Laboratorio: Proteger ruta virtual mediante Apache

ByLuis

En otras ocasiones hemos comentado como proteger directorios mediante Apache, incluyendo en el .htaccess los comandos necesarios para ello. El problema viene cuando en vez de proteger una ruta física, queremos proteger un URL virtual, entendiendo URL virtual, aquella que no existe físicamente y que mediante Apache redireccionamos a un script en concreto, por ejemplo:

RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-f
RewriteBase /
RewriteRule ^clientes index.php?redirect=clientes [QSA,L]

En este caso, si accedemos a http://servidor/cliente, realmente no estaremos accediendo a una ruta física, pero puede ser que queramos que esta url no sea accesible para todo el mundo.

Para proteger una URL virtual debemos usar el comando Location, el cual debemos incluirlo en el httpd.conf o en un dominio virtual, y para protegerlo deberemos usar:

<Location /client>
AuthType Basic
AuthName "Acceso Protegido"
AuthUserFile [ruta .htpasswd]
AuthGroupFile /dev/null
order allow,deny
allow from all
deny from none
require valid-user
</Location>

Similar Posts

| |

Server2Go: servidor WAMP portable

ByLuis

server2go.pngServer2Go es un servidor web completo y portable, el cual podremos tener instalado en CDROMs o unidades USB.

Dentro de las características que ofrece nos encontramos con:

  • Gratuito
  • Servidor WAMPP (Windows, Apache, MySQL, PHP y Perl)
  • No necesita instalación
  • PHP 5 con muchas extensiones instaladas.
  • SQLite
  • MySQL 5
  • Perl 5.8

La licencia es donationware, lo que quiere decir que si se dona una cantidad de dinero (10€) se podrá acceder a características ampliadas.

Server2Go

Vía / OpenSourceCommunity.org

| |

Personalizar la página de error 404

ByLuis

Seguimos con el error 404. Si días atrás hablábamos de cómo personalizarlo desde WordPress, hoy hablaremos de cómo configurarlo de manera general desde el servidor.

Recordemos el 404. Cuando se intenta acceder a una página que no existe, el servidor devuelve un mensaje de error 404. Normalmente los navegadores tienen su propia página que muestra ese error (Firefox incluyó la suya a partir de la version 1.5). Personalizar nuestra propia página de error nos puede dar una mayor funcionalidad y no perder la estética de nuestro sitio.

Read More “Personalizar la página de error 404”

| | |

Ponle copyright a tus imágenes mediante PHP

ByLuis

copyright.png Muchas veces queremos que las personas se descarguen las imágenes que tenemos en nuestras páginas web, pero también queremos que quede bien claro quién es el autor. Para ello podemos editar todas las imágenes que tengamos, o bien que el propio entorno se encargue de poner el copyright por nosotros.

El método es sencillo, modificamos las opciones del Apache para que cuando se acceda a una imagen, lo redireccionemos a un script que se encargará de escribir el texto que queramos.

Read More “Ponle copyright a tus imágenes mediante PHP”

20 cosas para volver segura tu configuración de Apache

ByLuis

Os presento una lista que he encontrado de 20 cosas que se pueden hacer para volver más segura tu configuración de Apache:

  • Antes de nada, asegurate de que tienes instalados todos los parches de seguridad.
  • Oculta la versión de Apache y otra información sensible.
  • Asegúrate de que Apache se ejecuta con su usuario propio y su grupo de usuarios.
  • Los ficheros fuera del web root no deben ser accesibles.
  • Desactiva el listado de directorios.
  • Desactiva los server side includes.
  • Desactiva la ejecución de CGIs.
  • No permitir que Apache siga los symbolic links.
  • No permitas opciones de una única vez.
  • Desactiva el soporte a .htaccess.
  • Usa mod_security.
  • Desactiva módulos innecesarios.
  • Asegurate que solo el root tiene acceso al fichero de configuración de Apache y a los binarios.
  • Disminuye el valor del timeout.
  • Limita el tamaño de las requests.
  • Limita el tamaño del cuerpo de un XML.
  • Limita la concurrencia.
  • Restringe el acceso mediante IP.
  • Ajusta las opciones de KeepAlive.
  • Ejecuta Apache en un entorno Chroot.

20 ways to Secure your Apache Configuration

Manual y ejemplos de mod_security

ByLuis

mod_security es un módulo de Apache que nos permitirá añadir seguridad a nuestro servidor web, detectando y previendo ataques. Para los que necesitemos usarlo, nos vendrá muy bien esta serie de tutoriales:

  • mod_security + mod_rewrite
  • Evitar spam en los campos POST de los formularios
  • Activar mod_security en DreamHost
  • Descativar mod_security para una determinada IP
  • Descativar mod_security con autorización en htaccess
  • Ejemplo de configuración para DreamHost
  • Bloquear spam
  • Forzar espera de ms en conexiones
  • Permitir ciertos REQUEST_METHODS
  • y más

mod_security Guide and Examples of use in .htaccess

mod_qos: prioridades para peticiones en Apache

ByLuis

QoS (calidad del servicio) se trata mecanismos de control para proveer diferentes prioridades a diferentes usuarios, aplicaciones y conexiones, realmente es más gestión de recursos que calidad del servicio. Cuando queremos limitar el uso de Apache y dar prioridades a diferentes peticiones podemos usar mod_qos.

Ofrece mecanismos para gestionar:

  • Número máximo de peticiones concurrentes a una URL o a un dominio virtual.
  • Limitación del ancho de banda, ya sea por número de peticiones por segundo o kilobytes por segundo.
  • Posibilidad de detectar usuarios especiales que no sufriran las restricciones o lo harán en menor grado.
  • Denegar operaciones no autorizadas
  • Limitaciones en el nivel TCP, por ejemplo el número máximo de conexiones permitidas desde una IP.

mod_qos

Vía / Apache-es