Apache mod_userdir Tweak – Ajuste de mod_userdir de Apache

(Main >> Security Center >> Apache mod_userdir Tweak)

El módulo mod_userdir de Apache les permite a los visitantes acceder sitios web en su servidor al escribir un hostname o dominio, seguido de una tilde (~) y el nombre de usuario del dueño del sitio web. Ejemplos:

• http://host.ejemplo.com/~nombredeusuario
• http://ejemplo.net/~nombredeusuario

mod_userdir se usa mayormente como un sistema temporero de URL, que le permite a los usuarios ver sus sitios web aún cuando no se ha configurado el DNS o no apunta hacia el servidor.

Le recomendamos que restrinja esta característica para la mayoría de sus usuarios. Esto se debe a que el acceder al sitio con mod_userdir evade los sistemas de contabilidad apropiados de banda ancha. Es más, un usuario puede indicarle a sus visitantes que accedan a su sitio mediante mod_userdir y contar el tráfico en contra de la banda ancha de otro usuario.

¡Ojo!: mod_userdir no solamente funciona con el hostname. Si mod_userdir está activado, cualquier sitio web puede accederse por medio de cualquier anfitrión virtual (virtual host) en el sistema.

Prevenir acceso mod_userdir

1. Pulse la casilla Enable mod_userdir Protection.
2. Use las casillas bajo el encabezado Exclude Protection para especificar cualesquier excepciones. Simplemente pulse la casilla que corresponde al dominio al que usted desea permitirle acceso mod_userdir
3. Pulse el botón Save al fondo de la página para guardar los cambios.

Permitir usuarios específicados

Puede permitir que algunos usuarios especificados accedan a los sitios web mediante mod_userdir Por ejemplo, los proveedores pueden usar esta característica para permitir que sus clientes puedan acceder a sus propios sitios web antes de que cambie la información DNS. Para activar acceso mod_userdir para un usuario específico:

1. Pulse la casilla Enable mod_userdir Protection en la parte superior de la página.
2. Determine el anfitrión virtual (virtual host) por el cual el usuario puede acceder su sitio con mod_userdir Seguramente, éste será el virtual host predeterminado o el virtual host de su proveedor.
   • Si usted selecciona el anfitrión virtual para el dominio primario del usuario, mod_userdir no funcionará hasta que el DNS apunte el dominio hacia el servidor.
3. Escriba el usuario que debe tener acceso por mod_userdir en el campo apropiado bajo Additional Users.
4. Pulse el botón Save al fondo de la página para guardar los cambios.

¡Ojo!: No pulse la casilla Exclude Protection si desea permitir que un usuario individual pueda acceder su sitio mediante un URL mod_userdir

Advertencias

Cuando usted usa mod_userdir, debe saber lo siguiente:

• Cuando usa suPHP como su handler de PHP, los usuarios no podrán correr scripts de PHP por mod_userdir
• Si quiere activar mod_userdir para que se puedan usar certificados SSL compartidos, usted tendrá que añadirle usuarios al virtual host o excluir protección del virtual host para el dominio certificado.
• Cuando usa FCGI como su handler de PHP, tendrá que hacer modificaciones de configuración que no están apoyadas para poder correr scripts de PHP a través de mod_userdir.
• Como mod_userdir le permite acceder a un sitio web por medio de un virtual host alterno, las características como servelets de Java y el ajuste open_basedir se afectan:
  • Los servelets de Java no funcionan con los URL basados en mod_userdir Esto sucede ya que Tomcat requiere que se añadan directivas adicionales al virtual host.
  • La protección open_basedir restringe el acceso PHP al directorio principal que le pertenece al usuario dueño del dominio base, no al directorio principal de la cuenta del usuario que se accede. Esto significa que algunos sitios no se pueden acceder con mod_userdir
  • Bajo ciertas condiciones, un usuario puede atacar la cuenta de otro usuario si se accede un script malicioso por medio de un URL mod_userdir
  • Los sitios que usan mod_rewrite y otras directivas en sus archivos .htaccess no funcionarán como se espera cuando se ven con los URL mod_userdir

Cuando restringe mod_userdir, debe saber lo siguiente:

• Esta característica desactiva selectivamente la funcionalidad mod_userdir y no elimina el módulo de por sí. Algunas búsquedas de PCI podrán detectarlo.
• Esta característica no lista direcciones de IP porque se basa en virtual hosts; o sea, no puede activar o desactivar esta característica si se basa en direcciones de IP. Esto es un error común. Si no protege al anfitrión predeterminado (default host), el IP principal del servidor se puede acceder por medio de mod_userdir en la mayoría de los casos.