domingo, 31 de mayo de 2015

Información de Apache: mod_info

Una vez mod_info se carga en el servidor, nos da información de la configuración del servidor web apache, nos informa de los módulos y los archivos de configuración, incluidos los archivos por directorio (por ejemplo , .htaccess). Esto puede ser un problema serio de seguridad de nuestro servidor. 

En particular, este módulo puede filtrar información confidencial de las directivas de configuración de otros módulos de Apache como rutas del sistema, nombres de usuario/contraseñas, nombres de bases de datos, etc. Por lo tanto, este módulo sólo debe ser utilizado en un ambiente controlado, restringido y siempre con precaución.

Usted probablemente tendrá que usar mod_authz_host para limitar el acceso a su información de configuración del servidor.


mod_info proporciona su información mediante la lectura de la configuración analizada, en lugar de leer el archivo de configuración original. Hay algunas limitaciones, como resultado de la forma en que se crea el árbol de configuración:

  1. Directivas que se ejecutan de inmediato en lugar de almacenarse en la configuración:. Estos incluyen ServerRoot , LoadModule y LoadFile .
  2. Las directrices que controlan el archivo de configuración en sí, como Incluir , y > no están en la lista, pero son las directivas de configuración que se incluyen.
  3. Los comentarios no se enumeran. (Esto puede ser considerada como una función).
  4. Las directivas de archivos de configuración .htaccess  no están listados (ya que no forman parte de la configuración del servidor permanente).
  5. Directivas de contenedores como se enumeran normalmente, pero mod_info no pueden averiguar el número de línea para el cierre </ Directory> .
  6. Directivas generadas por los módulos de terceros, como mod_perl no pueden enumerarse.


Activar mod_info

Por defecto el modulo mod_info ya viene instalado, pero no viene habilitado en el servidor web apache.
Para habilitarlo seguimos los siguientes pasos:
Para ello vamos a webmin: Servidor > Servidor Web Apache > Global Configuration


Hacemos clic en Configure Apache Modules


Buscamos el módulo info, lo seleccionamos y luego pulsamos en Enable Selected Modules





Al pulsar en Enable Selected Modules, nos lleva a la pantalla anterior, en la cual hacemos clic en el icono Editar Archivos de Configuración


Observamos que el archivo que estamos modificando es: /etc/apache2/apache2.conf y le añadimos al final del fichero las siguiente lineas (cambiando 192.168.1.2 por la ip de nuestro estación de trabajo):





Una vez introducidas las nuevas lineas de código, pulsamos en Salvar



Por ultimo pulsamos en Aplicar Cambios





htttp://ip_del_servidor/server-info

Este es el resultado que me devuelve mi servidor virtual.

 





NOTA DE SEGURIDAD: 
- Es importante no mantener activado mod_info sin protegerlo previamente o especificar una página que únicamente conozca el administrador del servidor, ya que si se especifican los valores por defectos, puede ser que la configuración del servidor web apache este disponible para cualquier persona.
 

- Se aconseja: una vez se haya revisado la información que necesitemos, deshabilitar mod_info eliminando el código que hemos añadido en el archivo de configuración /etc/apache2/apache2.conf y reiniciando el servidor web apache.








No hay comentarios: