5.8. Absichern von Apache
FIXME: Add content: modules provided with the normal Apache installation (under /usr/lib/apache/X.X/mod_*) and modules that can be installed separately in libapache-mod-XXX packages.
Sie knnen den Zugriff auf Ihren Apache-Server einschrnken, wenn Sie ihn nur intern benutzen wollen (zum Beispiel zu Testzwecken, oder um auf die doc-central-Archive zuzugreifen, etc.) und nicht wollen, dass von auen auf ihn zugegriffen werden kann. Um dies zu tun, benutzen Sie die Listen
oder BindAddress
Direktiven in der Datei /etc/apache/http.conf
.
Benutzen von Listen:
Listen 127.0.0.1:80
Benutzen von BindAddress:
BindAddress 127.0.0.1
Starten Sie anschlieend Apache mit /etc/init.d/apache restart
neu, und Sie werden sehen, dass er nur auf die lokale Schleife achtet.
In jedem Fall sollten Sie, wenn Sie nicht die ganze Funktionalitt, die Apache zur Verfgung stellt, benutzen wollen, mal einen Blick auf die anderen Web-Server aus Debian werfen, zum Beispiel dhttpd.
5.8.1. Verhindern, dass Benutzer Web-Inhalte verffentlichen
Die Standard-Apache-Installation in Debian erlaubt Benutzern, Inhalt unter $HOME/public_html
bereitzustellen. Dieser Inhalt kann aus der Ferne mit einer URL wie http://Ihr_Apache_Server/~benutzer abgegriffen werden.
Wenn Sie dies nicht erlauben wollen, mssen Sie in der Konfigurationsdatei
/etc/apache/http.conf
(von Apache 1.3) folgendes Module auskommentieren:
LoadModule userdir_module /usr/lib/apache/1.3/mod_userdir.so
Wenn Sie Apache 2.0 verwenden, mssen Sie die Datei /etc/apache2/mods-enabled/userdir.load
entfernen oder die Standardkonfiguration einschrnken, indem Sie /etc/apache2/mods-enabled/userdir.conf
bearbeiten.
Falls allerdings das Modul statisch verlinkt wurde (Sie knnen die Module, die einkompiliert wurden, mittels
apache -l
berprfen), mssen Sie das Folgende der Konfigurationsdatei von Apache hinzufgen:
Userdir disabled
Ein Angreifer kann immer noch die Benutzer herausfinden, da die Antwort des Web-Servers 403 Permission Denied und nicht 404 Not available lautet. Mit dem Rewrite-Modul knnen Sie das verhindern.
5.8.2. Rechte der Protokolldateien
Apaches Protokolldateien gehren seit 1.3.22-1 dem Benutzer root und der Gruppe adm mit den Rechten 640. Diese Rechte ndern sich nach einer Rotation. Ein Eindringling, der das System ber den Web-Server erreicht hat, kann so Eintrge in alten Protokolldatei nicht (ohne Rechteerweiterung) entfernen.
5.8.3. Verffentlichte Web-Dateien
Apache-Dateien befinden sich unterhalb von /var/www
. Direkt nach der Installation bietet die Standardseite einige Informationen zu dem System (hauptschlich dass es ein Debian-System ist, auf welchem Apache luft). Die Standard-Webseiten gehren standardmig dem Benutzer root und der Gruppe root, whrenddessen der Apache-Prozess als Benutzer www-data und Gruppe www-data luft. Dies sollte es Angreifern, die in das System durch den Web-Server eindringen, schwerer machen, die Site zu verunstalten. Sie sollten natrlich die Standard-Webseiten (die Informationen, die Sie der Auenwelt vorenthalten wollen, enthalten knnen) durch Ihre eigenen ersetzen.