5.5. Sicherung des Apache HTTP Server

Das Apache HTTP Server ist einer der stabilsten und sichersten Services, die mit Red Hat Enterprise Linux ausgeliefert werden. Es gibt eine unglaubliche Anzahl von Optionen und Methoden, um Apache HTTP Server — zu sichern, zu viele, um sie hier im Detail zu beschreiben.

Vor dem Konfigurieren von Apache HTTP Server sollten Sie die verfügbare Dokumentation für diese Applikation lesen. Dies umfasst das Kapitel Apache HTTP Server im Red Hat Enterprise Linux Referenzhandbuch, das Kapitel Apache HTTP Server Configuration im Red Hat Enterprise Linux Handbuch zur System-Administration und die Handbücher zu Stronghold, verfügbar unter http://www.redhat.com/docs/manuals/stronghold/.

Unten finden Sie eine Liste mit Konfigurationsoptionen, die Administratoren nur mit Vorsicht verwenden sollten.

5.5.1. FollowSymLinks

Diese Direktive ist standardmäßig aktiviert, seien Sie also vorsichtig, wenn Sie symbolische Links in den Dokument-Root des Webservers erstellen. Es ist zum Beispiel keine gute Idee, einen symbolischen Link zu / zu setzen.

5.5.2. Die Indexes Direktive

Diese Direktive ist standardmäßig aktiviert, ist jedoch unter Umständen nicht wünschenswert. Wenn Sie nicht möchten, dass Benutzer Dateien auf dem Server durchsuchen, ist es sinnvoll, diese Direktive zu entfernen.

5.5.3. Die UserDir Direktive

Die UserDir Direktive ist standardmäßig deaktiviert, da sie das Bestehen eines Benutzeraccounts im System bestätigen kann. Wenn Sie das Browsen von Verzeichnissen auf dem Server durch Benutzer erlauben möchten, sollten Sie die folgenden Direktiven verwenden:

UserDir enabled 
UserDir disabled root

Diese Direktiven aktivieren das Browsen von Verzeichnissen für alle Benutzer-Verzeichnisse außer /root. Wenn Sie Benutzer zu der Liste deaktivierter Accounts hinzufügen möchten, können Sie eine durch Leerstellen getrennte Liste der Benutzer in die Zeile UserDir disabled einfügen.

5.5.4. Entfernen Sie nicht die IncludesNoExec-Direktive

Standardmäßig kann das serverseitige Includes-Modul keine Befehle ausführen. Es wird davon abgeraten, diese Einstellungen zu ändern, außer wenn unbedingt notwendig, da dies einem Angreifer ermöglichen könnte, Befehle auf dem System auszuführen.

5.5.5. Schränken Sie Berechtigungen für ausführbare Verzeichnisse ein

Stellen Sie sicher, dass Sie Schreibberechtigungen für Verzeichnisse, die Skripte oder CGIs enthalten, nur für den Root-Benutzer vergeben. Dies erreichen Sie durch die folgenden Befehle:

chown root <directory_name>
chmod 755 <directory_name>

Prüfen Sie außerdem, dass jegliche Skripte, die Sie ausführen, auch wie beabsichtigt funktionieren, bevor sie in Produktion gegeben werden.