Sonará estúpido, pero donde voy me encuentro
cosas así...
Si recuerdo algo más, lo vuelvo a escribir.
Atentamente,
--
Rodrigo Fuentealba Cartes
Desarrollador de Sistemas Web
Registered User 387639 - http://counter.li.org
Más información sobre la lista de distribución Linux