Instalar Apache (HTTPD) en RHEL 8 y CentOS 8

RHEL 8 sigue ofreciendo Apache HTTP Server («httpd») como servidor web instalable a través de sus repositorios oficiales. La versión base utilizada en los paquetes precompilados para la versión 8 de este sistema operativo es la 2.4.37. Desgraciadamente, la versión de Apache httpd 2.5 todavía no está incluída en soporte de Red Hat ni ninguno Seguir leyendo


sslcertificatechainfile es una directiva obsoleta de Apache

Una entrada rápida y meramente informativa. Personalmente no tenía constancia de que la directiva sslcertificatechainfile estuviera obsoleta en Apache Web Server desde la versión 2.4.8. Esto significa que la forma correcta de establecer la cadena de confianza de un certificado en la configuración de Apache ya no es con esta directiva. sslcertificatechainfile era una directiva Seguir leyendo


HTTPoxy: vulnerabilidad PHP y CGI (HTTP_PROXY)

Tenemos recién salida del horno una nueva vulnerabilidad (HTTPoxy) con caracter crítico que afecta a servidores web que sirven PHP y CGI principalmente, aunque afecta también a otros lenguajes de scripting. El origen del problema es la variable HTTP_PROXY. El ataque consiste en enviar una petición HTTP que contenga en las cabeceras la información de Seguir leyendo


ModSecurity: No action id present within the rule

Antiguamente, ModSecurity permitía establecer políticas de whitelist de forma muy sencilla con la directiva REMOTE_ADDR: SecRule REMOTE_ADDR «^127.0.0.1$» nolog,allow En las versiones actuales de ModSecurity, si establecemos esta regla y ejecutamos un configtest de Apache (o reiniciamos el servicio si somos valientes…) recibiremos el siguiente error de configuración: Syntax error on line 30 of /etc/httpd/conf.d/mod_security.conf: Seguir leyendo


Consola web centralizada para eventos de ModSecurity

Normalmente, la gestión de eventos se realiza revisando directamente los eventos que se registran en el propio log de ModSecurity. Cuando tenemos un único servidor web normalmente es suficiente pero cuando el número comienza a crecer la gestión centralizada es sin duda la mejor opción. En este punto es cuando comencé a buscar una consola Seguir leyendo