La última vulnerabilidad que ha aparecido en SSL es POODLE un acrónimo para Padding Oracle On Downgraded Legacy Encryption (CVE-2014-3556) que fue nombrada por los investigadores de google que la descubrieron Bodo Möller, Thai Duong, y Krzysztof Kotowicz.

POODLE es una falla en como los navegadores manejan el cifrado, el atacante negocia el cifrado hasta llegar a SSL 3.0, un protocolo viejo y que ha sido abandonado hace mucho pero que aún es soportado, al conseguir esto permite al atacante decifrar información, incluyendo las cookies secretas de sesión, lo que permite hacerse pasar por el usuario.

Esto solo afecta a sitios que usan conexiones seguras con certificados SSL, para verificar si tu sitio es vulnerable puedes ir a este sitio y correr el test:

http://poodlebleed.com/

Para corregir esto en Apache necesitas hacer los siguientes pasos:

1. Actualizar openssl a su última versión

2. Colocar esto en el archivo de configuración de apache para deshabilitar SSL v2 y v3:

SSLProtocol all -SSLv2  -SSLv3

3. Reiniciar tu servidor apache.

Eso es todo después de estos pasos vuelve a correr el test para asegurarte que tu sitio no es vulnerable.

Actualización:

Si además de evitar la vulnerabilidad quieres hacer SSL más seguro en Apache agrega estás otras líneas a tu configuración de Apache:

SSLCipherSuite AES256+EECDH:AES256+EDH
SSLCompression off
SSLHonorCipherOrder On
SSLUseStapling on
SSLStaplingCache "shmcb:/var/run/ocsp(1500000)"
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff

Casi todas requieren Apache >= 2.4 y el módulo de headers activado.

Aquí nos aseguramos de utilizar cifradores seguros, activamos StaplingCache (puedes aparender más aquí) y además nos aseguramos que el navegador siempre utilice HTTPS no importa qué.

Y esta es una gran herramienta para verificar la seguridad y configuración de nuestro SSL:

https://www.ssllabs.com/ssltest/index.html

Espero que les sirva.

El directorio por defecto de apache2 en Ubuntu es /var/www. Aquí es donde normalmente guardamos los archivos de nuestros sitios.

Si queremos cambiar este directorio por otro podemos utilizar los siguientes pasos, estos son realizados en Ubuntu pero deberían servir para cualquier otra distribución.

Crear un nuevo sitio

Primero creamos una copia del sitio por defecto ejecutando en el terminal:

sudo cp /etc/apache2/sites-available/default /etc/apache2/sites-available/misitio

Donde misitio es el nombre del nuevo sitio que queremos crear puede ser cualquiera que tu quieras.

Luego editamos este archivo como administrador en nuestro editor favorito puede ser nano, vim o gedit:

gksudo gedit /etc/apache2/sites-available/misitio

Dentro del archivo modificamos las siguientes lineas:

DocumentRoot /var/www por /home/vensign/misitio

Y

<Directory /var/www/> por <Directory /home/vensign/misitio/>

En este caso cambiamos el directorio por uno dentro de /home/vensign/misitio que es el directorio de nuestro usuario y que debe estar creado (mkdir /home/vensign/misitio en este caso).

[alert_yellow textalign=”left”] Recuerda cambiar /home/vensign/misitio al directorio que vas a utilizar[/alert_yellow]

También puedes definir logs separados para cada sitio. Para hacer esto cambia las líneas de ErrorLog y CustomLog. Esta opción es opcional, pero es últil si tienes multiples sitios.

Guardamos el archivo y ya tenemos la primera parte.

Activar el nuevo sitio

Ahora debemos deshabilitar el sitio por defecto y habilitar el nuevo sitio. Esto lo hacemos con los comandos a2dissite y a2ensite de Apache, ejecutando en terminal

sudo a2dissite default && sudo a2ensite misitio

Recuerden cambiar misitio por el nombre que colocaste en /etc/apache2/sites-available/ en el paso 1

Reiniciar Apache

Por último debemos reiniciar Apache para que los cambios tengan efecto:

sudo service apache2 reload

Eso es todo ya deberíamos poder navegar a localhost en el caso de ser un sitio local o a la IP o dirección de nuestro servidor y ver los contenidos del directorio que hemos colocado.

Cualquier duda o problema por favor dejen sus comentarios.

En este tutorial vamos a ver como configurar un Host Virtual en Apache2 basado en Nombre e popular servidor web de software libre y código abierto.

Hay varios tipos de Virtual Host el más popular es el basado en Nombre y es el que aprenderemos a configurar a continuación

Que es un Host Virtual (ó Virtual Host) basado en Nombre

No es más que hospedar múltiples dominios del estilo (www.ejemplo.com, www.otrodominio.com, etc) bajo una misma dirección IP. Este tipo de configuración es muy común en los Hosting compartidos, donde múltiples clientes comparten un mismo servidor.

Para este tutorial debes tener un servidor Apache funcionando, puedes revisar los siguiente tutoriales donde explico como instalar un servidor LAMP el cual incluye el servidor Apache.

Como instalar un Servidor LAMP en Ubuntu Paso a Paso

Como instalar un Servidor LAMP en Fedora 12 paso a paso

Host Virtuales en Apache

Aquí va un poco de teoría para explicar como funciona si quieres puedes ir de una vez a la Configuración.

Apache 2 tiene varios directorios de configuración, los que nos interesan en este momento son dos el /etc/apache2/sites-available/ y el /etc/apache2/sites-enable, el primero tiene los archivos de configuración de los sitios disponibles y el segundo son links simbólicos de los sitios activos, por defecto al instalar Apache se crea un archivo llamado default que contiene la configuración básica de acceso de Apache y es un archivo que no se debe borrar.

Configurar Host Virtual Basado en Nombre

Sólo tenemos que seguir los siguientes pasos:

Vamos a suponer que queremos crear un Host Virtual llamado www.ejemplo.com y que la dirección IP pública de nuestro servidor es 10.0.0.5.

1. Creamos un archivo en /etc/apache2/sites-available llamado ejemplo.com

En Ubuntu :

sudo nano /etc/apache2/sites-available/ejemplo.com

En Fedora como root:

su -
nano /etc/apache2/sites-available/ejemplo.com

Aquí estoy usando el editor de texto nano pueden usar el de su preferencia (vim, emacs, gedit, kate, etc).

2. Dentro del archivo ejemplo.com que acabamos de crear escribimos lo siguiente:

<Virtual Host 10.0.0.5:80>
 ServerName www.ejemplo.com
 ServerAlias ejemplo.com *ejemplo.com
 DocumentRoot /var/www/ejemplo
</Virtual Host>

Vamos a ver línea por línea:

  • Empezamos con <Virtual Host 10.0.0.5:80> Aquí estamos indicando la directiva VirtualHost para decir que es un Servidor Virtual indicamos la dirección IP donde va a responder y el puerto (80 es el puerto por defecto donde escucha Apache). Si queremos que escuche en todas las direcciones IP quitamos la dirección y colocamos un asterisco quedaría *:80.
  • ServerName es el nombre del servidor en nuestro caso es www.ejemplo.com
  • ServerAlias son otras formas que el usuario puede escribir el nombre, sin el www y el *.ejemplo indica que puede tener subdominios como foro.ejemplo.com, y todos irán a la misma página.
  • DocumentRoot es donde están guardados los archivos de nuestra página. En este caso en /var/www/ejemplo pero puede ser cualquier carpeta donde tengan los archivos (cuidado con la seguridad y los permisos de la carpeta.

3. Guarda el archivo y ejecuta en el terminal el siguiente comando como administrador (o con sudo según el caso):

a2ensite ejemplo.com

Este comando crea un link simbólico en la carpeta /etc/apache2/sites-enabled, para activar nuestro sitio.

4. Reinicia el Apache:

Ubuntu:

sudo service apache2 restart

Fedora:

su -
service httpd restart

Y prueba en tu navegador que funciona correctamente escribiendo la dirección www.ejemplo.com (o la que hayas configurado) te debería aparecer la pagina que elegiste. Si estás utilizando un servidor interno de pruebas sin dirección IP pública recuerda colocar en el archivo /etc/resolv.conf de la PC desde donde vayas accesar la dirección y nombre del dominio algo como:

10.0.0.5     www.ejemplo.com

Para que no haga la petición al DNS y sepa a que dirección debe apuntar.

Eliminar un Host Virtual en Apache

Si queremos deshabilitar el sitio ejecutamos como root o utilizando sudo:

a2dissite ejemplo.com

Esto elimina el link simbólico a /etc/apache2/sites-enabled/, y deja de funcionar el Host Virtual.

Eso es todo por ahora en la serie de artículos de Apache, como siempre cualquier duda, pregunta o sugerencia puedes dejar tu comentario.

Autor: Olivers De Abreu es el director y fundador de Vensign

Si necesitas capacitación a tu medida, soporte o instalar cualquier tipo de Servidor ponte en contacto con nosotros en Vensign y con gusto te haremos una propuesta sin ningún compromiso.

Pueden seguirnos a través de nuestro Feed RSS o a través de Twitter @odeabreu

Nivel : Básico – Intermedio

Ya ha pasado un tiempo desde que escribí el tutorial de Instalar un servidor LAMP en Fedora Core 6 , Core 7 y Core 8, es un artículo con muchas visitas y con más de 100 comentarios y preguntas, he decidido a que ya es hora de actualizarlo a la versión 12 de Fedora que es la más reciente al momento, además aprovechar y agregar mucho de los tips y preguntas incluidas en los comentarios así como también las cosas que han cambiado y algunos tópicos más avanzados. Así que empecemos…

En este tutorial vamos a ver como instalar y configurar un servidor LAMP para Fedora 12.

Un servidor LAMP se refiere a un conjunto de aplicaciones que por sus siglas es Linux+Apache+MySQL+PHP y en este caso vamos a instalar y configurar un servidor con los siguientes componentes:

Apache 2 – Servidor Web muy versatil y uno de los más utilizados en el mundo

MySQL 5 – Uno de los servidores de base de datos más populares y utilizados en sitios y aplicaciones web

PHP 5 – Es un lenguaje interpretado utilizado para construir aplicaciones y páginas web

Y veremos algunas utilidades como phpmyadmin que nos permitirán administrar mejor nuestro servidor.

Concepto: Un servidor no es más que un PC que presta algún servicio (como mostrar páginas web).

Pasos previos:

  • Obtener e Instalar Fedora: lo pueden obtener desde la página Oficial del proyecto Fedora.
  • El servidor debe tener al menos 256 MB de memoria RAM, si no saben cuanta memoria tiene su PC simplemente ejecuten free -m en el terminal si donde dice total es mayor a 256 están bien. Yo personalmente recomiendo tener al menos 512 MB de memoria RAM
  • También pueden probar instalando el servidor en una máquina virtual ya sea con virtualbox, vmware, kvm o el manejador de máquinas virtuales de su preferencia.
  • Si van a hacer la administración del servidor LAMP de manera remota les aconsejo instalar openssh-server (yum install openssh-server esto lo deben ejecutar como root).

Les aconsejo también seguir el tutorial paso a paso, he tratado de hacer los pasos lo más concretos y cortos posibles, para que así no se pierdan de nada y tampoco les aburra el tutorial.

Bueno ya tenemos todo listo para empezar así que abran un Terminal y pongámonos a trabajar.

A partir de ahora todos los comandos deben ser ejecutados como root (administrador)

1. Actualizar el Sistema

Es siempre aconsejable realizar la actualización de nuestro sistema antes de llevar a cabo cualquier instalación simplemente ejecuten lo siguiente en el terminal

yum -y update

Con este comando se actualiza nuestra lista de repositorios y los paquetes que tengamos instalados si hay alguna actualización disponible.

2. Instalar Apache y PHP en un sólo comando

Fedora nos da la opción de instalar paquetes en “grupos” algo parecido al tasksel de Debian y Ubuntu.

Para instalar el servidor Apache y PHP 5 vamos a utilizar el grupo “Servidor Web” para ver los paquetes que contiene este grupo ejecutamos el comando:

yum groupinfo "Servidor Web"

Nota: Si tu servidor está en otro idioma que no sea Español puedes reemplazar “Servidor Web” por “Web Server” que funciona para cualquier idioma

Esto nos dá la siguiente lista:

Paquetes obligatorios:
 httpd
 Paquetes predeterminados:
 crypto-utils
 distcache
 httpd-manual
 mod_perl
 mod_python
 mod_ssl
 php
 php-ldap
 php-mysql
 squid
 webalizer
 Paquetes opcionales:
 ...

Para instalar el grupo ejecutamos:

yum -y groupinstall "Servidor Web"

Al finalizar la instalación ya deberíamos tener instalado el servidor Apache y PHP5

Si quieres comprobar que versión de Apache se ha instalado debes ejecutar el siguiente comando:

httpd -v

Te aparecerá algo como:

Server version: Apache/2.2.14 (Unix)
Server built:   Dec  3 2009 10:25:53

Para finalizar la configuración de Apache debemos configurarlo para que inicie siempre que reiniciemos nuestro servidor para esto ejecutamos en el terminal:

chkconfig --level 345 httpd on

Ahora iniciamos Apache con:

service httpd start

Si todo está bien debería aparecer un [OK]

Los comandos para manejar el servidor Apache son los siguientes, pueden utilizar cualquiera de las dos versiones del comando la versión larga o la corta, todos estos comandos deben ejecutarse como root:

Función Comando Comando Corto
Iniciar Apache /etc/init.d/httpd start service httpd start
Detener Apache /etc/init.d/httpd stop service httpd stop
Reiniciar Apache /etc/init.d/httpd restart service httpd restart
Estatus Apache /etc/init.d/httpd status service httpd status

El archivo de configuración por defecto de Apache se encuentra en el directorio /etc/httpd/ y el directorio por defecto de los archivos donde se guardarán las páginas web es en /var/www/html

Para probar que Apache está funcionando bien basta con ir a la dirección en tu navegador (Firefox, Konqueror o el que prefieran) http://localhost desde el mismo servidor o http://ipservidor desde otra PC y les debe aparecer algo como lo siguiente:

Fedora Pagina por defecto de Apache

Para comprobar la versión de PHP ejecutamos:

php -v

Debería aparecer algo como:

PHP 5.3.1 (cli) (built: Nov 20 2009 12:52:06)
 Copyright (c) 1997-2009 The PHP Group
 Zend Engine v2.3.0, Copyright (c) 1998-2009 Zend Technologies

Para comprobar que PHP  está funcionando correctamente, vamos a crear el siguiente archivo llamado prueba.php como root con tu editor favorito puedes utilizar nano, vim, gedit, etc.:

vim /var/www/html/prueba.php

Nota: Aquí estoy utilizando vim para editar utilicen el editor de su preferencia.

Dentro del archivo copiamos lo siguiente:

<?php phpinfo(); ?>

Guardamos al archivo y vamos al navegador y colocamos la dirección http://localhost/prueba.php si estamos en el mismo servidor o http://ipdelservidor/prueba.php. Deberia desplegar una lista con toda la información de PHP, los módulos y librerias instalados.

Pagina de prueba.php phpinfo()

Si te aparece una pantalla parecida a la anterior es que PHP está correctamente instalado y funcionando con Apache. Si te aparece algo como que quiere guardar el archivo prueba.php intenta reiniciar el servidor Apache con service httpd restart.

El archivo de configuración de PHP se encuentra en /etc/php.ini

3. Instalar MySQL

MySQL es una de las base de datos open source más popular y utilizadas en innumerables páginas web y aplicaciones tanto gratuitas como comerciales. Es una base de datos bastante robusta y flexible, fácil de configurar y lo bastante rápida para la mayoría de las aplicaciones comunes.

Al igual que para Apache existe un Grupo de paquetes de instalación para MySQL llamado “Base de datos MySQL” para ver los contenidos de este grupo de paquetes puedes ejecutar:

yum groupinfo "Base de datos MySQL"

Para instalar el servidor de MySQL debemos ejecutar el siguiente comando:

yum -y groupinstall "Base de datos MySQL"

Nota: Si tu servidor está en otro idioma que no sea Español puedes reemplazar “Base de datos MySQL” por “MySQL Database” que funciona para cualquier idioma

Esto instalará todos los paquetes y librerias necesarios para que funcione el servidor MySQL

Ahora debemos hacer que el servidor MySQL se inicie cada vez que se arranque o se reinicie el sistema para esto ejecutamos:

chkconfig --level 345 mysqld on

Para iniciar MySQL ejecutamos

service mysqld start

Luego debemos configurar el servidor MySQL para configurar la clave de administrador ejecutando:

mysql_secure_installation

Primero nos pregunta por la contraseña de root de MySQL, aquí presionamos enter ya que todavía no hay ninguna contraseña de root configurada para MySQL

Enter current password for root (enter for none): 

Luego nos pregunta si queremos asignarle una contraseña de root para MySQL escribimos Y y presionamos Enter/Intro

Set root password? [Y/n]

Luego nos pide la contraseña, aquí deberán colocar una clave para el administrador de la base de datos (no confundir con root de Fedora), no es recomendable colocar la misma clave del usuario de Fedora, se recomienda también que tenga una longitud mayor a 8 caracteres y que mezclen letras, símbolos y números, no son permitidos los espacios en blanco.

New password:

Cuando diga Re-enter new password: Simplemente volvemos a escribir la contraseña anterior

Luego nos pregunta si eliminamos los usuarios anónimos, a lo cual respondemos que Y por medidas de seguridad

Remove anonymous users? [Y/n]

Ahora pregunta si el usuario administrador solo puede ser utilizado desde el host local, esto es recomendable por razones de seguridad, a menos que tengas algún requerimiento especial respondemos Y

Disallow root login remotely? [Y/n]

Removemos la base de datos test que es de prueba si queremos respondiendo que Y

Remove test database and access to it? [Y/n]

Por último nos pide que reiniciemos los privilegios para que se efectuen los cambios respondemos Y

Reload privilege tables now? [Y/n]

Listo ya nuestra base de datos MySQL está instalada y segura.

Para comprobar el funcionamiento del servidor MySQL ejecuten el siguiente comando:

mysql -u root -p

Deberá pedirles la clave que colocaron en el paso anterior y aparecerles el prompt  mysql> algo parecido a esto:

vensign@lamp-vensign:~$ mysql -u root -p
Enter password:
Welcome to the MySQL monitor.  Commands end with ; or g.
Your MySQL connection id is 11
Server version: 5.1.42 Source distribution

Type 'help;' or 'h' for help. Type 'c' to clear the current input statement.

Vemos que nos muestra la versión del MySQL que acabamos de instalar. Para salir del prompt de mysql y volver al terminal de Linux simplemente escriban exit y presionen Enter o Intro.

Los comandos para administrar MySQL son:

Función Comando Comando Corto
Iniciar MySQL /etc/init.d/mysqld start service mysqld start
Detener MySQL /etc/init.d/mysqld stop service mysqld stop
Reiniciar MySQL /etc/init.d/mysqld restart service mysqld restart
Estatus MySQL /etc/init.d/mysqld status service mysqld status

El archivo de configuración de mysql se encuentra en /etc/my.cnf

Con estos tres pasos ya tenemos instalado un servidor LAMP en Fedora.

Con esto finalizamos el tutorial, ya tenemos un servidor web LAMP totalmente funcional y ya pueden empezar a colocar sus páginas y desarrollar sus proyectos, pronto publicaremos más tutoriales de configuración y seguridad de servidores web así que estén pendientes.

Cualquier duda o sugerencia por favor dejen sus comentarios

Autor: Olivers De Abreu es el director y fundador de Vensign

Si necesitas capacitación a tu medida, soporte o instalar cualquier tipo de Servidor ponte en contacto con nosotros en Vensign y con gusto te haremos una propuesta sin ningún compromiso.

Pueden seguirnos a través de nuestro Feed RSS o a través de Twitter @odeabreu

bajo CC por kenyee

bajo CC por kenyee

Para seguir con las charlas, este miércoles 24 de junio a las 8 pm hora Venezuela (UTC-4:30)  voy a dar una charla en el canal IRC de Ubuntu-ve en Freenode acerca de como instalar y configurar un servidor LAMP (Linux, Apache, MySQL y PHP), junto con algunos trucos y tips. Entre otros puntos abarcará:

Como instalar Apache 2

Como instalar y configurar MySQL y algunos comandos básicos

Como instalar y configurar PHP 5

Como instalar phpmyadmin para manejar MySQL

Y algunos tips, más respuestas a todas sus preguntas.

Los espero allá el canal está en el servidor freenode, si no tienen IRC pueden entrar via web por aquí:

http://java.freenode.net//index.php?channel=ubuntu-ve

Mi nick en el IRC es vensign ;-)

TIP : Si quieren saber la hora en UTC en el terminal pueden ejecutar:

date -u

Y les dará la hora en UTC (GMT)

Agradezco a la gente de Ubuntu-ve por esta oportunidad y espero verlos por allá, cualquier sugerencia de algún punto específico que quieren que toque pueden dejar su comentario aquí.

Saludos

Olivers

Muchas veces necesitamos reiniciar el servidor de Apache para hacer efectivo algún cambio en la configuración, pero tenemos el problema de las conexiones que están siendo atendidas actualmente por nuestro servidor. Para evitar que se cierren estas conexiones mientras reiniciamos el servidor utilizamos el siguiente comando (se debe ejecutar como root o también se puede con sudo en el caso de Ubuntu):

 apache2ctl -k graceful

Esto reinicia el servidor con la nueva configuración sin afectar las conexiones de nuestros usuarios.

Si alguien quiere una explicación más detallada de lo hace puede leerlo en los Docs de la página de Apache en el siguiente link:

http://httpd.apache.org/docs/2.0/stopping.html

Espero que este Tip le sirva de algo

Saludos

Olivers

Actualización: Existe una versión más nueva de este tutorial para Fedora 12 lo pueden encontrar aquí:

Como instalar un Servidor LAMP en Fedora 12 paso a paso

Un servidor LAMP se refiere a la mezcla de Linux+Apache+Mysql+PHP en este caso les voy a mostrar como configurar un servidor con los siguientes componentes:

  • Apache 2 – Servidor Web de Linux
  • MySQL 5 – Servidor de base de datos MySQL
  • PHP4/5 – Lenguaje interpretado PHP
  • phpMyAdmin – Software de administración de base de datos via web

Nota: esta instalación es realizada para Fedora Core 7 (funciona también para Core 6 y Core 8 ) la instalación para Debian y Ubuntu la puedes encontrar aquí.

Continuar

Un servidor LAMP se refiere a la mezcla de Linux+Apache+Mysql+PHP en este caso les voy a mostrar como configurar un servidor con los siguientes componentes:

  • Apache 2 – Servidor Web de Linux
  • MySQL 5 – Servidor de base de datos MySQL
  • PHP4/5 – Lenguaje interpretado PHP
  • phpMyAdmin – Software de administración de base de datos via web

Continuar