Erozia Erotikforum

Howto: Apache sicherer machen (Debian)

Juli 4th, 2008

Diesmal erkläre ich wie man seinen Apache besser gegen Angriffe schützt.
Dabei erläutere ich genau wie man die Server Signatur ausschaltet und wie man eine DOS Prävention installiert.

Angreifer werden es um ein vielfaches schwerer haben den Server zu identifizieren (z.B. auf die Version) und werden dadurch nicht so schnell euren Server attackieren. Der Schutz hilft vor allem vor sogenannten Script-Kiddies.

1. Apache Signatur ausschalten

Bei einer Standardmäßigen Installation von Apache2 sieht eine Server Signatur in etwa so aus:

Apache/2.2.3 (Debian) mod_fastcgi/2.4.2 mod_perl/2.0.2 Perl/v5.8.8

Um die ganzen unnötigen Informationen aus zu schalten, müssen wir die /etc/apache2/apache2.conf ändern/anpassen.
Ändert dazu folgendes:

 # Disable ServerInfo
ServerSignature Off
ServerTokens Prod

Es kann sein, dass ihr "ServerSignature On" oder "ServerTokens" gar nicht findet, dann müsst ihr allerdings nicht verzweifeln. Das ist zum Beispiel bei Confixx völlig normal. Ihr müsst einfach die 3 Zeilen hinzufügen. (Vorsicht bei Confixx nicht ganz am Ende sonst kann es zu Fehlern kommen - lieber in der Mitte der Datei).

Wie sieht unsere Signatur eigentlich danach aus?

Apache

Mehr geben wir nicht Preis :) Simpel oder?

2. DOS-Attacken Prävention

Um simplen Denial-Of-Service Attacken entgegen zu wirken, kann man das Apache Modul mod_evasive nutzen.
Dazu lädt man die neueste Version hier runter: http://www.zdziarski.com/projects/mod_evasive/
Damit das Modul funktioniert muss noch apache2-prefork-dev installiert sein. (In meinen Anweisungen ist die Installation enthalten).

apt-get install apache2-prefork-dev
wget http://www.zdziarski.com/projects/mod_evasive/mod_evasive_1.10.1.tar.gz
tar -xzf mod_evasive_1.10.1.tar.gz
cd mod_evasive

Nun das Modul installieren:

apxs2 -i -a -c mod_evasive20.c

So das war es auch schon. Das Modul wird compiliert und in die httpd.conf automatisch eingefügt.
Natürlich kann man noch einige Optionen hinzufügen. Da dies aber nicht nötig ist, gehe ich nicht weiter darauf ein. Für die Informationen besucht ihr am besten die Herstellerseite.

4. Fertigstellen

Zu guter letzt muss natürlich Apache noch neugestartet werden, um die neuen Modul und Konfigurationen zu aktivieren:

sudo /etc/init.d/apache2 restart

Viel Spaß mit der neu gewonnen Sicherheit.

Kommentar schreiben

Trackback dieses Beitrags  |  RSS Feed zu den Kommentaren

Pflicht
Pflicht, wird nicht veröffentlicht
*
Klicke auf's Bild für eine Audiowiedergabe.
 Klick hier für die Audiodatei.
Erlaubte HTML-Tags:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>