Apache Security – 10 Tipps für eine sichere Installation

Apache ist eine der beliebtesten Webserver-Anwendungen, die heute verwendet werden, und das schon seit langem. Es ist Open Source und kann kostenlos heruntergeladen werden, was es als Option für diejenigen sehr attraktiv macht, die ihre Websites mit einem begrenzten Budget hosten möchten.

Aber Apache fällt auch unter die Kategorie der „allgemeinen“ Software, was bedeutet, dass es von jedem verwendet werden kann, der Zugriff auf seinen Code oder seine Installationsskripte hat. Dadurch sind Sie potenziellen Sicherheitsrisiken ausgesetzt, wenn Ihre Website nicht von Anfang an sicher eingerichtet ist.

In diesem Artikel gehen wir auf 10 Tipps zur Sicherung Ihrer Apache-Installation ein, damit Sie später keine Probleme mehr haben – lesen Sie weiter!

Apache Security – 10 Tipps für eine sichere Installation

1) Deaktivieren Sie die server-info Direktive

Wenn Sie die Direktive in httpd.conf aktivieren und Ihre Apache-Konfigurationsseite besuchen, werden Sie darüber informiert, was an diesem Ende passiert!

Dazu können vertrauliche Informationen zu den Einstellungen Ihres Servers gehören, z. B. welche Softwareversion Sie verwenden und wo auf dem Computer diese Dateien gespeichert sind.

Anhand dieser Informationen könnte ein Angreifer herausfinden, ob auf Ihrem Server eine anfällige Version von OpenSSL ausgeführt wird.

Beheben Sie dieses Problem, indem Sie das Modul mod_info in der Apache-Konfigurationsdatei httpd.conf entfernen: #LoadModule info_module modules/mod_info.so

2) Deaktivieren Sie die Server-Status-Direktive

Die Direktive listet Informationen über die Leistung der Server Ihrer Anwendung auf, wie z. B. ihre Betriebszeit und Auslastung. Diese Informationen können von Angreifern verwendet werden, um festzustellen, welche Ihrer Server am stärksten ausgelastet und am anfälligsten sind. Sie können dies beheben, indem Sie es in der Apache-Konfigurationsdatei httpd.conf auskommentieren:

 #<Standort /Serverstatus>
# SetHandler-Serverstatus
# Auftrag verweigern, zulassen
# Abgelehnt von allen
# Von .ihre_domain.com zulassen
#</Standort>

3) Deaktivieren Sie die ServerSignature-Direktive

Die Direktive ServerSignature ist eine großartige Möglichkeit, zusätzliche Informationen über Ihren Webserver hinzuzufügen, einschließlich der Version von Apache, die Sie ausführen, und auf welchem ​​​​Betriebssystem.

Apache benötigt diese Anweisung, um deaktiviert zu werden, damit Sie keine vertraulichen Informationen auf Ihrem Computer sehen können. Verwenden Sie ServerSignature Off in Ihrer Apache-Konfigurationsdatei httpd.conf.

4) Setzen Sie die ServerTokens-Direktive auf Prod

Die ServerTokens-Direktive wird verwendet, um eine Reihe von Informationen im Antwort-Header-Feld zurückzusenden. Eine Apache ServerTokens-Anweisung kann viele verschiedene Syntaxen haben, einschließlich der in der Dokumentation aufgeführten.

Wenn die ServerTokens-Direktive auf Prod gesetzt ist, wird nur Apache in Server-Antwort-Headern angezeigt. Tun Sie dies, indem Sie ServerTokens Prod zu Ihrer Apache-Konfigurationsdatei httpd.conf hinzufügen.

5) Deaktivieren Sie die Verzeichnisliste

Die Verzeichnisliste zeigt Ihnen jede Datei im System, sodass ein Angreifer leicht alle sensiblen Informationen einsehen kann, die er möglicherweise haben möchte. Das Aktivieren dieser Option ist das Risiko nicht wert!

Sie sollten immer vorsichtig sein, wenn es um den Quellcode Ihrer Anwendung geht. Ein Angreifer, der Zugriff erhält, könnte diese Informationen möglicherweise für böswillige Zwecke verwenden, z. B. um Sicherheitslücken zu analysieren oder mehr Details darüber zu erhalten, was Sie innerhalb des Programms selbst tun.

Legen Sie die Options-Direktive in der Apache-Datei httpd.conf fest:

 <Verzeichnis /Ihre/Website/Verzeichnis>
Optionen -Indizes
</Verzeichnis>

6) Aktivieren Sie nur die erforderlichen Module

Der Apache HTTP Server ist ein leistungsstarkes Tool, aber es kann auch überwältigend sein, wenn es nicht richtig konfiguriert ist. Es gibt viele vorinstallierte und standardmäßig aktivierte Module, die Sie möglicherweise verwenden möchten oder nicht. Stellen Sie daher vor der Installation sicher, dass diese Optionen in Ihrer Umgebung das tun, was sie benötigen!

Aber was würde passieren, wenn Sie all diese Module aktivieren würden, ohne an ihre Auswirkungen auf httpd zu denken? Nun, es könnte schwerwiegende Folgen haben. Das Aktivieren dieser Module ist wie das Öffnen des Servers für Sicherheitsprobleme, die möglicherweise bestehen oder in Zukunft entdeckt werden.

Eine der besten Möglichkeiten, um sicherzustellen, dass Sie alle erforderlichen Module für Ihre Website installiert haben, ist ein Blick in die Apache-Dokumentation. Stellen Sie sicher, dass Sie nur die Module verwenden, die Sie benötigen, und deaktivieren Sie diejenigen, die nicht verwendet werden.

7) Verwenden Sie einen geeigneten Benutzer und eine geeignete Gruppe

Apache ist ein leistungsstarker und vielseitiger Webserver, aber es empfiehlt sich, ihn mit einem nicht privilegierten Konto zu verwenden, anstatt unter Daemon (Standard). Dies trägt dazu bei, Ihr System sicher zu halten, indem der Apache-Zugriff nur bei Bedarf eingeschränkt wird!

Außerdem können zwei verschiedene Prozesse, die mit demselben Benutzer und derselben Gruppe ausgeführt werden, zu Exploits in einem von ihnen führen. Das Ändern von Apache-Benutzern und -Gruppen erfordert das Bearbeiten der Konfigurationsdatei httpd.conf in Anweisungen zum Ändern von Benutzern oder Gruppen.

8) Beschränken Sie unerwünschte Dienste

Wenn Sie Ihren Apache sicher halten möchten, ist es am besten, keine Dienste auszuführen oder symbolische Links zu erstellen, wenn sie nicht benötigt werden. Das Deaktivieren von Diensten ist mit der Options-Direktive in httpd.conf einfach, und Sie können dies auch nur für ein bestimmtes Verzeichnis tun, wenn es nötig ist!

Hier ist ein Beispiel dafür, was zu tun ist:

 <Verzeichnis /Ihre/Website/Verzeichnis>
Optionen -ExecCGI -FollowSymLinks -Enthält
</Verzeichnis>

9) Verwenden Sie die ModSecurity-WAF

ModSecurity ist eine Open-Source-Software, die als Firewall für Webanwendungen verwendet werden kann. Es verfügt über verschiedene Funktionen, darunter Filterung, Maskierung der Serveridentität und Funktionen zur Verhinderung von Null-Byte-Angriffen, um Ihre Website vor Hackern zu schützen!

Eine großartige Möglichkeit, die Sicherheit Ihres Webservers zu verbessern und sich vor einer Vielzahl von Angriffen zu schützen, ist die Installation von mod_security. Dies gibt Ihnen die Möglichkeit, sich auch vor Distributed Denial-of-Service (DDOS) zu schützen.

10) Protokollierung aktivieren

Um die Ursache bestimmter Probleme zu untersuchen, sollten Sie die Apache-Protokollierung aktivieren. Dies liefert detaillierte Informationen über Client-Anforderungen, die auf Ihrem Webserver gestellt werden, und es gibt keinen besseren Weg als dies, wenn Sie Probleme untersuchen!

Mit dem Modul mod_log_config können Sie Apache-Aktionen protokollieren. Stellen Sie dazu sicher, dass es in Ihrer httpd-conf-Datei enthalten ist.

Warum ist Apache-Sicherheit wichtig?

Apache-Sicherheit ist wichtig, da sie dazu beiträgt, Ihren Webserver vor unbefugtem Zugriff zu schützen und Ihre Website vor möglichen Angriffen zu schützen.

Die Nichtbeachtung der Apache-Sicherheit kann dazu führen, dass Ihre Website gehackt wird, was zu Datenverlust oder -diebstahl führen kann. Indem Sie die in diesem Blogbeitrag beschriebenen Tipps befolgen, können Sie dazu beitragen, dass Ihre Apache-Installation so sicher wie möglich ist!

Fazit

Zusammenfassend lässt sich sagen, dass Sie durch Befolgen dieser einfachen Tipps dazu beitragen können, Ihre Apache-Installation sicherer zu machen. Diese Richtlinien sind nur ein Ausgangspunkt, also stellen Sie sicher, dass Sie die Sicherheit Ihrer spezifischen Webanwendungsanforderungen weiter untersuchen!

Das Wichtigste, an das Sie sich erinnern sollten, ist, dass Sicherheit kein einmaliges Ereignis ist, sondern ein fortlaufender Prozess. Bleiben Sie wachsam und schützen Sie Ihre Website!