Der Port 80 ist ein Tor zur Welt. Hier nimmt üblicherweise ein Webserver wie der Apache Anfragen entgegen und verarbeitet diese. Über diesen Port können aber auch Eindringlinge ins System gelangen. Die docken mit ihren kriminellen Ziele häufig nicht am Webserver an, sondern bei Add-ons, CGI-Skripten oder dem eigentlichen Betriebssystem. Damit das nicht passiert oder zumindest sehr unwahrscheinlich ist, achten Sie darauf, den Apache entsprechend resistent zu machen. Dazu gibt es verschiedene Möglichkeiten.
- Webserver unter Linux absichern
Überblick: Im Apache-Wiki ist für jede Distribution und jedes Betriebssystem aufgeführt, wo die Konfigurationsdaten des Webserver zu finden sind. - Webserver unter Linux absichern
Arbeitet auch ohne weitreichende Rechte: Ein CMS will üblicherweise Zugriff auf verschiedene Verzeichnisse und bildet so ein Sicherheitsrisiko. Dabei kann beispielsweise die Joomla-Konfiguration auch per SSH auf den Server geladen werden. - Webserver unter Linux absichern
SSI: Der Wikipedia-Eintrag erläutert die Befehle include, set, echo und if, die man in SSI einsetzen kann. - Webserver unter Linux absichern
Wer CGI-Skripte wie dieses von der Website selfhtml.org nutzen will, sollte genau wissen, was der – in diesem Fall – Perl-Code auf Ihrem Server macht. - Webserver unter Linux absichern
Wann und wie einsetzen? Das Apache-Tutorial auf http://httpd.apache.org/docs/2.2/howto/htaccess.html erklärt den sinnvollen Einsatz von .htaccess-Dateien. - Webserver unter Linux absichern
Mein Webserver! Mit der Direktive „Listen 127.0.0.1:80“ sind nur Zugriffe von Localhost erlaubt. - Webserver unter Linux absichern
Immer gut informiert: Auf der „Apache HTTP Server Announcements List“ werden neue Sicherheitslücken und deren -behebung als erstes dokumentiert.
Wenn Sie anderen Benutzern außer root erlauben, die Rechte von Dateien zu ändern, die sonst nur root ausführen darf, können Sie in Kalamitäten kommen. Das gilt für Unix generell. Auf den Webserver Apache bezogen heißt das: Ein Angreifer könnte die Programmdatei so ändern, dass beim nächsten Start ein anderes Programm abläuft, Log-Daten überschreibt oder löscht. In unserem Workshop zeigen wir, wie Sie Webserver und Mail-Systeme richtig gegen Angriffe absichern.