Saturday, March 21st 2009, 7:28pm
Tags
Apache,
apache2,
chroot,
exploit,
sicherheit,
SVN,
verstecken
Abstract
Apache ist sehr weit verbreitet und sicher. Jedoch plaudert er in der Grundkonfiguration ziemlich viele Informationen aus.
Article
/etc/apache2/apache2.conf
Keine Software ist perfekt und selbst nach Bekanntwerden von Sicherheitslücken kann es Tage vergehen, bis das Problem gelöst wird. Daher sollte man sich nicht damit ausweisen welche Software man in welchen Versionen installiert hat.
Eine kurze Google Suche nach Softwareversion und dem Begriff "exploit" und Angreifer erreichen schnell Zugriff.
Um Apache etwas stiller zu machen nehmt ihr folgende Einstellungen vor:
|
Source code
|
1
2
|
ServerSignature Off
ServerTokens Prod
|
Der Apache wird normalerweise so konfiguriert, dass er unter einem eigenen Benutzer läuft. Damit hat er keine Zugriffsrechte auf kritische Verzeichnisse.
Unter Unix-Systemen gibt es noch die Möglichkeit einen Server zusätzlich mit chroot abzusichern. Dies beschränkt den Apache in seinem Zugriff auf einen Teil des Dateibaums. Dies geschieht dadurch, dass der Document Root des Apache die Wurzel des virtuellen Dateibaums wird.
Viele Firmen nutzen SVN um ihre Dateien auf die Produktivsysteme zu deployen. Damit die brisanten Informationen der versteckten SVN Ordner nicht abrufbar sind, sollte man diese über die Apache Konfiguration global sperren.
|
|
Source code
|
1
2
3
4
|
<DirectoryMatch "/\.svn/">
Order allow,Deny
Deny from all
</DirectoryMatch>
|
Request deletion
report critical content
