Weniger ist mehr

Webserver Apache schützen

Das Dilemma ist offensichtlich: Der Webserver Apache soll ständig über Internet erreichbar sein, was ihn zum idealen Ziel eines Angreifers macht. Eine Attacke von einer regulären Anfrage zu unterscheiden ist manuell kaum möglich. Der Server muss daher möglichst wenig Angriffsfläche bieten und gleichzeitig aktiv den Traffic überwachen. Die Konfigurationsdatei des Webservers kommt beim Sicherheitscheck erst relativ spät an die Reihe. Wichtiger ist vorher, das Betriebssystem und die Netzwerkverbindungen zu sichern.

Nur das Nötigste
Viele nach einer Distributionsinstallation standardmäßig laufenden Dienste sollten Sie auf dem Webserver abstellen. Ein typischer Kandidat ist beispielsweise der FTP-Dienst, denn für die Dateiübertragung zum Webserver gibt es bessere Software wie etwa die Secure-Shell (SSH). Die Dienste, die ein Rechner anbietet, sind jeweils einem oder mehreren IP-Ports zugeordnet. Horcht ein Dienst an einem eingehenden Port, dann kann man sich von außen mit diesem Dienst zumindest schon mal verbinden. Verfügt der Dienst über einen Sicherheitsmechanismus, etwa einen Passwortschutz, ist er als einigermaßen sicher zu betrachten. Allerdings sollte man nicht vergessen, dass die meisten Standarddienste die Passwörter im Klartext übertragen. Somit kann jeder mit Zugriff auf das Netzwerk solche Dienste abhören und die Passwörter einsammeln.

Nur zwei Dienste
Auf einem Webserver sollten von außen nur maximal zwei Dienste erreichbar sein. Der eine Dienst ist der HTTP Dienst. Der zweite Dienst soll die Datenübertragung zwischen dem Server und einem administrativen Client erlauben. Meist kommt dafür die Secure-Shell zum
Zug, da sie die Kommunikation zwischen Client und Server verschlüsselt.