Apache Hardening

Der Apache Webserver ist der am häufigsten genutzte Webserver für das bereitstellen von Web-Inhalten. Ein zu 100 prozentige ist nie gewährleistet, den das sicherste System der Welt ist eine Einheit die niemals ein USB Geräte benutzt, keine Cds/DVDs abspielt und auch nicht das Internet oder Intranet nutzen Hört sich nach einem langweiligem und nutzlosem System an, also muss das Hardening her. Das Hardening ist wie der Name schon sagt, ein wenig härter machen! Um das Hardening im Apache Webserver zu übernehmen, werden alle Einträge am besten in die htaccess-Datei eingefügt. Falls ein Zugriff auf die Apache-Configurations-Datei vorhanden ist, kann diese auch dort eingetragen werden.

Mit dem Hardening wird dem evtl. Eindringling die Wege so schwer wie möglich gemacht.

Clickjacking vermeiden

Clickjacking ist eine Web-Technik, bei der ein unangenehme Computerhacker/BlackHat & ScriptKiddis die Darstellung (Ausgabe) einer Internetseite überlagert und dann deren Nutzer dazu veranlasst, scheinbar harmlose Klicks und/oder Tastatureingaben durchzuführen. Man spricht hier auch vom Klick-Klau. Meistens werden diese Techniken verwendet um Werbenetzwerke auszutricksen.

<IfModule mod_headers.c>								
     Header set X-Frame-Options "DENY"							
    <FilesMatch "\.(appcache|atom|bbaw|bmp|crx|css|cur|eot|f4[abpv]|flv|geojson|gif|htc|ico|jpe?g|js|json(ld)?|m4[av]|manifest|map|mp4|oex|og[agv]|opus|otf|pdf|png|rdf|rss|safariextz|svgz?|swf|topojson|tt[cf]|txt|vcard|vcf|vtt|webapp|web[mp]|woff2?|xloc|xml|xpi)$">
    Header unset X-Frame-Options							
</FilesMatch>								
</IfModule>

(XSS) Cross-Site-Scripting & andere Anschläge reduzieren

Cross-Site-Scripting ist ein Angriff auf Sicherheitslücken in Webanwendungen. Das Thema wird nicht weiter erläutert. Es existieren ausreichend Quellen im Internet die XSS-Angriffe erklären und würden hier nur den Rahmen sprengen.

Für die uns ist es wichtig: Ein XSS-Angriff wirkt sich wie ein Vorschlaghammer auf die Webanwendungen aus. Diese kann man versuchen auf das Minimum zu reduzieren.

<IfModule mod_headers.c>
Header set Content-Security-Policy "script-src 'self'; object-src 'self'"
	<FilesMatch "\.(appcache|atom|bbaw|bmp|crx|css|cur|eot|f4[abpv]|flv|geojson|gif|htc|ico|jpe?g|js|json(ld)?|m4[av]|manifest|map|mp4|oex|og[agv]|opus|otf|pdf|png|rdf|rss|safariextz|svgz?|swf|topojson|tt[cf]|txt|vcard|vcf|vtt|webapp|web[mp]|woff2?|xloc|xml|xpi)$">
Header unset Content-Security-Policy
	</FilesMatch>
</IfModule>

MIME-Type Sicherheitsrisiken reduzieren

<IfModule mod_headers.c>								
    Header set X-Content-Type-Options "nosniff"			
</IfModule>

ReallyLongRequest blockieren

<IfModule mod_rewrite.c>
    RewriteCond %{REQUEST_METHOD} .* [NC]
    RewriteCond %{THE_REQUEST}  (YesThisIsAReallyLongRequest|ScanningForResearchPurpose) [NC,OR]
    RewriteCond %{QUERY_STRING} (YesThisIsAReallyLongRequest|ScanningForResearchPurpose) [NC]
    RewriteRule .* - [F,L]
</IfModule>