Flagge Deutschland Flagge England Flagge Frankreich

High-End Linux-Consulting und Security

Systemadministration
Feeds   Linux-Videos
  RSS Feed Linux Videos
  Linux-Tutorials
  RSS Feed Linux System Administration
  Atom Feed Linux System Administration

Top Downloads   Anleitung Snort-IPS
  RPM NRPE-Server
  RPM NRPE-Plugin
  Cacti-Handbuch
  Cacti-Video
  Dumpsplit
  Allrights
  Whoisonline

Kontact   Email: Norbert Klein
  Tel: 49 (0)1724728123
  ICQ: 218595557
  Google Maps


Härtung von Apache-Webservern

Je nach Bedarf kann die Härtung eines Apache-Webservers verschiedene Ausmaße annehmen. Von der minimalen Absicherung mit wenigen aber effektiven Mitteln bis zur totalen, maximal möglichen Absicherung einschließlich zusätzlicher Software. Das richtige Verhältnis zwischen Nutzen und Aufwand richtet sich nach dem jeweils vorliegenden Bedrohungsszenario.

Die folgende Liste gibt einen Überblick über mögliche Maßnahmen zur Härtung und Absicherung eines Apache-Webservers auf einem Linux-System:

1. Absicherung des Betriebssystems in Bezug auf den Webserver.
Separate Partitionen und Ordnerstrukturen anlegen.
Separate Benutzer/Gruppen anlegen und sicher konfigurieren.
Datei- und Verzeichnisrechte und Besitzer setzen.
World-writeable Dateien entfernen.
Prüfen wo suid-Bits und sgid-Bits gesetzt sind.
Auf ungültige UIDs/GIDs prüfen.
...

2. Härtung der Konfiguration des Apaches und seiner Module.
Download und Verifizierung der aktuellsten Sourcen aller beteiligten Produkte.
Patchen der Sourcen.
Sicherheitsrelevante Änderungen im Source-Code vornehmen.
Bau des Apaches und seiner Module im Hinblick auf maximale Sicherheit.
Sichere Konfiguration der beteiligten Produkte und Module.
Erstellung aller notwendigen CAs und Zertifikate.
Notifications für verdächtige Ereignisse (z.b. Apache-Neustart) einrichten.
...

3. Einsatz von Modulen zur weiteren Absicherung
Hauptsächlich mod_security als Web-Application-Firewall und mod_evasive sorgen für einen starken Schutz, sofern sie richtig konfiguriert und individuell an den Webserver und dessen Anwendungen, z.B Confixx und PLesk, angepasst werden.
Aber es ist noch mehr möglich. Für maximale Härtung eines Webservers kann man mod_selinux einsetzen. Dies ist inzwischen sogar in Kombination mit PostgreSQL (SE-PostgreSQL) möglich.
Selbst wenn ein Einbrecher es schaffen sollte über den Webserver root zu werden, kann er aus dem Webserver-Kontext nicht ausbrechen und der Schaden bleibt somit auf die Reichweite des Webserver-Kontextes beschränkt. Es ist sogar möglich bei mehreren Apache-Instanzen jeden einzelnen in einem eigenen Kontext laufen zu lassen, sodass die Apache-Prozesse voneinander abgeschottet sind.
...

4. Zusätzliche Maßnahmen, die das Gesamtsystem betreffen.
Eine restriktive Firewall mit iptables einrichten.
Logwatch für einen täglichen Report über das System einrichten.
rkhunter zur Prüfung auf Rootkits einrichten.
Bei Bedarf zusätzlich noch Samhain und Snort als IDS einsetzen.
SELinux verwenden.
...

5. Penetrations- und Lasttests
Mit nikto, CIS-Score-tool, nmap, OpenVAS.
...