Si tenemos cuenta en Red Hat con suscripción activa podemos descargar el conector nativo (módulo para Apache) desde su web. Si no tenemos cuenta, también podemos hacernos con el módulo descargando los binarios. Actualmente las dos versiones de la rama estable disponibles en la web de Jboss son: Versión 1.2.6, compatible con Apache 2.2 y… Read More: Instalación de mod_cluster en Apache »
Casi siempre suelo configurar Apache o Nginx como proxys para otros servicios que ejecuto de forma local. Principalmente por dos razones: Cuantas menos aplicaciones tengamos escuchando en una IP accesible desde el exterior mejor, ya que reducimos la superficie de ataques y vulnerabilidades. Permite centrar la configuración de seguridad en un único punto, llamémosle Apache/Nginx… Read More: Apache como proxy para Grafana »
Existen diversas casuísticas en la exclusión de reglas de mod_security. Un procedimiento habitual suele ser limitar el ámbito de exclusión a un determinado contexto en el que por diversas razones estamos obteniendo falsos positivos de una serie de reglas problemáticas, ejemplo: Suponemos que dicha directiva excluiría las reglas 920320, 942200, 942330, 942430 y 980130 para… Read More: Cómo excluir reglas de fase 1 en mod_security »
Ya que estamos en racha con mod_security, encontré recientemente un parseador de logs muy sencillo de utilizar que merece una entradilla. Es simple pero cumple su cometido. Dicho script forma parte de la suite de repositorios del grupo SpiderLabs y está escrito en Python 2.7.
Hacer compatibles las reglas de OWASP para los principales CMS nunca fue tarea fácil. La cantidad de falsos positivos era considerable, por lo que mod_security muchas veces bloqueaba tareas de lo más habituales: publicar un post, subir una imagen, editar un tema, etc… Hasta ahora uno de los métodos más utilizados -y tediosos- era configurar… Read More: Excluyendo falsos positivos para WordPress/Drupal en OWASP Core Rule Set… »
Si utilizamos VirtualHosts basados en nombre en nuestro frontal web -cosa que suele estar a la orden del día, en primer lugar para ahorrar IPs- debemos tener en cuenta ciertas consideraciones si comprobamos nuestros certificados con OpenSSL. En una arquitectura como la mencionada, un servidor web Apache o Nginx puede alojar múltiples sitios web (dominios)… Read More: VirtualHosts basados en nombre y comprobación de certificados con OpenSSL »