2.2.5. Sicherung des Apache HTTP-Server
Der Apache HTTP-Server ist einer der stabilsten und sichersten Dienste, die mit Red Hat Enterprise Linux ausgeliefert werden. Es gibt eine große Anzahl von Optionen und Methoden, um den Apache HTTP-Server zu sichern — zu viele, um sie hier im Detail zu beschreiben. Der folgende Abschnitt geht kurz auf die empfohlenen Verfahren beim Einsatz von Apache HTTP-Server ein.
Vergewissern Sie sich grundsätzlich, dass jegliche Skripte auf dem System auch wie beabsichtigt funktionieren, bevor sie in Produktion gegeben werden. Stellen Sie außerdem sicher, dass nur der Root-Benutzer Schreibberechtigungen für Verzeichnisse besitzt, die Skripte oder CGIs enthalten. Führen Sie dazu die folgenden Befehle als Root-Benutzer aus:
chown root <directory_name>
chmod 755 <directory_name>
Systemadministratoren sollten folgende Konfigurationsoptionen mit äußerster Sorgfalt verwenden (konfiguriert in
/etc/httpd/conf/httpd.conf
):
FollowSymLinks
- Diese Direktive ist standardmäßig aktiviert, seien Sie also vorsichtig, wenn Sie symbolische Links zum Document-Root des Webservers erstellen. Es ist zum Beispiel keine gute Idee, einen symbolischen Link zu
/
anzugeben. Indexes
- Diese Direktive ist standardmäßig aktiviert, ist jedoch unter Umständen nicht wünschenswert. Wenn Sie nicht möchten, dass Benutzer Dateien auf dem Server durchsuchen, ist es sinnvoll, diese Direktive zu entfernen.
UserDir
- Die
UserDir
-Direktive ist standardmäßig deaktiviert, da sie das Vorhandensein eines Benutzer-Accounts im System bestätigen kann. Wenn Sie das Durchsuchen von Verzeichnissen auf dem Server durch Benutzer erlauben möchten, sollten Sie die folgenden Direktiven verwenden:UserDir enabled UserDir disabled root
Diese Direktiven aktivieren das Durchsuchen von Verzeichnissen für alle Benutzerverzeichnisse außer/root
. Wenn Sie Benutzer zu der Liste deaktivierter Accounts hinzufügen möchten, können Sie eine durch Leerstellen getrennte Liste der Benutzer in die ZeileUserDir disabled
einfügen.
Wichtig
Entfernen Sie nicht die
IncludesNoExec
-Direktive. Standardmäßig kann das Modul Server-Side Includes (SSI) keine Befehle ausführen. Es wird davon abgeraten, diese Einstellungen zu ändern, außer wenn unbedingt notwendig, da dies einem Angreifer ermöglichen könnte, Befehle auf dem System auszuführen.