Online lesen (PDF) - Lingoworld IT-Bücher

Weitere Magazine

Empfehlungen

Info

810 6. Auch die suexec-Group muss vorhanden sein. 7. Der suexec-User darf nicht root sein (dies würde das ganze Konzept ad absurdum führen). 8. Die numerische User-ID muss über dem einkompilierten Limit (--withsuexec-uidmin) liegen. 9. Auch die suexec-Group darf nicht root sein. 10. Die numerische Group-ID muss oberhalb des Wertes liegen, der mithilfe der Option --with-suexec-gidmin konfiguriert wurde. 11. Der Wechsel der User- und Group-ID für den suexec-Wrapper muss möglich sein. 12. Das angegebene Verzeichnis, in dem sich das auszuführende Skript befindet, muss vorhanden sein. 13. Das Verzeichnis des suexec-Skripts muss unter der Apache-DocumentRoot oder in einem gültigen Website-Verzeichnis unterhalb eines Home-Verzeichnisses liegen. 14. Das User-Verzeichnis darf nur Schreibrechte für den Eigentümer besitzen. 15. Das aufgerufene Skript selbst muss existieren. 16. Nur der Eigentümer darf über Schreibrechte an dem CGI/SSI-Skript verfügen. 17. Bei dem Skript selbst dürfen die setuid- bzw. setgid-Bits nicht gesetzt sein. 18. suexec-Benutzer und -Gruppe müssen Eigentümer des Skripts sein. 19. PATH und andere Umgebungsvariablen müssen sich vor dem Start des Skripts auf sichere Werte setzen lassen (siehe --with-suexec-safepath). 20. Das Skript muss sich tatsächlich ausführen lassen. SuexecUserGroup Benutzer- und Gruppen-ID für SuEXEC-CGI-Skripte Seit Version 2.0 Modul mod_suexec Kontext Server, Syntax SuexecUserGroup Benutzer Gruppe Standardwert nicht gesetzt Sicherheit
Diese Direktive gibt die User- und Group-ID an, unter der suexec-CGI-Skripte ausgeführt werden sollen. Wenn Sie möchten, können Sie für jeden virtuellen Host einen anderen Benutzer und eine andere Gruppe festlegen. Die gewöhnlichen Apache-Child-Prozesse, die Anfragen beantworten, werden allerdings weiterhin unter der User- und Group-ID ausgeführt, die Sie mithilfe der Direktiven User und Group festgelegt haben (siehe Kapitel 6, Grundkonfiguration). Wenn Sie dies ändern möchten, können Sie das Multiprocessing-Modul perchild verwenden, das allerdings noch experimentell ist. Hier ein Verwendungsbeispiel: SuexecUserGroup suser sgroup 18.3 mod_security Eine praktische Möglichkeit, die Sicherheit von Apache 2 weiter zu verbessern, ist die Installation des Moduls mod_security von Ivan Ristic. Dieser hat seine Erfahrungen mit der Apache-Sicherheit inzwischen zu dem empfehlenswerten Buch [RIST 2005] verarbeitet. Sie können das Modul auf der Website www.modsecurity.org herunterladen; auf der CD zum Buch finden Sie die zurzeit aktuelle stabile Version 1.9. Das Modul ist ein frei konfigurierbares Intrusion- Detection- und Filter-System für den Webserver. Die Installation als DSO-Modul unter UNIX beschränkt sich auf eine einzige Zeile: # /usr/local/apache2/bin/apxs -cia mod_security.c Für Windows gibt es ein vorkompiliertes Binary, das Sie einfach nur in Ihr modules-Verzeichnis kopieren müssen. In jedem Fall muss das DSO-Modul nun natürlich in der Konfigurationsdatei aktiviert werden. Das funktioniert nach dem üblichen Schema: LoadModule security_module modules/mod_security.so Das Modul definiert eine Reihe neuer Direktiven zur Überwachung und Abwehr von Angriffsversuchen. Eine vollständige Referenz würde zu weit führen; auf der CD zum Buch oder auf der mod_security-Website finden Sie die Originaldokumentation im <strong>PDF</strong>-Format. Hier einige kommentierte Beispiele: # Filtermechanismus einschalten SecFilterEngine On mod_security 811 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18
Seite 2 und 3:
Auf einen Blick Vorwort ...........
Seite 4 und 5:
6 3.1.3 Die Apache-Softwarelizenz .
Seite 6 und 7:
8 9.2 Basic-Authentifizierung .....
Seite 8 und 9:
14.3 Umgebungsvariablen ...........
Seite 10 und 11: 12 C Sonstige Tabellen 843 C.1 MIME
Seite 12 und 13: 14 Systeme verbessert: Als Basis de
Seite 14 und 15: 16 auf externe URLs umleiten; Apach
Seite 17 und 18: 5 Apache in Betrieb nehmen Im Grund
Seite 19 und 20: Diese Befehle werden weiter unten i
Seite 21 und 22: Zahl vor dem Doppelpunkt) können a
Seite 23 und 24: # kill -TERM 23100 HUP bewirkt ein
Seite 25 und 26: Den Start automatisieren Jedes mode
Seite 27 und 28: Verzeichnissen wie /etc oder /etc/r
Seite 29 und 30: 5.1.2 Apache unter Windows steuern
Seite 31 und 32: -V Ausgabe der Versionsinformatione
Seite 33 und 34: Abbildung 5.4 Die beiden ersten (un
Seite 35 und 36: Wiederherstellen Auf dieser Registe
Seite 37 und 38: Wenn der Apache-Monitor ausgeführt
Seite 39 und 40: Tools Hier finden Sie weitere prakt
Seite 41 und 42: Öffnen Sie also einen Browser und
Seite 43 und 44: # Freigeben der DocumentRoot Direc
Seite 45 und 46: figurationsdatei C:\Programme\Apach
Seite 47 und 48: Deny from all Die Direktive Deny st
Seite 49 und 50: 18 Sicherheit Sicherheit erreicht m
Seite 51 und 52: Passwörter müssen regelmäßig ge
Seite 53 und 54: det. Bei Erscheinen dieses Buches w
Seite 55 und 56: Modul core Kontext Server Syntax Li
Seite 57 und 58: Diese Direktive bestimmt, wie viel
Seite 59: --with-suexec-gidmin=GID Dieser Wer
Seite 63 und 64: Schließlich lohnt sich auch die Be
Seite 65 und 66: 912 beenden und neu starten 209 CGI
Seite 67 und 68: 914 NS-Record 41 PTR-Record 40 Reve
Seite 69 und 70: 916 DavGenericLockDB, Direktive 770
Seite 71 und 72: 918 DumpIOOutput 535 EnableExceptio
Seite 73 und 74: 920 SSLPassPhraseDialog 503 SSLProt
Seite 75 und 76: 922 Hooks 776 child_init 777 fixups
Seite 77 und 78: 924 IP-basierte virtuelle Hosts 558
Seite 79 und 80: 926 für Webformulare 60 MIME-Types
Seite 81 und 82: 928 Typen 141 Überblick 141 weiter
Seite 83 und 84: 930 Windows 189 Query-String 59 R r
Seite 85 und 86: 932 SSLProxyCARevocationPath, Direk
Seite 87: 934 GET-Versand 59 Webformulare man
Alle anzeigen

Online lesen (PDF) - Lingoworld IT-Bücher

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?