wiki:sicherheit:apache2

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Letzte ÜberarbeitungBeide Seiten der Revision
wiki:sicherheit:apache2 [2014/03/16 15:25] – [Forward Secrecy] wikiadminwiki:sicherheit:apache2 [2014/03/21 11:54] – [allgemeine Konfiguration] wikiadmin
Zeile 6: Zeile 6:
 Zunächst sollte man dem Apache2 ein paar grundsätzliche Flausen abgewöhnen. Warum verrät er z.B. bei jeder Anfrage seine Versionsnummer und Patchstand? Zunächst sollte man dem Apache2 ein paar grundsätzliche Flausen abgewöhnen. Warum verrät er z.B. bei jeder Anfrage seine Versionsnummer und Patchstand?
  
 +===== Geschwätzigkeit abstellen =====
 +Bei falsch aufgerufenen Seiten (Error 404) verkündet der Apache, welche Version er und ein paar andere Programme hat.
 +
 +Den Umfang der Auskünfte (Programmnamen, Versionsnummern) stellt man ab, indem man in der /etc/apache/conf.d/security folgendes setzt
 +<file>ServerTokens Prod</file>
 +
 +Um die Anzeige komplett zu unterdrücken, setzt man den folgenden Wert
 +<file>ServerSignature Off</file>
 +
 +===== Webroot absichern =====
 +
 +man muss sicherstellen, dass alle Inhalte, die außerhalb des Web-roots liegen, nicht verbreitet werden. Dazu muss man in jedem virtuellen Host folgendes eintragen:
 +<file>
 +<Directory />
 +  Order Deny,Allow
 +  Deny from all
 +  Options None
 +  AllowOverride None
 +</Directory>
 +</file>
 +
 +===== Optionen deaktivieren =====
 +
 +Grundsätzlich sollte man in jedem virtuellen Host alle Optionen deaktivieren, wenn man sie nicht braucht.
 +<file>
 +Options none
 +</file>
 +
 +Sollte man doch Optionen einschalten müssen, sollten diese auf ein Minimum reduziert werden.
 ====== Forward Secrecy ====== ====== Forward Secrecy ======
  
  • wiki/sicherheit/apache2.txt
  • Zuletzt geändert: 2015/10/23 10:32
  • von wikiadmin