From UnderLinux Wiki

---

Aumentando a Segurança do Apache

Neste artigo vou dar algumas dicas para aumentar um pouco a segurança de seu servidor Apache, além de ensinar a proteger pastas com senhas. O "truque" é dar o mínimo de informações possíveis para quem acessa seu webserver, quanto menos eles souberem sobre os serviços rodando na máquina, menores são as chances de se sofrer um ataque. Mas atenção, isto não é a prova de falhas, não existe nada 100% seguro.

Configurando

A primeira coisa que faremos é alterar o "banner" que o apache exibe, assim que acessá-lo não irá descobrir qual webserver está rodando apenas acessando o site.

Edite o arquivo httpd.conf, geralmente localizado em /etc/httpd/ ou /etc/apache/ e procure pela entrada:

ServerSignature On

Aqui existem três opções válidas, On, Off, Email. A On exibirá todas as informações sobre o Apache, a Off não exibirá nenhuma informação, e a Email você pode colocar o link para seu endereço de email, como nosso intuito é esconder o maior número de informações possíveis vamos colocar Off:

ServerSignature Off

Com a assinatura On, você pode facilmente descobrir a versão do Apache apenas tentando acessar uma página inexistente, será uma exibida uma mensagem parecida com esta:

Not Found
The requested URL /iconssdfg was not found on this server.
Apache/1.3.29 Server at under.my.domain Port 80

Após desativar a assinatura, a mensagem exibida será a seguinte:

Not Found
The requested URL /iconssdfg was not found on this server.

Outra opção interessante de se utilizar é impedir que visualizem o conteúdo de um diretório, por exemplo, você tem a pasta fotos mas não quer que as pessoas visualizem os arquivos que essa pasta contém, mas também não quer bloquear o acesso a ela, quer apenas que seja possível ver alguma foto quando utilizarem o caminho completo, http://seuservidor.com.br/fotos/foto1.jpg

Para isso edite o httpd.conf novamente e inclua o seguinte:

<Directory "/var/www/fotos">
    Options +Indexes MultiViews
    AllowOverride None
    Order allow,deny
    Allow from all
</Directory>

Na verdade o que importa aqui é a opção +Indexes, é ela que bloqueia o acesso a listagem de arquivos do diretório. Caso alguem acesse http://seuservidor.com.br/fotos/ ele receberá a seguinte mensagem:

Forbidden
You don't have permission to access /icons/ on this server.

Agora nossa última dica, vamos proteger a pasta /documentos/ com senha, em primeiro lugar devemos criar o arquivo de senha e inserir os usuários que terão acesso a esta pasta. Aqui vou criar as senhas em /var/www/, utilize o lugar que você achar mais conveniente.

Criando o arquivo e inserindo o primeiro usuário:

root@under:~# htpasswd -c /var/www/passwords admin
New password: 
Re-type new password:
Adding password for user admin

Repita o mesmo comando para criar outro usuário, apenas remova a opção -c, ela serve apenas para criar o arquivo de senhas caso ele não exista.

Agora precisamos criar o arquivo .htaccess dentro da pasta que iremos proteger, o conteúdo dele deve ser o seguinte:

AuthType Basic
AuthName "Documentos Protegidos"
AuthUserFile /var/www/passwords
Require valid-user

Para terminar vamos configurar o Apache:

<Directory "/var/www/documentos">
    AllowOverride AuthConfig
    Options None
    Order allow,deny
    Allow from all
</Directory>

Agora basta reiniciar o apache para que as alterações entrem em vigor:

apachectl stop && apachectl start

Isto são apenas pequenas medidas que ajudam na segurança, ainda existe muito mais que pode ser feito, mas será assunto para os próximos artigos.

---

Rafael M. Capovilla - 1c3_m4n - iceman NOSPAM underlinux com br