[Howto] Secure apache2 (0.1)

[Ta1lor]

Tutorial wird stätig erweitert


Secure Apache2
Vorraussetzungen: Ein paar Apache Kenntnisse (Vhosts erstellen usw.)
apache2
mod_php5
Linux Kenntnisse
Eine Shell

Wie jeder weiß ist die Sicherheit ein wichtiger Punkt bei der Serveradministration. Mit einer standard Apache2 Konfiguration ist es leicht möglich verwundbare Stellen zu finden.
Also fangen wir mal an, ich gehe wieder mal von einem Debian 6.0.3 und einer neuen apache2 installation aus.

Konfigurationsdateien
Als aller erstes müssen die Default Dateien weg, wir wollen ein sauberes System.
Das heißt unter

Code:

/etc/apache2/sites-available/

und

Code:

/etc/apache2/sites-enabled/

löschen wir die die Dateien (000-default, oder nur default). Dann erstellt ihr euch eure Vhosts neu und bennennt diese (hoffentlich) auch sinnvoll um einfach den Überblick zu behalten. Wie man einen Virtualhost erstellt kann ich noch mal als dediziertes Tutorial zeigen.
unter

Code:

/etc/apache2/conf.d/security

findet ihr die Einstellungen für die Anzeige des Servers.
Dort ändert ihr:

Code:

ServerTokens Prod
ServerSignature Off

Das hat den Hintergrund, dass bei einem Request nicht die genaue Apache Version mitgesendet wird und es einem Angreifer schwerer (nicht unmöglich) macht die Informationen zu sehen.
Außerdem kann man dort die Fehlerseiten ausstellen und auf die Startseite, oder eine frei wählbare Seite weiterleiten:

Code:

ErrorDocument 500 /
ErrorDocument 404 /
ErrorDocument 403 /

Hier noch zwei kleine seds um die apache2.conf von den Kommentaren zu entfernen und damit Übersicht wieder herzustellen:

Code:

sed -i 's/^#.*//g' /etc/apache2/apache2.conf && sed -i '/^$/d' /etc/apache2/apache2.conf

Module

Module vom apache sind immer so eine Sache, allgemein gilt: Module können viel, aber kosten auch viel Performance und/oder Sicherheit.

Module liegen unter

Code:

/etc/apache2/mods-enabled

bzw.

Code:

/etc/apache2/mods-available

und können mit a2enmod oder a2dismod, an oder ausgeschaltet werden.

Module die ausgeschaltet sollten sein:

Code:

Info
userDir
Status (Oder nur localhost zulassen)

Die foldenden Module sollten nur mit entsprechender Begründung aktiv sein:

Code:

Dav
Autoindex
Proxy
ProxyConnect

Mit dem Modul ModHeader kann man man durch einen eintrag in der Apache Konfiguration ungewollte Headerdurchgaben (z.B. von PHP) deaktivieren. Man kann aber auch in PHP direkt ausstellen, dass ein Header gesendet wird.
Für ModHeader:

Code:

Header unset "X-Powered-By"

Das ist erst mal das Grundlegende für einen relativ sicheren Apache. Ich werde bei Zeit das ganze aktualiseren, z.B die richtigen Rechte für die Ordner oder wie man Apache in einen chroot zwängt.
Bei Fragen oder Problemen könnt ihr euch wie immer bei mir melden.