Problemas de Segurança ao Apache [RESOLVIDO]

1. Problemas de Segurança ao Apache [RESOLVIDO]

edvaldobarbosa
(usa Ubuntu)

Enviado em 28/04/2015 - 21:33h

Olá Amigos!
Eu estou implantando um Servidor Local com Debian-7.8.0-amd64 porém este servidor estará disponível na internet, vamos a questão:

um cliente me pediu pra instalar um servidor web em sua empresa. Servidor instalado com Apache, Php5, Mysql-Server, Proftpd, Ssh e Openssl como ele vai esta disponível na internet decidi verificar a segurança dele antes de coloca-lo online, passei um scan com Nikto e ele me retornou a seguinte saída:

+ Target IP: xxx.xxx.xxx.xxx
+ Target Hostname: xxx.xxx.xxx.xxx
+ Target Port: 8081
---------------------------------------------------------------------------
+ Server: Apache/2.2.22
+ Server leaks inodes via ETags, header found with file /, inode: 3677458, size: 37084, mtime: 0x514a356a8af31
+ The anti-clickjacking X-Frame-Options header is not present.
+ Retrieved x-powered-by header: PHP/5.4.39-0+deb7u2
+ "robots.txt" contains 1 entry which should be manually viewed.
+ Multiple index files found: index.php, index.html
+ Allowed HTTP Methods: POST, OPTIONS, GET, HEAD
+ OSVDB-12184: /index.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000: PHP reveals potentially sensitive information via certain HTTP requests that contain spe$
+ OSVDB-3092: /apache/: This might be interesting...
+ OSVDB-3092: /demos/: This might be interesting...
+ OSVDB-3268: /download/: Directory indexing found.
+ OSVDB-3092: /download/: This might be interesting...
+ OSVDB-3268: /includes/: Directory indexing found.
+ OSVDB-3092: /includes/: This might be interesting...
+ Cookie SQMSESSID created without the httponly flag
+ OSVDB-3233: /icons/README: Apache default file found.
+ 6544 items checked: 0 error(s) and 15 item(s) reported on remote host

Já procurei diversas soluções na internet porém não consigo eliminar as vulnerabilidades mostradas acima.
Já tentei usar .htaccess para acesso somente usuários permitidos, porém o servidor hospeda 3 sites diferentes somente um site ficará disponível na internet via DDNS.
Gostaria da ajuda de vocês para esta solucionando esta problema de segurança.
Desde de já agradeço a todos.

1 0

Quote

2. MELHOR RESPOSTA

gjuniioor
(usa Arch Linux)

Enviado em 29/04/2015 - 01:38h

Bem, vou responder mais abertamente... Não referente à esses avisos ai em si (sendo que alguns desses não são vulnerabilidades, de certa forma, apenas avisos).

Vou mostrar alguns links que são interessantes para isso:

http://imasters.com.br/artigo/25172/akatus/como-melhorar-a-performance-do-seu-servidor-apache/ - Post bem interessante que aborta não segurança, diretamente, mas desempenho, certamente lhe interessa também.
http://www.pedropereira.net/apache-hardening-seguranca-configurar-linux-windows/3/ - Artigo muito bom sobre segurança feito pelo Pedro Pereira (tido para mim, um dos grandes nomes em TI)
http://www.vivaolinux.com.br/dica/Seguranca-no-Apache - Uma dica rápida sobre algumas particularidades do Apache (não esqueça de ler os comentários!)
http://pt.stackoverflow.com/questions/7171/como-melhorar-consideravelmente-a-seguran%C3%A7a-do-apach... - Um post bem respondido lá no StackOverFlow, vale a pena conferir

Bem, no mais, é isso... Espero ter te dado material de estudos o suficiente :D

"A ignorância não se dá apenas pela falta de conhecimento, mas também pelo desgosto em obtê-lo" - @gjuniioor

5 0

Quote