Online lesen (PDF) - Lingoworld IT-Bücher

Weitere Magazine

Empfehlungen

Info

800 tripwire. Sie finden dieses Open-Source-Programm auf der CD zum Buch. Weiter unten wird zudem mod_security vorgestellt – es handelt sich um die Verwirklichung eines IDS als Apache-Modul. chroot-Umgebung Auf UNIX-Systemen gibt es noch eine weitere interessante Sicherheitsmaßnahme: Sie können ein Programm in einen chroot-»Käfig« sperren. Das bedeutet, dass der Software vorgegaukelt wird, ihr lokales Unterverzeichnis sei das Wurzelverzeichnis des Dateisystems. Beachten Sie allerdings, dass auch dies keine absolute Sicherheit gewährleistet – es gibt immer wieder Sicherheitslücken in den eingesperrten Programmen oder in den chroot- Implementierungen, die es einem Angreifer ermöglichen, aus der chroot- Umgebung zu entkommen. Die Einrichtung einer solchen Umgebung ist vor allem deshalb nicht ganz einfach, weil Sie herausfinden müssen, welche Verzeichnisse und Dateien Apache außer seinem eigenen Installationsumfang benötigt, um ausgeführt werden zu können. Die genaue Konfiguration hängt stark von Ihrem konkreten System ab. Auf der Website zum Buch finden Sie Links zu Informationen für diverse Linux- und UNIX-Versionen. »Crackertools« Im ersten Moment hört es sich vielleicht merkwürdig an, aber eine der besten Schutzmaßnahmen vor Angriffen besteht darin, die Werkzeuge der potentiellen Angreifer zu benutzen, um Sicherheitslücken zu erkennen und nach Möglichkeit zu schließen. Eines der wertvollsten Tools in dieser Sparte ist Nessus. 1 Dieses freie Programm funktioniert unter zahlreichen UNIX- Varianten; für Windows ist ein Port namens NeWT verfügbar. Sie finden beide Versionen auf der CD. Geschulte Mitarbeiter! Die beste technische Sicherheitsmaßnahme nützt nichts, wenn die User nicht darüber Bescheid wissen. Menschliches Versagen ist immer die größte Sicherheitslücke; einige der erfolgreichsten Cracker haben nicht nur durch ausgeklügelte technische Maßnahmen Zugriff auf geschützte Systeme erlangt, sondern vor allem durch »Social Engineering« – siehe beispielsweise [M<strong>IT</strong>N 2003]. Besonders der vernünftige Umgang mit Passwörtern ist weithin unbekannt. Weisen Sie Ihre Mitarbeiter deshalb besonders auf folgende Punkte hin: Passwörter dürfen niemals sinnvolle Wörter sein, sondern sollten möglichst wirre Kombinationen aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen sein. 1 Damit will ich nicht gesagt haben, die Intention der Nessus-Entwickler sei die Unterstützung von Crackern! Sicherheit
Passwörter müssen regelmäßig gewechselt werden. Wenn Ihr Betriebssystem eine Möglichkeit bietet, die Benutzer nach einer bestimmten Zeit zur Änderung zu zwingen, sollten Sie diese nutzen. Ein Passwort wird niemals aufgeschrieben! Ein sicheres Passwort, das man sich dennoch leicht merken kann, ergibt sich am einfachsten aus den Anfangsbuchstaben eines möglichst sinnlosen Satzes; einige Zeichen sollten allerdings keine Buchstaben sein. Administratoren, Mitarbeiter von Internet-Providern, Polizisten oder Staatsbeamte fragen niemals nach dem Passwort. Wer auch immer Sie also danach fragt, ist ein Betrüger. Passwörter sind erst der Anfang – die vorgestellten Maßnahmen zur Passwortsicherheit sind wichtig. Für sich allein sind sie aber noch lange keine ausreichende Absicherung; das sollten sowohl Sie als auch die restlichen Benutzer wissen. 18.2 Apache-Sicherheit Dieser Abschnitt stellt zunächst einige allgemeine Tipps zusammen, die Sie über das Buch verteilt bereits erhalten haben; anschließend werden einige eingebaute Direktiven zur Sicherheit vorgestellt. 18.2.1 Allgemeine Sicherheitshinweise In diesem Buch finden Sie die wichtigsten Hinweise zur Sicherheit jeweils an Ort und Stelle. Dennoch ist das Thema so bedeutend, dass die wichtigsten Sicherheitstipps hier noch einmal im Überblick zusammengefasst werden. Im Allgemeinen schützen, im Besonderen freigeben Sie sollten es sich zur Regel machen, sämtliche Direktiven, die mit der Aktivierung von Zugriffsrechten oder der Freischaltung von Optionen zu tun haben, grundsätzlich so restriktiv wie möglich einzustellen und dann nur in Einzelfällen zu lockern. Dazu gehört insbesondere die grundsätzliche Voreinstellung zum Sperren aller Verzeichnisse: Order deny,allow Deny from all Options None AllowOverride None Apache-Sicherheit 801 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18
Seite 2 und 3: Auf einen Blick Vorwort ...........
Seite 4 und 5: 6 3.1.3 Die Apache-Softwarelizenz .
Seite 6 und 7: 8 9.2 Basic-Authentifizierung .....
Seite 8 und 9: 14.3 Umgebungsvariablen ...........
Seite 10 und 11: 12 C Sonstige Tabellen 843 C.1 MIME
Seite 12 und 13: 14 Systeme verbessert: Als Basis de
Seite 14 und 15: 16 auf externe URLs umleiten; Apach
Seite 17 und 18: 5 Apache in Betrieb nehmen Im Grund
Seite 19 und 20: Diese Befehle werden weiter unten i
Seite 21 und 22: Zahl vor dem Doppelpunkt) können a
Seite 23 und 24: # kill -TERM 23100 HUP bewirkt ein
Seite 25 und 26: Den Start automatisieren Jedes mode
Seite 27 und 28: Verzeichnissen wie /etc oder /etc/r
Seite 29 und 30: 5.1.2 Apache unter Windows steuern
Seite 31 und 32: -V Ausgabe der Versionsinformatione
Seite 33 und 34: Abbildung 5.4 Die beiden ersten (un
Seite 35 und 36: Wiederherstellen Auf dieser Registe
Seite 37 und 38: Wenn der Apache-Monitor ausgeführt
Seite 39 und 40: Tools Hier finden Sie weitere prakt
Seite 41 und 42: Öffnen Sie also einen Browser und
Seite 43 und 44: # Freigeben der DocumentRoot Direc
Seite 45 und 46: figurationsdatei C:\Programme\Apach
Seite 47 und 48: Deny from all Die Direktive Deny st
Seite 49: 18 Sicherheit Sicherheit erreicht m
Seite 53 und 54: det. Bei Erscheinen dieses Buches w
Seite 55 und 56: Modul core Kontext Server Syntax Li
Seite 57 und 58: Diese Direktive bestimmt, wie viel
Seite 59 und 60: --with-suexec-gidmin=GID Dieser Wer
Seite 61 und 62: Diese Direktive gibt die User- und
Seite 63 und 64: Schließlich lohnt sich auch die Be
Seite 65 und 66: 912 beenden und neu starten 209 CGI
Seite 67 und 68: 914 NS-Record 41 PTR-Record 40 Reve
Seite 69 und 70: 916 DavGenericLockDB, Direktive 770
Seite 71 und 72: 918 DumpIOOutput 535 EnableExceptio
Seite 73 und 74: 920 SSLPassPhraseDialog 503 SSLProt
Seite 75 und 76: 922 Hooks 776 child_init 777 fixups
Seite 77 und 78: 924 IP-basierte virtuelle Hosts 558
Seite 79 und 80: 926 für Webformulare 60 MIME-Types
Seite 81 und 82: 928 Typen 141 Überblick 141 weiter
Seite 83 und 84: 930 Windows 189 Query-String 59 R r
Seite 85 und 86: 932 SSLProxyCARevocationPath, Direk
Seite 87: 934 GET-Versand 59 Webformulare man

Online lesen (PDF) - Lingoworld IT-Bücher

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?