Online lesen (PDF) - Lingoworld IT-Bücher
Online lesen (PDF) - Lingoworld IT-Bücher
Online lesen (PDF) - Lingoworld IT-Bücher
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
802<br />
ScriptAlias-Verzeichnisse für CGI verwenden<br />
Es ist ein relativ großes Sicherheitsrisiko, Verzeichnisse unterhalb der DocumentRoot<br />
für CGI-Anwendungen freizuschalten. Sie sollten deshalb nach<br />
Möglichkeit ScriptAlias-Verzeichnisse verwenden. In manchen Situationen<br />
lässt es sich allerdings nicht verhindern, CGI innerhalb normaler Site-<br />
Verzeichnisse zu aktivieren – das ist beispielsweise der Fall, wenn Sie Hosting-Dienstleistungen<br />
mit virtuellen Hosts anbieten. Näheres zu diesem<br />
Thema finden Sie in Kapitel 14, CGI.<br />
Eine separate User- und Group-ID für Apache benutzen<br />
Auf UNIX-Systemen muss Apache unter der User-ID root gestartet werden,<br />
beispielsweise weil der Zugriff auf die TCP-Ports 0 bis 1023 anders nicht<br />
möglich ist. Die Child-Prozesse, die Anfragen bearbeiten, werden allerdings<br />
unter den IDs ausgeführt, die Sie mithilfe der Direktiven User und Group<br />
festgelegt haben. Achten Sie darauf, dass dieser Benutzer und diese Gruppe<br />
speziell für Apache angelegt werden. Das Benutzerkonto sollte keine Möglichkeit<br />
zur persönlichen Anmeldung besitzen; sogar das Passwort sollten Sie<br />
nach der Eingabe vergessen.<br />
Übrigens besteht auch unter Windows die Möglichkeit, einen separaten<br />
Benutzer für den Betrieb von Apache einzurichten. Das Verfahren wurde in<br />
Kapitel 5, Apache in Betrieb nehmen, ausführlich erläutert.<br />
Regelmäßige Updates durchführen<br />
Open-Source-Software besitzt zahlreiche Vorteile gegenüber kommerziellen<br />
Programmen. Einer der wichtigsten ist die schnellere Erkennung von Sicherheitslücken<br />
und die meist ebenso prompte Bereitstellung von Patches. Wichtig<br />
ist allerdings, dass Sie diese Patches auch einspielen; zahlreiche Angriffe<br />
sind nur deshalb erfolgreich, weil die zuständigen Admins dies monatelang<br />
versäumt haben. Sie sollten zumindest stets die neueste Release von Apache<br />
installieren, weil darin jeweils alle bisher bekannten Sicherheitslücken<br />
geschlossen werden. Die Devise »Never change a running system« gilt hier<br />
nicht!<br />
Allein der Wechsel von 2.0.54 zu 2.0.55 hat mehrere Sicherheitslücken<br />
geschlossen, wenn auch für unterschiedliche Plattformen. Eine vollständige<br />
Liste der Änderungen in allen Versionen von Apache 2.0, einschließlich<br />
Sicherheitslücken und Gegenmaßnahmen dazu, finden Sie in der Datei<br />
www.apache.org/dist/httpd/CHANGES_2.0. Diese Datei ist übrigens auch<br />
Teil jeder Apache-Distribution.<br />
Andererseits sollten Sie Apache 2.1/2.2 noch nicht für ein wichtiges Produktivsystem<br />
einsetzen, solange die Software sich offiziell im Betastadium befin-<br />
Sicherheit