El servidor web Apache que se ejecuta en su VPS Ubuntu 18.04 puede mostrar una página web o listar un índice de archivo cuando un usuario solicita un directorio. Algunos ataques web se basan en filtraciones de información. Si los piratas informáticos pueden ver una lista de los archivos en los que se está ejecutando su aplicación web, se aceleraría su proceso de investigación.

Por lo tanto, la lista de directorios o la navegación deben deshabilitarse una vez que haya terminado de instalar su servidor web Apache en Ubuntu 18.04. Apache es la piedra angular de su sitio web y aplicaciones web. Cuando se trata de una seguridad estándar, es necesario ajustarla para protegerla contra ataques maliciosos.

En esta guía, le mostraremos cómo deshabilitar la exploración de directorios en su servidor Apache que se ejecuta en una computadora Ubuntu 18.04 VPS.

requisitos

  • Un servidor VPS con el sistema operativo Ubuntu 18.04
  • Un usuario no root con privilegios sudo
  • Servidor web Apache

Nota especial: las revisiones de alojamiento de Hosting mas Baratole permiten consultar con miles de usuarios antes de comprar un plan de alojamiento. Si está buscando comprar un plan VPS de Ubuntu, consulte las revisiones de alojamiento de VPS o las revisiones de alojamiento de Linux.

Paso 1: verifique el comportamiento predeterminado de la lista de directorios

Cuando instale Apache por primera vez, verá la página web predeterminada como se muestra a continuación:

Debido a que queremos verificar el comportamiento predeterminado de la lista de directorios, creemos un directorio en el directorio raíz del sitio web. El host virtual predeterminado está en el directorio / var / www / html.

Entonces vamos a crear un directorio con el siguiente comando:

$ sudo mkdir /var/www/html/config

A continuación, crearemos dos archivos usando un editor nano como se muestra a continuación:

$ sudo nano  /var/www/html/config/dbinfo.txt

Luego ingrese el siguiente texto:

dbname = ‘prueba’

Creamos el siguiente archivo con el siguiente comando:

$ sudo nano  /var/www/html/config/config.txt

Luego ingrese el siguiente texto:

dbpassword = ‘123456’

Recuerda empujar CTRL + X y para guardar los archivos.

A continuación, solicitaremos el directorio en un navegador utilizando la dirección IP pública de nuestro servidor Ubuntu 18.04.

Suponiendo que su dirección IP es 111.111.111.111, escriba lo siguiente en su navegador:

http://111.111.111.111/config

producción

Como puede ver arriba, la información que mostramos a los visitantes de nuestra web es bastante peligrosa. Un pirata informático malintencionado solo tendría que hacer clic en uno de estos archivos para obtener la información. Incluso si escribiera el archivo en un lenguaje de secuencias de comandos del lado del servidor como PHP, proporcionaría a cualquier atacante información valiosa antes de dar el siguiente paso para obtener el contenido del archivo.

Paso 2: deshabilite la exploración del directorio Apache en el servidor Ubuntu 18.04

Vamos a editar el archivo de configuración principal de Apache. Primero, haga una copia de seguridad del archivo escribiendo el siguiente comando:

$ sudo cp  /etc/apache2/apache2.conf /etc/apache2/apache2.conf.bk

Luego edite el archivo de configuración principal de Apache usando el editor de texto Nano con el siguiente comando:

$ sudo nano /etc/apache2/apache2.conf

A continuación, busque el siguiente texto en el archivo:

<Directory /var/www/>
 	Options Indexes FollowSymLinks
 	AllowOverride None
 	Require all granted
</Directory>

Tenemos que cambiar eso Opciones Directiva de Índices de opciones FollowSymLinks a Opciones -Indices + FollowSymLinks

<Directory /var/www/>
 	Options -Indexes +FollowSymLinks
 	AllowOverride None
 	Require all granted
</Directory>

Tenga en cuenta que agregar un signo “-” desactiva una opción, mientras que agregar un signo “+” habilita la opción.

Cuando termines, presiona CTRL + X y para guardar los cambios.

Paso 3: reinicia Apache

Finalmente, reiniciemos Apache para que los cambios surtan efecto ingresando el siguiente comando:

$ sudo service apache2 restart

Paso 4: Confirma los cambios

Cuando intentas visitar la dirección http://111.111.111.111/config Ahora recibirá un mensaje de error prohibido en su navegador: “No está autorizado para acceder a / config / en este servidor.

Conclusión

Estos son los pasos básicos para desactivar la exploración de directorios en un servidor web Apache que se ejecuta en Ubuntu 18.04 VPS. Este no es un método exhaustivo para proteger su servidor web. Sin embargo, hará que su servidor web Apache sea más seguro al ocultar información relevante en los directorios de configuración de su sitio web que los atacantes podrían usar para comprometer su servidor.

Consulte los 3 mejores servicios de alojamiento de servidores dedicados: