Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
wiki:sicherheit:apache2 [2014/03/16 15:25] – [Forward Secrecy] wikiadmin | wiki:sicherheit:apache2 [2015/10/23 10:32] (aktuell) – [Forward Secrecy] wikiadmin | ||
---|---|---|---|
Zeile 6: | Zeile 6: | ||
Zunächst sollte man dem Apache2 ein paar grundsätzliche Flausen abgewöhnen. Warum verrät er z.B. bei jeder Anfrage seine Versionsnummer und Patchstand? | Zunächst sollte man dem Apache2 ein paar grundsätzliche Flausen abgewöhnen. Warum verrät er z.B. bei jeder Anfrage seine Versionsnummer und Patchstand? | ||
+ | ===== Geschwätzigkeit abstellen ===== | ||
+ | Bei falsch aufgerufenen Seiten (Error 404) verkündet der Apache, welche Version er und ein paar andere Programme hat. | ||
+ | |||
+ | Den Umfang der Auskünfte (Programmnamen, | ||
+ | < | ||
+ | |||
+ | Um die Anzeige komplett zu unterdrücken, | ||
+ | < | ||
+ | |||
+ | ===== Webroot absichern ===== | ||
+ | |||
+ | man muss sicherstellen, | ||
+ | < | ||
+ | < | ||
+ | Order Deny,Allow | ||
+ | Deny from all | ||
+ | Options None | ||
+ | AllowOverride None | ||
+ | </ | ||
+ | </ | ||
+ | |||
+ | ===== Optionen deaktivieren ===== | ||
+ | |||
+ | Grundsätzlich sollte man in jedem virtuellen Host alle Optionen deaktivieren, | ||
+ | < | ||
+ | Options none | ||
+ | </ | ||
+ | |||
+ | Sollte man doch Optionen einschalten müssen, sollten diese auf ein Minimum reduziert werden. | ||
====== Forward Secrecy ====== | ====== Forward Secrecy ====== | ||
Zeile 140: | Zeile 169: | ||
- Leider Ist in der obigen Regel nicht der " | - Leider Ist in der obigen Regel nicht der " | ||
- RC4-Verschlüsselung gilt nicht mehr als sicher und kann mit '' | - RC4-Verschlüsselung gilt nicht mehr als sicher und kann mit '' | ||
- | - Aufgrund von Inkompatibilität habe ich mich dazu entschieden, | + | - Aufgrund von Inkompatibilität habe ich mich dazu entschieden, |
- | < | + | - Aufgrund von aktuellen Ereignissen (DH-Logjam Attacke) kann die obige CipherSuite auch nicht mehr als Maß aller Dinge betrachtet werden. Eine Beschreibung der zusätzlichen Absicherung sowie einer SSLCipherSuite ist [[https:// |
- | SSLCipherSuite EECDH+AES: | + | |
- | </ | + | |
====== HTTP Strict Transport Security ====== | ====== HTTP Strict Transport Security ====== | ||