HTMLpointHTMLpoint HTMLpoint.com


 5 cosas que hay que someter a control



  • Desactivar los SSI (Server Side Includes) cada vez que éstos no sean estrictamente necesarios. Utilícese el directorio "Options" en todos los directorio o en todos los archivos .htaccess para activarlos donde sea necesario. Además, se tendría que desactivar la función "exec", potencialmente perjudicial si la utilizamos con segundos fines.

  • Utilícese el directorio "AllowOverride None" siempre que sea posible. Este directorio sirve para lo siguiente: si el servidor de red encuentra, por ejemplo, un archivo ".htaccess" o un archivo cuyo nombre aparece en el directorio "AccessFileName", tiene que saber qué valores de este archivo pueden evitar los de defecto del servidor. Por lo tanto, potencialmente, un archivo ".htaccess" podría obligar al servidor de red a portarse de forma totalmente diferente a la que se establece en su archivo de configuración. Obviamente, con el directorio "AllowOverride None" no se corren estos riesgos. A la base de todo esto, sin embargo, hay un archivo de configuración principal de Apache bien planificado y bien preparado.

  • Proteged los directorios home de los usuarios, sobre todo si hacéis el hosting remoto. esto se puede conseguir con la instrucción "<Directory> </Directory>", que especifica el tipo de instrucción que hay que aplicar a un determinado directorio y a sus subdirectorios. Por ejemplo, si todos vuestros usuarios tienen sus home en /usr/home, lo mínimo que podéis escribir es:

    <Directory /usr/home>
    AllowOverride None
    Options Indexes
    SymLinksIfOwnerMatch
    </Directory>


    Por supuesto podréis especificar otras opciones que penséis que pueden ser útiles para cada uno de vuestros usuarios por separado o, porque no, para todos.

  • No abuséis de la instrucción "AddHandler". Aunque ésta puede ser útil para no perder el tiempo cuando configuramos, haciendo copias de los archivos en algunos directorio, etc. puede ser peligrosa porque cualquier extensión que pase a la instrucción puede convertirse en un script que se pone en marcha en el servidor con efectos que no se pueden prever. Sería mejor utilizar una cgi-bin de sistema y, si queréis, en un directorio cgi-bin para cada usuario (siempre hay que controlarlo) sin especificar, por ejemplo, que cualquier archivo con extensión .pl o .cgi lo lleve a cabo el servidor.
    Sin duda es mejor perder unos minutos para trasladar los script al directorio cgi-bin que dejar que cualquier archivo se ponga en marcha sin tener en cuenta ninguna posición (por supuesto, "web-visible").

  • Cuidado con la asignación de los permisos. Por lo general, un usuario, sobre todo en hosting, nunca debería tener la posibilidad de salir de su directorio home, tanto durante la lectura como durante la escritura. En primer lugar, para que no vaya a leer o modificar los trabajos de otros usuarios y, en segundo lugar, para que no se dé un paseo por el sistema, a lo mejor encontrando algún ejecutable que lanzar o datos reservados que leer. Lo mejor sería crear un grupo (podría ser "users" o "remote_users" o lo que queráis) en el que cada nuevo usuario pueda instroducirse, de forma que se pueda ver, ya en el momento de la creación, limitado en las acciones que pueda hacer en el sistema que le hospeda.

  Volver al inicio de la página