Startseite » Updates » Apache Hardening I

Apache Hardening I

Der Apache Webserver ist der am häufigsten genutzte Webserver für das Bereitstellen von Web-Inhalten. Ein zu 100 prozentige Sicherheit ist leider nie gewährleistet, den das sicherste System der Welt wäre eine Einheit die keine USB Geräte, keine CDs/DVDs abspielt und nicht mit dem Internet oder Intranet verbunden ist und am besten gar nicht einschalten! Hört sich nach einem nutzlosen System an, also muss das Hardening her.

Das Hardening ist wie der Name schon sagt, ein wenig härter machen! Um das Hardening im Apache Webserver zu übernehmen, werden alle Einträge am einfachsten in die .htaccess-Datei eingefügt. Falls ein Zugriff auf die Apache-Konfiguration-Datei vorhanden ist, kann diese auch dort modifiziert werden.

Mit dem Hardening wird dem evtl. Eindringling die Wege so schwer wie möglich gemacht.

Folgende Schnipsel einfach in die htaccess Datei einfügen.

Clickjacking vermeiden

Clickjacking ist eine Web-Technik, bei der ein unerwünschter Computerhacker/BlackHat & Scriptkiddies die Darstellung (Ausgabe) einer Internetseite überlagert und deren Nutzer dazu veranlasst, scheinbar harmlose Klicks und/oder Tastatureingaben durchzuführen. Man spricht hier auch vom Klick-Klau. Meistens werden diese Techniken verwendet, um Werbenetzwerke auszutricksen.

<IfModule mod_headers.c>								
     Header set X-Frame-Options "DENY"							
    <FilesMatch "\.(appcache|atom|bbaw|bmp|crx|css|cur|eot|f4[abpv]|flv|geojson|gif|htc|ico|jpe?g|js|json(ld)?|m4[av]|manifest|map|mp4|oex|og[agv]|opus|otf|pdf|png|rdf|rss|safariextz|svgz?|swf|topojson|tt[cf]|txt|vcard|vcf|vtt|webapp|web[mp]|woff2?|xloc|xml|xpi)$">
    Header unset X-Frame-Options	nosniff						
</FilesMatch>								
</IfModule>

(XSS) Cross-Site-Scripting & andere Anschläge reduzieren

Cross-Site-Scripting ist ein Angriff auf Sicherheitslücken in Webanwendungen. Das Thema wird nicht weiter erläutert. Es existieren ausreichend Quellen im Internet die XSS-Angriffe erklären und würden hier nur den Rahmen sprengen.

Für die uns ist es wichtig: Ein XSS-Angriff wirkt sich wie ein Vorschlaghammer auf die Webanwendungen aus. Diese kann man versuchen auf das Minimum zu reduzieren.

<IfModule mod_headers.c>
Header set Content-Security-Policy "script-src 'self'; object-src 'self'"
	<FilesMatch "\.(appcache|atom|bbaw|bmp|crx|css|cur|eot|f4[abpv]|flv|geojson|gif|htc|ico|jpe?g|js|json(ld)?|m4[av]|manifest|map|mp4|oex|og[agv]|opus|otf|pdf|png|rdf|rss|safariextz|svgz?|swf|topojson|tt[cf]|txt|vcard|vcf|vtt|webapp|web[mp]|woff2?|xloc|xml|xpi)$">
Header unset Content-Security-Policy
	</FilesMatch>
</IfModule>

Sicherheit erhöhen mit X-Security-Headers

# SETeam X-Security Headers 
  <IfModule mod_headers.c>
    #schützt vor XSS-Angriffen
	Header set X-XSS-Protection "1; mode=block"
    #schützt vor page-framing und Click-Jacking (SAMEORIGIN oder DENY)
	Header always append X-Frame-Options SAMEORIGIN
    # MIME-Type Sicherheitsrisiken reduzieren bekannt
	Header set X-Content-Type-Options nosniff
  </IfModule>
# end

ReallyLongRequest blockieren

<IfModule mod_rewrite.c>
    RewriteCond %{REQUEST_METHOD} .* [NC]
    RewriteCond %{THE_REQUEST}  (YesThisIsAReallyLongRequest|ScanningForResearchPurpose) [NC,OR]
    RewriteCond %{QUERY_STRING} (YesThisIsAReallyLongRequest|ScanningForResearchPurpose) [NC]
    RewriteRule .* - [F,L]
</IfModule>

Last ein Kommentar für mich da. Würde mich freuen. Apache Hardening II in Arbeit.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.