Hola. Este es mi primer mensaje en el foro, aprovecho para presentarme.

El caso es que hace un par de días he montado mi servidor web Apache sobre Debian de pseudoproducción. Digo esto porque la idea es que esté 24/7 funcionando en plan serio aunque la carga de trabajo del servidor es más bien testimonial.

Algo he estudiado sobre administración de máquinas UNIX y algo también sobre seguridad, aunque una cosa es andar haciendo cosillas en clase y otra es ponerse al frente de algo serio como esto, y sinceramente tengo miedo. Todo el mundo anda muy escandalizado con la seguridad web y estas cosas, y yo ya no se cual es el riesgo de que intenten atacarme.

La máquina está en una red Lan doméstica, y el router redirecciona al servidor todos los paquetes que vayan al puerto 80 y al 22 (Apache y SSH). Además tengo contratado un dominio que apunta a la máquina, aunque no se si eso importa.

He instalado Debian y los servicios Apache y SSH. Salvo un par de cambios en las configuraciones, no he tocado nada referente al tema de seguridad, y no se si con las opciones por defecto el "fuerte" ya está bien protegido o si por el contrario esto es un coladero. Tampoco se si los "hackers" van por ahí atacando a máquinas anónimas y no conocidas como la mía.

Luego leo los LOGs del sistema y ahí aparecen muchas cosas y yo la mayoría no se descifrarlas y me empiezo a asustar un poco. En el log de apache ya he visto que están intentando solicitar recursos que no están en mi WEB como un directorio con ficheros PHP o el directorio de los módulos GCI o algo así si no recuerdo mal. A mi me da que eso es gente que deliberadamente está buscando cosas donde no debe, pero no se si son paranoyas mías o que de verdad están usmeándome.

En fin, ¿algún consejo para novatillos o una orientación general sobre este nuevo y desconocido mundillo?

Para proteger el Apache con iptables no harás nada.

El problema no es configurar Apache correctamente, el mayor problema serán los scripts php que ejecutes en el servidor web apache si son vulnerables o no.

Lo primero sería tener actualizado si usas cualquier sistema CMS (portal tipo Wordpress, Joomla o el que sea). Después instalar mod_security es una muy buena idea o mod_suhosin para php.

Uno de los mayores problemas es que te suban una shell en php.

Para asegurar Apache (hardening) de Apache.

Seguridad y Hardening en Apache
http://foro.elhacker.net/desarrollo_web/seguridad_y_hardening_en_apache-t429857.0.html

Si tu máquina está visible en internet ya no está exenta de peligro, cualquiera puede rastrearla, robots incluídos, que no sea conocida no significa que a nadie le pueda interesar.

Sobre los logs del sistema y del apache pues es cuestión de buscar lo que no entiendas en internet y ya no te parecerán tan complicados.

Para SSH instalar fail2ban sería una gran idea:

Instalar y configurar Fail2ban
http://blog.elhacker.net/2014/05/instalar-y-configurar-fail2ban.html