PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : suche ausführliche dokumentation wie man den apache2 absichert



sono
10.10.2005, 10:55
Moin.

Ich glaube die Überschrift sagt alles .

Ich habe bereits einige Dokumente wie man Apaches sichert gelesen , aber irgendwie waren das meist 2 bis 6 seiten deren bester hinweis es war apache nicht als root laufen zu lassen und iptables vornedran zu hängen , den Server regelmäsig upzudaten und die Logfiles zu lesen.

Kennt jeman eine ausführliche Seite die sich damit beschäftigt ?
Die docs von apache 2 habe ich schon durch , ich bin mir nicht ganz sicher ob das schon alles sein soll was man machen kann .

Gruß Sono

Wolfgang
10.10.2005, 11:16
Hallo
Du solltest dir wohl erstmal selbst die Frage stellen, ob du nur den Webserver absichern willst, oder einen kompletten Server.
Denn losgelöst werden kann solche Betrachtungsweise nicht voneinander.
Der Webserver (e.g. Apache) bietet ja nur eine Angriffsfläche von vielen möglichen.
Erwarte auch keine allgemeine Lösung, da sowas immer den gegebenen Umständen anzupassen ist.

Gruß Wolfgang

Nachtrag:
Hier noch ein paar Tipps, die dich eventuell interessieren könnten:
http://www.chupame.ch/file.php?file=hardening.txt

sono
10.10.2005, 12:01
Ich hab zum sichern von Servern im allgemeinene schon einige Dokus durch.

Einmal den wälzer über Debian absichern , dann noch ein bücher über Linux absichern.

Weiter beschäftige ich mich momentan mit dem debian hardened Projekt , du kannst dir recht sicher sein , dass das Linux selbst zumindest überdurchschnittlich gesichert ist .

Dann laufen noch IPtables ( Eigenes Script ).

Von einigen (momentan noch nur einem) Server hab ich selbst debianpackete gebaut , da mir die debianpacket nicht gefallen haben.
Auf dem Server läuft auser dem was benötigt wird nichts .
Da sind genau die Ports offen die benötigt werden.

Der Server ist zwar wohl nicht sicher in dem Sinn , aber ich glaube sagen zu können , dass ich den Aufwand etwas anzustellen etwas erhöht habe.

Das bringt mir allerding nichts wenn die Dienste die ich anbiete offen stehen wie Scheunentore und stolz prangern ich bin Dienst X,Y Expoilts gegen mich bitte http://blabla.hack .

Im Moment such ich gerade die Option wie ich beim Apache eine gefakte Version ausgeben lassen kann, aber ich bin mal wieder zu doof zum googeln.

Danke für den Link , den kannte ich nocht nicht, gleich mal reinziehen.

Gruß Sono

Wolfgang
10.10.2005, 12:09
Hallo
ich wollte ja auch nur darauf verweisen, dass Sicherheit immer vom Zusammenspiel der installierten und laufenden Programme nebst Umgebeung und Anforderungen zu betrachten ist.
Aber bei deinem Banner kann ich dir helfen. ;)
http://httpd.apache.org/docs/1.3/mod/core.html#servertokens
Gruß Wolfgang

sono
10.10.2005, 13:09
Wenn ich mich damit noch nicht beschäftigt hätte wäre es auch ein guter Tipp gewesen , was es ja auch ist ( nur für mich nicht wirklich neu ).

Ich konnte in dem Link denn du gepostet hast noch 2 Kleinigkeiten entdecken die ich gebrauchen konnte , man lernt also nie aus . Danke nochmal.

Auch für den Link zum Version ändern.

Gruß Sono

lordlamer
10.10.2005, 13:13
hi

ich frage mal weiter ;)

welche module verwendest du den im apache?

also wenn du da zb php mit verwendest musst du natürlich dafür sorgen das die phpscripte keinen schaden anrichten können. ob nun vom web aus oder über deine "kunden".

was hast du den alles laufen oder was willst du machen mit dem server?

mfg frank

sono
10.10.2005, 13:46
Security by Obscurity ist auf jeden Fall eine schlechte Idee imho .

Hm du hast schon gelesen , dass das nicht das einzige ist oder ?
Mal ganz im ernst , wer auf einem Produktionsserver die Korrekte Version seiner Software stehen hat , der hat das Prinzip vom absichern eines Sytems nicht verstanden.

Wenn er das verstecken Version als einzigen Schutz hat , allerdings auch nicht, is klar . Aber wenn ich meine Version rauschreien dann ist das für jedes Scriptkiddie schonmal möglich das Korrekte Exploit für die Version zu besorgen sollte gerade eins existieren.


welche module verwendest du den im apache?

also wenn du da zb php mit verwendest musst du natürlich dafür sorgen das die phpscripte keinen schaden anrichten können. ob nun vom web aus oder über deine "kunden".

was hast du den alles laufen oder was willst du machen mit dem server?

bis jetzt noch apt-get install apache2 libapache2-mod-php5.0

Nun Momentan hab ich noch recht wenig Anhung vom Apache. Ich kann zwar ein paar virtuelle Verzeichniss einrichten aber wie ich den Apache für ein Mehrbenutzersystem wirksam absichern kann weiß ich nicht .

Deshalb poste ich ja hier .

Dein Post hört sich so an als ob du da schon gewisse erfahrungen hast, hast du nem Tipp zu guter Lektüre zu dem Thema die auch für Apache 2 noch gültig ist ?

Das meiste was ich habe ist für den 1.3 er und ich weiß nicht genau inwieweit das noch gültig ist .

Auf dem Server hätte ich geren mal x verschiedene Seiten gehosten von Y vielen Menschen , die sich gegen seitig natürlich nicht in die Suppe spucken dürfen können .

Das mit der Rechteverwaltung , das einer nicht bei dem anderen rein kann , mit ftp usw ist kein Problem.

Nur wie ich vor allem Unfung von PHP Scripten aus vermeiden kann (auser jetzt safemode ) weiß ich noch nicht .

Gruß Sono