Online lesen (PDF) - Lingoworld IT-Bücher

Weitere Magazine

Empfehlungen

Info

802 ScriptAlias-Verzeichnisse für CGI verwenden Es ist ein relativ großes Sicherheitsrisiko, Verzeichnisse unterhalb der DocumentRoot für CGI-Anwendungen freizuschalten. Sie sollten deshalb nach Möglichkeit ScriptAlias-Verzeichnisse verwenden. In manchen Situationen lässt es sich allerdings nicht verhindern, CGI innerhalb normaler Site- Verzeichnisse zu aktivieren – das ist beispielsweise der Fall, wenn Sie Hosting-Dienstleistungen mit virtuellen Hosts anbieten. Näheres zu diesem Thema finden Sie in Kapitel 14, CGI. Eine separate User- und Group-ID für Apache benutzen Auf UNIX-Systemen muss Apache unter der User-ID root gestartet werden, beispielsweise weil der Zugriff auf die TCP-Ports 0 bis 1023 anders nicht möglich ist. Die Child-Prozesse, die Anfragen bearbeiten, werden allerdings unter den IDs ausgeführt, die Sie mithilfe der Direktiven User und Group festgelegt haben. Achten Sie darauf, dass dieser Benutzer und diese Gruppe speziell für Apache angelegt werden. Das Benutzerkonto sollte keine Möglichkeit zur persönlichen Anmeldung besitzen; sogar das Passwort sollten Sie nach der Eingabe vergessen. Übrigens besteht auch unter Windows die Möglichkeit, einen separaten Benutzer für den Betrieb von Apache einzurichten. Das Verfahren wurde in Kapitel 5, Apache in Betrieb nehmen, ausführlich erläutert. Regelmäßige Updates durchführen Open-Source-Software besitzt zahlreiche Vorteile gegenüber kommerziellen Programmen. Einer der wichtigsten ist die schnellere Erkennung von Sicherheitslücken und die meist ebenso prompte Bereitstellung von Patches. Wichtig ist allerdings, dass Sie diese Patches auch einspielen; zahlreiche Angriffe sind nur deshalb erfolgreich, weil die zuständigen Admins dies monatelang versäumt haben. Sie sollten zumindest stets die neueste Release von Apache installieren, weil darin jeweils alle bisher bekannten Sicherheitslücken geschlossen werden. Die Devise »Never change a running system« gilt hier nicht! Allein der Wechsel von 2.0.54 zu 2.0.55 hat mehrere Sicherheitslücken geschlossen, wenn auch für unterschiedliche Plattformen. Eine vollständige Liste der Änderungen in allen Versionen von Apache 2.0, einschließlich Sicherheitslücken und Gegenmaßnahmen dazu, finden Sie in der Datei www.apache.org/dist/httpd/CHANGES_2.0. Diese Datei ist übrigens auch Teil jeder Apache-Distribution. Andererseits sollten Sie Apache 2.1/2.2 noch nicht für ein wichtiges Produktivsystem einsetzen, solange die Software sich offiziell im Betastadium befin- Sicherheit
det. Bei Erscheinen dieses Buches wird es aber wahrscheinlich bereits die erste Stable Release von Apache 2.2 geben. Logdateien auswerten Unregelmäßigkeiten in Ihren Logdateien deuten oft auf Angriffsversuche hin. Sie sollten diese sorgfältig untersuchen und dann gegebenenfalls Schutzmaßnahmen gegen eine bestimmte Art von Attacken einleiten. Alles Wichtige über Logdateien steht in Kapitel 11, Logging. Sicherheits-Mailinglisten abonnieren Als verantwortungsvoller Administrator sollten Sie Mailinglisten zum Thema Sicherheit <strong>lesen</strong>, in denen regelmäßig über Sicherheitslücken und eventuelle Patches berichtet wird. Die bekannteste derartige Liste ist Bugtraq (mittlerweile aufgeteilt in zahlreiche Spezialgebiete). Sie finden sie auf der Site www.securityfocus.com. Eine recht brauchbare wöchentliche Übersicht von Sicherheitsthemen bietet darüber hinaus der Heise Security Newsletter. Sie können ihn unter www.heisec.de abonnieren. 18.2.2 Sicherheitsrelevante Direktiven Es gibt einige Apache-Konfigurationsdirektiven, die indirekt die Sicherheit betreffen. Sie schützen insbesondere vor Denial-of-Service-Attacken, indem sie verschiedene Aspekte der HTTP-Anfrage sowie der Ressourcen-Nutzung einschränken. LimitInternalRecursion Maximale Anzahl interner Weiterleitungen Modul core Kontext Server, Syntax LimitInternalRecursion Anzahl [Anzahl] Standardwert 10 Diese Direktive verhindert, dass Weiterleitungen bzw. Unteranfragen in eine Endlosschleife geraten; nach der angegebenen Höchstzahl von Umleitungen wird die Anfrage verworfen. Der erste Wert gilt für Weiterleitungen. Wenn Sie einen zweiten Wert angeben, wird dieser für verschachtelte Unteranfragen verwendet; ansonsten gilt der erste Wert für beide. Apache-Sicherheit 803 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18
Seite 2 und 3: Auf einen Blick Vorwort ...........
Seite 4 und 5: 6 3.1.3 Die Apache-Softwarelizenz .
Seite 6 und 7: 8 9.2 Basic-Authentifizierung .....
Seite 8 und 9: 14.3 Umgebungsvariablen ...........
Seite 10 und 11: 12 C Sonstige Tabellen 843 C.1 MIME
Seite 12 und 13: 14 Systeme verbessert: Als Basis de
Seite 14 und 15: 16 auf externe URLs umleiten; Apach
Seite 17 und 18: 5 Apache in Betrieb nehmen Im Grund
Seite 19 und 20: Diese Befehle werden weiter unten i
Seite 21 und 22: Zahl vor dem Doppelpunkt) können a
Seite 23 und 24: # kill -TERM 23100 HUP bewirkt ein
Seite 25 und 26: Den Start automatisieren Jedes mode
Seite 27 und 28: Verzeichnissen wie /etc oder /etc/r
Seite 29 und 30: 5.1.2 Apache unter Windows steuern
Seite 31 und 32: -V Ausgabe der Versionsinformatione
Seite 33 und 34: Abbildung 5.4 Die beiden ersten (un
Seite 35 und 36: Wiederherstellen Auf dieser Registe
Seite 37 und 38: Wenn der Apache-Monitor ausgeführt
Seite 39 und 40: Tools Hier finden Sie weitere prakt
Seite 41 und 42: Öffnen Sie also einen Browser und
Seite 43 und 44: # Freigeben der DocumentRoot Direc
Seite 45 und 46: figurationsdatei C:\Programme\Apach
Seite 47 und 48: Deny from all Die Direktive Deny st
Seite 49 und 50: 18 Sicherheit Sicherheit erreicht m
Seite 51: Passwörter müssen regelmäßig ge
Seite 55 und 56: Modul core Kontext Server Syntax Li
Seite 57 und 58: Diese Direktive bestimmt, wie viel
Seite 59 und 60: --with-suexec-gidmin=GID Dieser Wer
Seite 61 und 62: Diese Direktive gibt die User- und
Seite 63 und 64: Schließlich lohnt sich auch die Be
Seite 65 und 66: 912 beenden und neu starten 209 CGI
Seite 67 und 68: 914 NS-Record 41 PTR-Record 40 Reve
Seite 69 und 70: 916 DavGenericLockDB, Direktive 770
Seite 71 und 72: 918 DumpIOOutput 535 EnableExceptio
Seite 73 und 74: 920 SSLPassPhraseDialog 503 SSLProt
Seite 75 und 76: 922 Hooks 776 child_init 777 fixups
Seite 77 und 78: 924 IP-basierte virtuelle Hosts 558
Seite 79 und 80: 926 für Webformulare 60 MIME-Types
Seite 81 und 82: 928 Typen 141 Überblick 141 weiter
Seite 83 und 84: 930 Windows 189 Query-String 59 R r
Seite 85 und 86: 932 SSLProxyCARevocationPath, Direk
Seite 87: 934 GET-Versand 59 Webformulare man

Online lesen (PDF) - Lingoworld IT-Bücher

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?