Administración de Servidores Web: APACHE
MWS apache
MWS apache
Servidor web altamente extendido
Proyecto de código abierto
Creado por Apache Software Foundation
 Versión 2.4
MWS apache
Altamente configurable
 Diseño modular
 Ampliación
 Linux
 Unix
 Windows (desde versión
 Amiga OS 3x
 OS/2
Soporta HTTP 1.1
(solicitudes múltiples)
Soporta HTTP 2.0
(mod_http2 para
Soporta CGI y Fast
Soporta Host Virtuales
Autenticación HTTP
Perl Integrado
Soporta PHP
Con Tomcat ->
servlets y JSP
Puede actuar como
servidor proxy
SSI (Server Side
MWS apache
Posibilidad de configurar la distribución de los
procesos (versión 2 de apache)
Establecen la manera de atender las
peticiones de los clientes
Optimizan el servidor en función del uso que
se le quiera dar
 Prefork (para sitios que requieran estabilidad)
 Worked (escalabilidad)
 event
 Winnt (para sistema windows. Muy eficiente)
Módulos de MultiProceso
MWS apache
Igual que en la versión 1 de apache.
El proceso principal crea un conjunto de hijos
que sirven las peticiones
El número de hijos está establecido entre un
mínimo y un máximo
Cada hijo ejecuta un único hilo (una petición
por hijo simultáneamente)
mmp prefork
Proceso hijo
Proceso hijo
Proceso hijo
Poceso princ.
(httpd) root
MWS apache
Es el que más CPU y RAM consume por proceso -
MaxClients/MaxRequestWorkers deben ser lo
grande para las peticiones simultáneas que esperes
Pequeño para la RAM y procesos del servidor donde
se ejecuta
MaxClients=(RAM – size_all_other_processes)/
mmp prefork
MWS apache
Directivas a tener en cuenta para regular cómo el proceso padre crea
procesos hijos para atender las peticiones entrantes:
l StarServers indica el número de procesos que se lanzarán en el
l MinSpareServers: número procesos mínimo desocupados
l MaxSpareServers: número procesos máximo desocupados
l MaxRequestWorkers: debe ser lo suficientemente grande para
tratar las solicitudes que esperamos recibir y lo suficientemente
pequeño para los asegurar que tenemos memoria RAM para todos los
procesos (solo si esperamos más de 256 peticiones simultáneas,
podríamos necesitar incrementarlo)
l MaxConnectionsPerChild: limita el número de conexiones que un
proceso puede atender durante su existencia. Superado, muere y se
lanza otro. Si es 0, ilimitado. ¿Ventajas?
l User/Group (para procesos hijos)
l Comportamiento:
si hijos idle < MinSpareServers, padre crea otros, 1, 2, 4
esperando 1” y no más de 32,
si hijos idle > MaxSpareServers, padre mata exceso de hijos
mpm prefork
MWS apache
Los procesos hijos pueden tener más de un hilo
(TheadsPerChild) Cada hilo dentro de un proceso atiende una
Permite atender gran número de peticiones con menor consumo
de recursos que con prefork y conservando parte de la
estabilidad que proporciona éste
Los procesos hijos se crean o destruyen para que el número de
hilos libres se mantengan entre un mínimo (MinSpareThreads) y
un máximo (MaxSpareThreads)
Número máximo de clientes: MaxRequestWorkers
mmp worked
Proceso hijo
Proceso hijo
Proceso hijo
Poceso princ.
(httpd) root
MWS apache
Más directivas a tener en cuenta para
regular cómo el proceso padre crea
procesos hijos para atender las
peticiones entrantes:
l Las vistas para prefork más
l ServerLimit número de procesos hijos
l ThreadLimit número de hilos en el
l MaxConnectionsPerChild controla
cómo se recicla los procesos
l User/group
mpm worker
MWS apache
¿Número máximo de clientes que pueden ser
atendidos simultáneamente?
l Valor de MaxRequestWorkers
¿Número máximo de procesos hijos activos?
l MaxRequestWorkers / ThreadsPerChild
ThreadLimit >=ThreadsPerChild
mpm worker
MWS apache
Está basado en el mpm worker con sockets no
bloqueantes para manejar varias conexiones por un
proceso/hilo (las indicadas por
Tiene un hilo por proceso dedicado a:
Escucha del socket
Conexiones KeepAlive
Sockets en los que el protocolo ya ha hecho su trabajo
Y aquellos en los que solo queda mandar los datos al
mpm event
Proceso hijo
Proceso hijo
Proceso hijo
Poceso princ.
MWS apache
Las directivas relacionadas son las mismas que mpm
worker más AsyncRequestWorkerFactor
El número total de conexiones concurrentes para un
proceso/hilo puede manejar está regulado por
Un proceso solo aceptará nuevas conexiones si en número actual de estas es menor de:
ThreadsPerChild + (AsyncRequestWorkerFactor * number of idle workers)
Podemos calcular una estimación del número máximo de conexiones para todos los procesos con:
(ThreadsPerChild + (AsyncRequestWorkerFactor * number of idle workers)) * ServerLimit
SI ThreadsPerChild = 10, ServerLimit = 4, AsyncRequestWorkerFactor = 2, MaxRequestWorkers = 40, idle_workers = 4
max_connections = (ThreadsPerChild + (AsyncRequestWorkerFactor * idle_workers)) * ServerLimit = (10 + (2 * 4)) * 4 = 72
Si todos los hilos está desocupados: max_connections = (AsyncRequestWorkerFactor + 1) * MaxRequestWorkers
mpm event
MWS apache
Optimizado para las plataformas Windows
Un proceso padre y un proceso hijo
El proceso hijo es multi-hilo
Utiliza funcionalidades de Windows
mmp winnt
Cliente Proceso hijoPoceso princ.
MWS apache
Bajar software de
Instalación mediante binarios (fácil pero no
Instalación personalizada
 Bajar fuentes
 Configurar la instalación
l ./configure [opciones]
l Esto crea un makefile personalizado
 Compilar el servidor
l make
l Entre otras cosas crea el ejecutable de Apache (httpd)
 Instalar el servidor
l make install
./configure --prefix=/usr/local/apache
(indica el directorio de instalación de
MWS apache
Configuración mediante fichero de texto
La ubicación y nombre del fichero puede cambiar según
la distribución:
 http.conf
 apache2.conf
La configuración puede estar distribuida en distintos
 /etc/apache2/apache2.conf (configuración general
del servidor. Desde este se incluyen el resto)
 /etc/apache2/ports.conf (configuración de puertos)
 /etc/apache2/sites-enabled/000-default
 /etc/apache2/sites-enabled/001-site1
 /etc/apache2/sites-enabled/002-site2
 (configuración de los sitios web: directorios, contenidos,
Directiva “include”
Configuración de módulos
 /etc/apache2/mods-enabled/*.load
l LoadModule jk_module /usr/apache2/modules/
 /etc/apache2/mods-enabled/*.conf
MWS apache
En Windows:
Activar PHP:
Primero instalarlo: apt-get install libapache2-mod-php5
 /etc/apache2/mods-enabled/*.load
 /etc/apache2/mods-enabled/*.conf
 En /etc/php5/apache2/php.ini configuraremos las
opciones que necesitemos para PHP
l Safe Mode = Off (Todas las funciones activas)
l Display errors = On (No para producción)
l max_execution_time=30 (Tiempo máx ejecución)
l post_max_size=8M (Máximo tamaño POST)
l upload_max_filesize = 8M
l (acceso a MySQL, necesita
también php5-mysql)
MWS apache
Configuración Windows
MWS apache
Configuración Windows
MWS apache
Debemos tener en cuenta:
MaxConnectionsPerChild Al igual que en
GNU/Linux, controla el número de conexiones para
un único proceso, pero por el contrario, en
Windows, no se creará un proceso de reemplazo
instantáneamente (por lo general, estará a 0 a
menos que haya problemas con la memoria)
ThreadsPerChild: Número máximo de hijos →
número máximo de conexiones a la vez
(recomendación: 150)
¡Cuidado con '' que Apache puede interpretarlo
como carácter de escape
Los nombres de archivo son case-insensitive en
Windows, por lo que:
RewriteEngine On
RewriteMap lowercase int:tolower
RewriteCond "%{REQUEST_URI}" "[A-Z]"
RewriteRule "(.*)" "${lowercase:$1}" [R,L]
Configuración Windows
MWS apache
configuración – apache2.conf
# apache2.conf -- Archivo de configuración de apache
# Sección 1: Entorno Global
ServerRoot "/usr/local/apache"
PidFile /var/run/
<IfModule !perchild.c>
ScoreBoardFile logs/apache_runtime_status
Timeout 300
KeepAlive On
MaxKeepAliveRequests 100
KeepAliveTimeout 15
<IfModule prefork.c>
StartServers 3
MaxClients 8
MinSpareServers 5
MaxSpareServers 10
MaxRequestPerChild 0
Indica el directorio base del servidor
└ bin
└ conf
└ htdocs
└ manual
└ icons
└ small
└ logs
└ cgi-bin
└ include
MWS apache
configuración – apache2.conf
# apache2.conf -- Archivo de configuración de apache
# Sección 1: Entorno Global
ServerRoot "/usr/local/apache"
PidFile /var/run/
<IfModule !perchild.c>
ScoreBoardFile logs/apache_runtime_status
Timeout 300
KeepAlive On
MaxKeepAliveRequests 100
KeepAliveTimeout 15
<IfModule prefork.c>
StartServers 3
MaxClients 8
MinSpareServers 5
MaxSpareServers 10
MaxRequestPerChild 0
Fichero donde se almacena el PID del proceso padre
MWS apache
configuración – apache2.conf
# apache2.conf -- Archivo de configuración de apache
# Sección 1: Entorno Global
ServerRoot "/usr/local/apache"
PidFile /var/run/
<IfModule !perchild.c>
ScoreBoardFile logs/apache_runtime_status
Timeout 300
KeepAlive On
MaxKeepAliveRequests 100
KeepAliveTimeout 15
<IfModule prefork.c>
StartServers 3
MaxClients 8
MinSpareServers 5
MaxSpareServers 10
MaxRequestPerChild 0
Fichero para la comunciación
entre el proceso padre y los
MWS apache
configuración – apache2.conf
# apache2.conf -- Archivo de configuración de apache
# Sección 1: Entorno Global
ServerRoot "/usr/local/apache"
PidFile /var/run/
<IfModule !perchild.c>
ScoreBoardFile logs/apache_runtime_status
Timeout 300
KeepAlive On
MaxKeepAliveRequests 100
KeepAliveTimeout 15
<IfModule prefork.c>
StartServers 3
MaxClients 8
MinSpareServers 5
MaxSpareServers 10
MaxRequestPerChild 0
Segundos máximos de espera entre la
recepción de una petición y la respuesta
MWS apache
configuración – apache2.conf
# apache2.conf -- Archivo de configuración de apache
# Sección 1: Entorno Global
ServerRoot "/usr/local/apache"
PidFile /var/run/
<IfModule !perchild.c>
ScoreBoardFile logs/apache_runtime_status
Timeout 300
KeepAlive On
MaxKeepAliveRequests 100
KeepAliveTimeout 15
<IfModule prefork.c>
StartServers 3
MaxClients 8
MinSpareServers 5
MaxSpareServers 10
MaxRequestPerChild 0
Permite conexiones persistentes (más de
una solicitud por conexión)
MWS apache
configuración – apache2.conf
# apache2.conf -- Archivo de configuración de apache
# Sección 1: Entorno Global
ServerRoot "/usr/local/apache"
PidFile /var/run/
<IfModule !perchild.c>
ScoreBoardFile logs/apache_runtime_status
Timeout 300
KeepAlive On
MaxKeepAliveRequests 100
KeepAliveTimeout 15
<IfModule prefork.c>
StartServers 3
MaxClients 8
MinSpareServers 5
MaxSpareServers 10
MaxRequestPerChild 0
Nº máximo de solicitudes por conexión
MWS apache
configuración – apache2.conf
# apache2.conf -- Archivo de configuración de apache
# Sección 1: Entorno Global
ServerRoot "/usr/local/apache"
PidFile /var/run/
<IfModule !perchild.c>
ScoreBoardFile logs/apache_runtime_status
Timeout 300
KeepAlive On
MaxKeepAliveRequests 100
KeepAliveTimeout 15
<IfModule prefork.c>
StartServers 3
MaxClients 8
MinSpareServers 5
MaxSpareServers 10
MaxRequestPerChild 0
Segundos máximos de espera de una
nueva solicitud en una conexión
MWS apache
configuración – apache2.conf
# apache2.conf -- Archivo de configuración de apache
# Sección 1: Entorno Global
ServerRoot "/usr/local/apache"
PidFile /var/run/
<IfModule !perchild.c>
ScoreBoardFile logs/apache_runtime_status
Timeout 300
KeepAlive On
MaxKeepAliveRequests 100
KeepAliveTimeout 15
<IfModule prefork.c>
StartServers 3
MaxClients 8
MinSpareServers 5
MaxSpareServers 10
MaxRequestPerChild 0
Nº inicial de procesos hijo
MWS apache
configuración – apache2.conf
# apache2.conf -- Archivo de configuración de apache
# Sección 1: Entorno Global
ServerRoot "/usr/local/apache"
PidFile /var/run/
<IfModule !perchild.c>
ScoreBoardFile logs/apache_runtime_status
Timeout 300
KeepAlive On
MaxKeepAliveRequests 100
KeepAliveTimeout 15
<IfModule prefork.c>
StartServers 3
MaxClients 8
MinSpareServers 5
MaxSpareServers 10
MaxRequestPerChild 0
Límite de clientes conectados simultáneamente
MWS apache
configuración – apache2.conf
# apache2.conf -- Archivo de configuración de apache
# Sección 1: Entorno Global
ServerRoot "/usr/local/apache"
PidFile /var/run/
<IfModule !perchild.c>
ScoreBoardFile logs/apache_runtime_status
Timeout 300
KeepAlive On
MaxKeepAliveRequests 100
KeepAliveTimeout 15
<IfModule prefork.c>
StartServers 3
MaxClients 8
MinSpareServers 5
MaxSpareServers 10
MaxRequestPerChild 0
Nº mínimo y máximo de hilos parados
MWS apache
configuración – apache2.conf
# apache2.conf -- Archivo de configuración de apache
# Sección 1: Entorno Global
ServerRoot "/usr/local/apache"
PidFile /var/run/
<IfModule !perchild.c>
ScoreBoardFile logs/apache_runtime_status
Timeout 300
KeepAlive On
MaxKeepAliveRequests 100
KeepAliveTimeout 15
<IfModule prefork.c>
StartServers 3
MaxClients 8
MinSpareServers 5
MaxSpareServers 10
MaxRequestPerChild 0
</IfModule> Nº máximo de solicitudes que puede servir un
hijo antes de ser ‘asesinado’. Con 0 indicamos
que no se maten nunca.
MWS apache
configuración – apache2.conf
# Sección 2 Configuración del servidor principal
Listen 80
User www-data
Group www-data
DocumentRoot /usr/local/apache/htdocs
<Directory />
Options SymLinksIfOwnerMatch
AllowOverride None
<Directory /usr/local/apache/htdocs >
Options Indexes Includes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
UserDir public_html
DirectoryIndex index.html index.htm index.shtml index.cgi
AccessFileName .htaccess
MWS apache
configuración – apache2.conf
# Sección 2 Configuración del servidor principal
Listen 80
User www-data
Group www-data
DocumentRoot /usr/local/apache/htdocs
<Directory />
Options SymLinksIfOwnerMatch
AllowOverride None
<Directory /usr/local/apache/htdocs >
Options Indexes Includes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
UserDir public_html
DirectoryIndex index.html index.htm index.shtml index.cgi
AccessFileName .htaccess
IP y puerto de escucha del servidor
Usuario y grupo de los procesos hijo
MWS apache
configuración – apache2.conf
# Sección 2 Configuración del servidor principal
Listen 80
User www-data
Group www-data
DocumentRoot /usr/local/apache/htdocs
<Directory />
Options SymLinksIfOwnerMatch
AllowOverride None
<Directory /usr/local/apache/htdocs >
Options Indexes Includes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
UserDir public_html
DirectoryIndex index.html index.htm index.shtml index.cgi
AccessFileName .htaccess
Email del administrador del servidor
Nombre DNS del servidor
MWS apache
configuración – apache2.conf
# Sección 2 Configuración del servidor principal
Listen 80
User www-data
Group www-data
DocumentRoot /usr/local/apache/htdocs
<Directory />
Options SymLinksIfOwnerMatch
AllowOverride None
<Directory /usr/local/apache/htdocs >
Options Indexes Includes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
UserDir public_html
DirectoryIndex index.html index.htm index.shtml index.cgi
AccessFileName .htaccess
Directorio raiz de los documentos web
MWS apache
configuración – apache2.conf
# Sección 2 Configuración del servidor principal
Listen 80
User www-data
Group www-data
DocumentRoot /usr/local/apache/htdocs
<Directory />
Options SymLinksIfOwnerMatch
AllowOverride None
<Directory /usr/local/apache/htdocs >
Options Indexes Includes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
UserDir public_html
DirectoryIndex index.html index.htm index.shtml index.cgi
AccessFileName .htaccess
Definición de un directorio del servidor
El argumento es un directorio del sistema
de archivos
También se puede usar la directiva
Location que tiene como argumento
una ruta de la URL
MWS apache
configuración – apache2.conf
# Sección 2 Configuración del servidor principal
Listen 80
User www-data
Group www-data
DocumentRoot /usr/local/apache/htdocs
<Directory />
Options SymLinksIfOwnerMatch
AllowOverride None
<Directory /usr/local/apache/htdocs >
Options Indexes Includes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
UserDir public_html
DirectoryIndex index.html index.htm index.shtml index.cgi
AccessFileName .htaccess
ExecCGI: Se permite la ejecución de CGI’s
Indexes: Si se solicita un directorio se muestra
una página con el contenido del mismo
FollowSymLinks: resolver enlaces simbólicos
SymLinksIfOwnerMatch: resolver enlaces
simbólicos si el destino es propiedad del mismo
usuario que el enlace
MWS apache
configuración – apache2.conf
# Sección 2 Configuración del servidor principal
Listen 80
User www-data
Group www-data
DocumentRoot /usr/local/apache/htdocs
<Directory />
Options SymLinksIfOwnerMatch
AllowOverride None
<Directory /usr/local/apache/htdocs >
Options Indexes Includes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
UserDir public_html
DirectoryIndex index.html index.htm index.shtml index.cgi
AccessFileName .htaccess
No utilizar los ficheros de acceso
Los ficheros .htaccess se utilizan para
distribuir la configuración por directorios.
Un fichero .htaccess en un directorio
es un fragmento de la configuración para
ese directorio
MWS apache
La configuración distribuida permite fragmentar la
configuración en pequeños archivos de configuración
(.htaccess) alojados en los directorios de la web
configuración distribuida
DocumentRoot /var/www
<Directory /var/www/fotos>
# Configuración del directorio fotos
<Directory /var/www/videos>
# Configuración del directorio videos
DocumentRoot /var/www
<Directory /var/www>
AllowOverride All
# Configuración del directorio fotos
# Configuración del directorio videos
Configuración CENTRALIZADA Configuración DISTRIBUIDA
MWS apache
configuración – apache2.conf
# Sección 2 Configuración del servidor principal
Listen 80
User www-data
Group www-data
DocumentRoot /usr/local/apache/htdocs
<Directory />
Options SymLinksIfOwnerMatch
AllowOverride None
<Directory /usr/local/apache/htdocs >
Options Indexes Includes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
UserDir public_html
DirectoryIndex index.html index.htm index.shtml index.cgi
AccessFileName .htaccess
Orden de las directivas de acceso
Acceso por defecto
MWS apache
configuración – apache2.conf
# Sección 2 Configuración del servidor principal
Listen 80
User www-data
Group www-data
DocumentRoot /usr/local/apache/htdocs
<Directory />
Options SymLinksIfOwnerMatch
AllowOverride None
<Directory /usr/local/apache/htdocs >
Options Indexes Includes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
UserDir public_html
DirectoryIndex index.html index.htm index.shtml index.cgi
AccessFileName .htaccess
Utiliza una carpeta en el HOME de cada
usuario del equipo para acceder como:
MWS apache
configuración – apache2.conf
# Sección 2 Configuración del servidor principal
Listen 80
User www-data
Group www-data
DocumentRoot /usr/local/apache/htdocs
<Directory />
Options SymLinksIfOwnerMatch
AllowOverride None
<Directory /usr/local/apache/htdocs >
Options Indexes Includes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
UserDir public_html
DirectoryIndex index.html index.htm index.shtml index.cgi
AccessFileName .htaccess
Páginas índice cuando se
accede a un directorio
MWS apache
configuración – apache2.conf
# Sección 2 Configuración del servidor principal
Listen 80
User www-data
Group www-data
DocumentRoot /usr/local/apache/htdocs
<Directory />
Options SymLinksIfOwnerMatch
AllowOverride None
<Directory /usr/local/apache/htdocs >
Options Indexes Includes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
UserDir public_html
DirectoryIndex index.html index.htm index.shtml index.cgi
AccessFileName .htaccess
Nombre del archivo de configuración del control de acceso
MWS apache
configuración – apache2.conf
TypesConfig /etc/mime.types
DefaultType text/plain
<IfModule mod_mime_magic.c>
MIMEMagicFile conf/magic
HostnameLookups Off
ErrorLog /var/log/apache/error.log
LogLevel warn
LogFormat "%h %l %u %t "%r" %>s %b "%{Referer}i" "%{User-Agent}i"time: %T seg %v"full
# ...
ServerSignature On
Alias /icons/ "/usr/local/apache/icons/"
<Directory "/usr/local/apache/icons">
Options Indexes MultiViews
AllowOverride None
Order allow,deny
Allow from all
ScriptAlias /cgi-bin/ "/usr/local/apache/cgi-bin/"
<Directory /usr/lib/cgi-bin/>
AllowOverride None
Options ExecCGI
Order allow,deny
Allow from all
AddLanguage da .dk
AddLanguage nl .nl
# ...
LanguagePriority en da nl et fr de el it ja pl pt pt-br ltz ca es sv
AddDefaultCharset ISO-8859-1
Configuración MIME
MWS apache
configuración – apache2.conf
TypesConfig /etc/mime.types
DefaultType text/plain
<IfModule mod_mime_magic.c>
MIMEMagicFile conf/magic
HostnameLookups Off
ErrorLog /var/log/apache/error.log
LogLevel warn
LogFormat "%h %l %u %t "%r" %>s %b "%{Referer}i" "%{User-Agent}i"time: %T seg %v" full
# ...
ServerSignature On
Alias /icons/ "/usr/local/apache/icons/"
<Directory "/usr/local/apache/icons">
Options Indexes MultiViews
AllowOverride None
Order allow,deny
Allow from all
ScriptAlias /cgi-bin/ "/usr/local/apache/cgi-bin/"
<Directory /usr/lib/cgi-bin/>
AllowOverride None
Options ExecCGI
Order allow,deny
Allow from all
AddLanguage da .dk
AddLanguage nl .nl
# ...
LanguagePriority en da nl et fr de el it ja pl pt pt-br ltz ca es sv
AddDefaultCharset ISO-8859-1
Tipo MIME por defecto
Patrones para averiguar el tipo MIME
No usar DNS
MWS apache
configuración – apache2.conf
TypesConfig /etc/mime.types
DefaultType text/plain
<IfModule mod_mime_magic.c>
MIMEMagicFile conf/magic
HostnameLookups Off
ErrorLog /var/log/apache/error.log
LogLevel warn
LogFormat "%h %l %u %t "%r" %>s %b "%{Referer}i" "%{User-Agent}i"time: %T seg %v" full
# ...
ServerSignature On
Alias /icons/ "/usr/local/apache/icons/"
<Directory "/usr/local/apache/icons">
Options Indexes MultiViews
AllowOverride None
Order allow,deny
Allow from all
ScriptAlias /cgi-bin/ "/usr/local/apache/cgi-bin/"
<Directory /usr/lib/cgi-bin/>
AllowOverride None
Options ExecCGI
Order allow,deny
Allow from all
AddLanguage da .dk
AddLanguage nl .nl
# ...
LanguagePriority en da nl et fr de el it ja pl pt pt-br ltz ca es sv
AddDefaultCharset ISO-8859-1
Configuración del log
MWS apache
configuración – apache2.conf
TypesConfig /etc/mime.types
DefaultType text/plain
<IfModule mod_mime_magic.c>
MIMEMagicFile conf/magic
HostnameLookups Off
ErrorLog /var/log/apache/error.log
LogLevel warn
LogFormat "%h %l %u %t "%r" %>s %b "%{Referer}i" "%{User-Agent}i" %T %v" full
# ...
ServerSignature On
Alias /icons/ "/usr/local/apache/icons/"
<Directory "/usr/local/apache/icons">
Options Indexes MultiViews
AllowOverride None
Order allow,deny
Allow from all
ScriptAlias /cgi-bin/ "/usr/local/apache/cgi-bin/"
<Directory /usr/lib/cgi-bin/>
AllowOverride None
Options ExecCGI
Order allow,deny
Allow from all
AddLanguage da .dk
AddLanguage nl .nl
# ...
LanguagePriority en da nl et fr de el it ja pl pt pt-br ltz ca es sv
AddDefaultCharset ISO-8859-1
Muestra un pie de pagina con información sobre el
servidor en las páginas de error
Directorio de Iconos
Directorio de CGI’s
Juego de caracteres por defecto
MWS apache
Un alias se utiliza para mapear una URL a
una localización concreta del sistema de
Rompe la secuencia jerárquica normal
Espacio de URLs
└ documentos
└ imagenes
└ fotos
└ videos
└ recursos
Espacio de archivos
└ documentos
└ imagenes
└ fotos
└ videos
└ recursos
DocumentRoot /var/www
Alias /recursos /media/disco2/recursos
MWS apache
Crear directorios del servidor web que
requieren autenticación para su acceso
Error 401: “Necesita autorización”Acceso restringido
Incluye el usuario y la contraseña en la cabecera
Contenido de a.htm
MWS apache
Configurar en apache2.conf la zona
Crear el archivo .members de
autenticación básica
<Location "/protegido/">
AuthName "Acceso restringido“
AuthType Basic
AuthUserFile /usr/local/apache/secrets/.members
Require valid-user
# htpasswd –c .members pepe
New password: ****
Re-type new password: ****
Adding password for user pepe
# htpasswd .members juan
New password: ****
Re-type new password: ****
Adding password for user pepe
# cat .members
MWS apache
Tener diferentes sitios web en un único
equipo servidor
Ahorro en infraestructuras
Posibilidad de configuración compartida
Administración centralizada
 Basada en nombres
 Basada en IP
 Varios servidores principales
servidores virtuales
MWS apache
Existe un servidor principal
Existen diferentes nombres DNS que apuntan
a la IP del servidor
servidor virtual basado en nombres
# Definición del servidor principal
# ...
DocumentRoot /www/miservidor/htdocs
# ...
DocumentRoot /www/miservidor2/htdocs
# ...
DocumentRoot /www/miservidor3/htdocs
# ...
MWS apache
Existe un servidor principal
Existen diferentes IP’s en el servidor
servidor virtual basado en ip
# Definición del servidor principal
# ...
DocumentRoot /www/miservidor/htdocs
# ...
DocumentRoot /www/miservidor2/htdocs
# ...
DocumentRoot /www/miservidor3/htdocs
# ...
Reescrituras URL
•Transformar una solicitud en otra
Internas: el cliente no lo nota
Reescritura: el cliente cambia la
Se necesita activar mod_rewrite (instalar el plugin + RewriteEngine on en
Utiliza un conjunto de reglas computas por: patrón a buscar, cadena de
sustitución y acción a realizar.
Se pueden encadenar varias reglas
RewriteRule Patron Sustitucion [flags]
Patron: expresión regular a buscar dentro de la URL (entre host y QueryString)
RewriteRule ^/$ /inicio/ [L,R]
Reescrituras URL
Puede ser:
Relativa (sin el nombre del servidor)
Puede utilizar $1...$9 para indicar los fragmentos encontrados en el patrón
RewriteRule ^/productos/(.*)/.*)$ /producto.php?categoria=$1&id=$2 [L]
Cadena de sustitución
MWS apache
Condiciones extra
Tantas como necesitemos
Preceden a la regla
Deben cumplirse todas
RewriteCond cadena condicion [flags]
Flags: se pueden combinar varios separados con ',':
NC | nocase → Ignorar mayúsculas/minúsculas
OR | ornext → Realiza un 'o' lógico con la condición siguiente
RewriteCond %{HTTP_USER_AGENT} ^Mozilla
RewriteRule ^/$ /homepage.html [L]
RewriteCond %{HTTP_USER_AGENT} ^Lynx
RewriteRule ^/$ /homepage.min.html [L]
RewriteRule ^/$ /homepage.std.html [L]
Condiciones extra
MWS apache
Mejora del rendimiento:
Three-state RFC2616 HTTP caching:
mod_cache, mod_cache_disk. Los estados
son: Fresh (más reciente que), Stale (más
viejo que) y Non Existent
Two-state key/value shared object caching:
Specialized file caching: mod_file_cache
Precarga de ficheros en memoria en el
arranque. Puede ser útil para ficheros muy
MWS apache
# Caching to Disk
CacheRoot "/var/cache/apache/"
CacheEnable disk /
CacheDirLevels 2
CacheDirLength 1
#Caching to memcached (
CacheEnable socache /
# Caching files (¡cuidado con el número máximo de ficheros
# abiertos establecido para el SO!) vs SSD vs caché del SO
CacheFile /usr/local/apache2/htdocs/index.html
MWS apache
Necesitamos el certificado que identifique al
mod_ssl (LoadModule ssl_module
# Definición del servidor principal
# ...
Listen 443
# ...
<VirtualHost *:443>
DocumentRoot /www/example/htdocs
SSLEngine On
SSLCertificateFile “path_to_cert”
SSLCertificateKeyFile “path_to_key”
# ...
MWS apache
Tener instalado openSSL
Crear llave:
Crear CSR (Certificate Signing Request)
Generar el certificado (esto es lo que haría
una autoridad certificadora) Así para
OpenSSL y certificados
openssl req -new -key server.key -out server.csr
openssl genrsa -out server.key 1024
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
MWS apache
Eliminar la versión de Apache y SO
Deshabilita el listado de directorio
Hardening (I)
ServerTokens ProductOnly
ServerSignature Off #footer
<Directory /opt/apache/htdocs>
Options ­Indexes|None
Order allow,deny
Allow from all
MWS apache
Para impedir obtener información de número
de inodo, límite en MIME y procesos hijos con
Deshabilita .htaccess
Limitar métodos HTTP:
Hardening (II)
FileETag None
<Directory /opt/apache/htdocs>
Options ­Indexes
AllowOverride None
deny from all #si ponemos nombres, DNS
 TraceEnable off #Solo TRACE
MWS apache
Mitigar Cross usando HttpOnly and Secure
flag en cookie minimizabdo robo y
Clickjacking Attack (frames)
SAMEORIGIN: Solo desde el mismo sitio
DENY: Ninguno
ALLOW-FROM uri: Solo desde URI
Deshabilitar SSI
Hardening (III)
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always append X­Frame­Options SAMEORIGIN
#En web compartido (.htaccess):
<Directory /opt/apache/htdocs>
Options –Indexes ­Includes
Order allow,deny
Allow from all
MWS apache
X-XSS Protection (incluso si el usuario lo
deshabilita en el navegador)
Solo HTTP/1.1
Deshabilitar SSL 1,..., solo TLS 1.0
Tipo MIME y contenido debe ser el mismo
Hardening (IV)
Header set X-XSS-Protection “1; mode=block”
RewriteEngine On
RewriteCond %{THE_REQUEST} !HTTP/1.1$
RewriteRule .* ­ [F]
 SSLProtocol –ALL +TLSv1 +TLSv1.1 +TLSv1.2
<IfModule mod_headers.c>
# Disable content sniffing, since it's an attack vector.
Header always set X-Content-Type-Options nosniff
MWS apache
Mod Security
Deshabilita los módulos no utilizados
Habilita registros:
Más en
Hardening (IV)
LogFormat "%h %l %u %t "%{sessionID}C" "%r" %>s %b %T" common
MWS apache
PHP /etc/php/apache2/php.ini
expose_php = Off #no indicar versión
display_errors = Off
open_basedir = ubicación # impedir path
disable_functions = phpinfo, system, excec,
shell_exec, ini_set, Dl, eval
allow_url_fopen= Off
allow_url_include = Off
Suhosin: componente para proteger servidores con
PHP (php5-suhosin)
Hardening (V)
MWS apache
HostnameLookups y DNS
FollowSymLinks and SymLinksIfOwnerMatch
(For highest performance, and no symlink
protection, set FollowSymLinks everywhere,
and never set SymLinksIfOwnerMatch)
MWS apache
The response header is added to the existing set of headers, even if this header already exists. This can result in two (or more)
headers having the same name. This can lead to unforeseen consequences, and in general set, append or merge should be used
The response header is appended to any existing header of the same name. When a new value is merged onto an existing header it
is separated from the existing header with a comma. This is the HTTP standard way of giving a header multiple values.
Request headers with this name are echoed back in the response headers. header may be a regular expression. value must be
If this response header exists, its value is transformed according to a regular expression search-and-replace. The value argument is
a regular expression, and the replacement is a replacement string, which may contain backreferences or format specifiers. The edit
form will match and replace exactly once in a header value, whereas the edit* form will replace every instance of the search pattern if
it appears more than once.
The response header is appended to any existing header of the same name, unless the value to be appended already appears in the
header's comma-delimited list of values. When a new value is merged onto an existing header it is separated from the existing header
with a comma. This is the HTTP standard way of giving a header multiple values. Values are compared in a case sensitive manner, and
after all format specifiers have been processed. Values in double quotes are considered different from otherwise identical unquoted
The response header is set, replacing any previous header with this name. The value may be a format string.
The request header is set, but only if there is no previous header with this name.
The Content-Type header is a special use case since there might be the chance that its value have been determined but the header is
not part of the response when setifempty is evaluated. It is safer to use set for this use case like in the following example:
Header set Content-Type "text/plain" "expr=-z %{CONTENT_TYPE}"
The response header of this name is removed, if it exists. If there are multiple headers of the same name, all will be removed. value
must be omitted.
MWS apache
Hardening de servidores
GNU/Linux, OxWord, Carlos
Álvarez y Pablo González

