Spur: » Apache Webserver » Apache mod_proxy_balancer + ajp_proxy » Apache2 mit mod_security » Flexible Apache Konfiguration - Mehrere Konfigurationen und unabhängige Server auf einem System » IIS-Exploits » mod_python » mod_python.servlet » mod_rewrite » Apache mod_security Console » Apache Security
Inhaltsverzeichnis

Apache Security

(Quelle: http://httpd.apache.org/docs/2.2/mod/core.html)

http://httpd.apache.org/docs/2.2/misc/security_tips.html

sinnvolle Einstellungen

  • ServerSignature Off
  • ServerTokens Prod
  • FileETag None
  • UserDir disabled
  • Directory Indexing ausschalten -Indexes
  • SSLProtocol -ALL +SSLv3 +TLSv1
  • SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM

Globale Einstellungen (core)

ServerSignature-Direktive

  • Konfiguriert die Fußzeile von servergenerierten Dokumenten
  • ServerSignature On|Off|EMail
  • Serverkonfiguration, Virtual Host, Verzeichnis, .htaccess
  • AllowOverride: All

Die Direktive ServerSignature ermöglicht die Gestaltung einer unter servergenerierten Dokumenten (z.B. Fehlerdokumente, FTP-Verzeichnislisten von mod_proxy, mod_info-Ausgaben, ...) angefügten Fußzeile. Ein möglicher Grund für die Aktivierung einer solchen Fußzeile ist, dass der Anwender bei einer Kette von Proxy-Servern oft keine Möglichkeit hat, zu erkennen, welcher der verketteten Server gegenwärtig die zurückgegebene Fehlermeldung produziert hat. Ab Version 2.0.44 werden die Details der angegebenen Versionsnummer des Servers von der Direktive ServerTokens kontrolliert.

ServerTokens-Direktive

  • Konfiguriert den HTTP-Response-Header Server
  • ServerTokens Major|Minor|Min[imal]|Prod[uctOnly]|OS|Full
  • Serverkonfiguration

De Direktive steuert, ob der Response-Header Server, der an den Client zurückgesendet wird, eine Beschreibung des allgemeinen Betriesbsystemtyps des Servers wie auch Informationen über einkompilierte Module enthält.

Diese Einstellung gilt für den gesamten Server und kann nicht auf Virtual-Host-Basis aktiviert oder deaktiviert werden.

Ab Version 2.0.44 steuert diese Direktive auch die Informationen, die durch die Direktive ServerSignature angeboten werden.

FileETag-Direktive

  • Dateiattribute, die zur Erstellung des HTTP-Response-Headers ETag verwendet werden
  • FileETag Komponente ...
  • Serverkonfiguration, Virtual Host, Verzeichnis, .htaccess
  • AllowOverride: FileInfo

Wenn dem Dokument eine Datei zugrundeliegt, bestimmt die Direktive FileETag die Dateiattribute, die zur Erstellung des HTTP-Response-Headers ETag (Entity-Tag) verwendet werden. (Der Wert von ETag wird bei der Cache-Verwaltung zur Einsparung von Netzwerk-Bandbreite benutzt.) Im Apache 1.3.22 und früher wurde der ETag-Wert stets aus der I-Node, der Größe und dem Datum der letzten Änderung (mtime) der Datei gebildet. Die Direktive FileETag erlaubt es Ihnen, zu bestimmen, welche dieser Eigenschaften – falls überhaupt – verwendet werden sollen. Die gültigen Schlüsselworte lauten: INode 1), MTime 2), Size 3), All 4), None 5). Den Schlüsselwörtern INode, MTime und Size kann entweder ein + oder ein - vorangestellt werden, was die Änderung einer Vorgabe erlaubt, die von einem größeren Umfeld geerbt wurde. Jedes Schlüselwort ohne ein solches Prefix hebt die ererbte Einstellung sofort und vollständig auf.

Wenn die Konfiguration für ein Verzeichnis FileETag INode MTime Size enthält und die eines Unterverzeichnisses FileETag -INode, dann ist die Einstellung für das Unterverzeichnis (die an jedes Unter-Unterverzeichnis weitervererbt wird, welches dies nicht überschreibt) äquivalent mit FileETag MTime Size.

Module

mod_ssl

  • SSLProtocol -ALL +SSLv3 +TLSv1
  • SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM

Das Secure Socket Layer (SSL) Protokoll ermöglicht eine sichere Kommunikation zwischen Client und Server.

Im SSLv2 Protokoll gibt es allerdings bekannte Defekte, die durch einen man-in-the-middle Attack ausgenutzt werden können. Ebenso könnte ein Angreifer verschlüsselte Nachrichten abschneiden.

Die Defekte wurden in SSLv3 (bzw. TLSv1) bereinigt. Die aktuellen Clients können alle SSLv3, aber aus Kompatibilitätsgründen ist SSLv2 per default erlaubt.

mod_userdir

UserDir-Direktive

  • Ort der Benutzerverzeichnisse
  • UserDir directory-filename
  • Serverkonfiguration, Virtual Host

Die UserDir-Direktive setzt das reale Verzeichnis eines Homeverzeichnisses eines Benutzers, wenn eine Abfrage für eine Datei eines Benutzers empfangen wird.

Directory-filename kann folgende Werte annehmen:

  • The name of a directory or a pattern such as those shown below.
  • The keyword disabled. This turns off all username-to-directory translations except those explicitly named with the enabled keyword (see below).
  • The keyword disabled followed by a space-delimited list of usernames. Usernames that appear in such a list will never have directory translation performed, even if they appear in an enabled clause.
  • The keyword enabled followed by a space-delimited list of usernames. These usernames will have directory translation performed even if a global disable is in effect, but not if they also appear in a disabled clause.

If neither the enabled nor the disabled keywords appear in the Userdir directive, the argument is treated as a filename pattern, and is used to turn the name into a directory specification.

1) Die I-Node-Nummer wird in die Berechnung mit einbezogen
2) Datum und Uhrzeit der letzten Änderung werden mit einbezogen
3) Die Anzahl der Bytes in der Datei wird mit einbezogen
4) Alle verfügbaren Angaben werden verwendet == FileETag INode MTime Size
5) Es wird keine ETag-Angabe in die Antwort eingefügt, wenn dem Dokument eine Datei zugrundeliegt
 
wissen/gpl/apache/securing-apache-webserver-configuration.txt · Zuletzt geändert: 05.09.2010 20:31
 
Recent changes RSS feed Donate Valid XHTML 1.0 Valid CSS Recent cached RSS feed cacert-signed web site: inhalt.serviert.de