Checkliste & Module

Webserver Apache schützen

Sinnvolle Apache-Module
Die komplette Load-Module-Sequenz in einer »httpd.conf« für einen Apache mit Support für PHP (4), komprimierte Webseiten, Authentifizierung für geschützte Webseiten-Bereiche, minimales CGI, Logfiles und Expires-Header (sowie einigen abhängigen Modulen) sieht folgendermaßen aus:

LoadModule php4_module /usr/lib/apache/libphp4.so
LoadModule config_log_module /usr/lib/apache/mod_log_config.so
LoadModule mime_module /usr/lib/apache/mod_mime.so
LoadModule negotiation_module /usr/lib/apache/mod_negotiation.so
LoadModule dir_module /usr/lib/apache/mod_dir.so
LoadModule cgi_module /usr/lib/apache/mod_cgi.so
LoadModule access_module /usr/lib/apache/mod_access.so
LoadModule auth_module /usr/lib/apache/mod_auth.so
LoadModule expires_module /usr/lib/apache/mod_expires.so
LoadModule headers_module /usr/lib/apache/mod_headers.so
LoadModule setenvif_module /usr/lib/apache/mod_setenvif.so
LoadModule gzip_module /usr/lib/apache/mod_gzip.so

Webserver-Checkliste
.. Nicht benutzte Dienste abschalten
.. Nach außen geführte Dienste auf unterschiedliche Rechner verteilen
.. Interne Dienste auf unterschiedliche Rechner auslagern
.. Verschiedene Passwörter für unterschiedliche Rechner verwenden
.. Sichere Passwörter wählen
.. Webserver in einer entmilitarisierten Zone (DMZ) betreiben
.. Auf dem Webserver eine Firewall laufen lassen
.. Unerwünschte Accounts entfernen oder sichern
.. Nur sichere Kommunikationswege mit dem Server verwenden
.. Prüfung von Benutzereingaben bei interaktiven Seiten
.. Intrusion-Detection-Systeme (IDS) einsetzen
.. Protokolle mitführen, speichern und regelmäßig prüfen
.. Systeme auf aktuellem Stand halten
.. Apache nicht im Kontext des Benutzers »root« betreiben