Joachim Hussong [joachim.hussong@dlr.de] wrote:
welche Sicherheitsaspekte sind beim verwenden des Apache zu beachten, so dass kein Freak in mein System durch geschickte Manipulation von aussen eindringen kann? Reicht es aus, die von SuSE mitgelieferte Standardkonfiguration zu belassen, oder sollte man da oder dort was verändern, damit Sicherheitslöcher gestopft werden?
Da Du nicht erwähnst, welche Distri, weiss ich auch nicht, welche Version von Apache Du benutztst. Ich würde auf jeden Fall die neuste Version saugen und installieren. Was die Sicherheit des Apache betrifft, so ausm Kopf: o Kein SSI, wenn jedoch benötigt, kein EXEC o keine FollowSymLinks o keine Indexes o niemals /etc/passwd als AuthUserFile o allfällige standardmässig mitgelieferte Scripts allesamt rausschmeissen o alle AddHandler, <IfModule>, AddEncoding, AddType, die nicht benötigt werden, rausschmeissen o ServerTokens auf Min setzen o auf keinen Fall im inetd-Mode laufen lassen o /server-status und /server-info nicht verwenden, wenn benötigt, Zugriff beschränken, etc. o http://www.apache.org/docs/misc/security_tips.html lesen o Wie schon Jörg geschrieben hat, das bugtraq-Archiv auf www.securityfocus.com nach Apache durchsuchen
Firewall konfiguriert ist, habe ich keine Ahnung. Ich kann mich nur darauf verlassen, dass die im Rechenzentrum gute Arbeit tun.
Trust no one. Don't Panic Kilian --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com