find . -name .htaccess -type f -exec grep FollowSymLinks {} \; -exec echo {} \;
Der Apache HTTP Server ist ein (auf vielen Plattformen verbreiteter) Webserver und im Moment der meist eingesetzte Webserver ist. Er hat eine modulare Erweiterungsmöglichkeit und ist detailliert zu konfigurieren.
BSI Apache webserver sicherheitsstudie.pdf
oft benutzte Funktionen:
kompilieren aus den Quellen: entpacken (tar), ./configure, make, make install
oder als Paket installieren:
rpm -i PAKETDATEI.rpm
bzw.Aus Repository(Verzeichnis von Paketen,Paketquelle): yast, yum, apt
In Ubuntu und Debian reicht eine Zeile für die verbreitete Kombination aus Apache, php(Version 5, die alte Version 4 wird ende 2007 nicht mehr unterstützt) und MySQL.
sudo aptitude install apache2 php5 mysql-server
Dabei werden die Abhängigkeiten korrekt aufgelöst, beispielweise das Modul für Apache (mod_php5 bzw. als Paket libapache2-mod-php5).
Apache läuft als eigener Benutzer unter
Apache 2.4.x macht in vielen Fällen eine Anpassung der Konfiguration nötig. Das betrifft vor allen die Regelung der Zugriffsrechte auf Verzeichnisse: Upgrading to 2.4 from 2.2
Fehlermeldung „AH01630: client denied by server configuration“ kommt z.B. wenn gar keine Require-Regeln angegeben sind, Lösung:
<Directory /> Order allow,deny Allow from all Require all granted </Directory>
Syntax gemachter Änderungen testen:
apache2 -t
bzw. bei Apache 1.x
apache -t
/etc/apache2/httpd.conf
dort befindet sich allerdings bei den meisten Distribution nur eine fast leere Datei, die eigentlichen Einstellungen sind dann in apache2.conf
(Ubuntu, Debian?) bzw. in default-server.conf
(Suse).
Direktiven sind Konfigurationsanweisungen die das Verhalten des Webserver beeinflussen. Sie haben entweder globale oder lokale (z.B. bei einem virtuellen Webserver oder innerhalb einer .htaccess
-Datei).
Wichtige Direktiven sind z.B.
Listen 127.0.0.1:80
reinschreibenJe nach Distribution:
/srv/www/htdocs/ (neuere Suse) /var/www/ (Debian, Ubuntu) /usr/local/httpd/htdocs/
Auflistung wichtiger Direktiven aus mod_core (immer verfügbare Kernfunktionen)
Apache braucht keine explizite Anpassung für IPv6 wenn „Listen 80“ oder „Listen 443“ benutzt wird, außer in z.B. virtuelle Hosts werden explizit bestimmte IPs gebunden.
apachectl
apachectl restart OR apachectl graceful apache2ctl restart OR apache2ctl graceful
/etc/init.d/apache2 reload
reload ⇒ Neuladen der Konfiguration ohne große Arbeitsunterbrechung, auch graceful
benannt;
stattdessen sind z.B. auch start, stop oder restart möglich.
Ort der Initskripte:
Die Klammer [2] besagt natürlich nur, dass man hier entweder apache oder apache2 eingibt, je nachdem welche Version man einsetzt.
Anmerkung: Bei aktuellen OpenSuse-Distributionen ist rc.d
ein Verweis auf init.d
Der Standard-Ort für Logdateien ist /var/log/apache2
. Dort werden error.log (Fehler) und access.log (Seitenzugriffe) abgelegt.
Eine Umleitung der Logdateien ist auch über Programme von Drittherstellern oder eigene shellscripten möglich.
Dazu muss ein Eintrag der Form
CustomLog "| /pfad/zur/programmdatei" common
angelegt werden. Dies kann z. B. ein simples Shellscript sein.
#/bin/bash cat $@ >> access.log
Das angegebene Programm wird mit root-Rechten ausgeführt! Jedes Sicherheitsproblem ist hier kritisch. Auch Hintertüren lassen sich so platzieren.
Bei sehr vielen virtuellen Hosts und Logdateien könnte die Anzahl der Dateihandler nicht ausreichen. Apache benutzt selbst 20-30 plus 2 pro Log. Unter Linux sind 1024 Dateihandler möglich, falls dies nicht ausreicht kann man mit
ulimit -S -n 8192
die Anzahl auf 8192 anheben.
Apache kann seine Logdateien auf über syslog oder syslog-ng ausgeben. Gerade bei Web-Server-Clustern oder wenn man (berechtigterweise) vermutet dass ein Angreifer die Logs löscht, ist diese Konfiguration von Vorteil.
ErrorLog syslog:local1
local1 ist die facility (Standard: local7).
Auf dem Zielhost leitet man die facility local1 in eine eigene Datei. Beachten sollte man allerdings, dass pro Abschnitt (z. B. pro virtuellem Host) nur eine Errorlog-Direktive ausgewertet wird. D.h. wenn die Errorlog an syslog gehen, dann ist lokal nichts da. Dies lässt sich allerdings mit einem Script umgehen.
Zuerst muss müssen wir allerdings die ErrorLog-Ausgabe an ein Script schicken:
ErrorLog "|/Pfad/zum/script.sh"
Das Zielscript teilt dann die Fehlerausgabe auf:
#/bin/sh cat $@ | tee -a /var/log/apache2/error.log | logger -p local7.warn -t Apache2
Erklärung:
/var/log/apache2/error.log
anSo hat man übrigens auch allgemein das Problem mehrerer ErrorLogs in Apache2 gelöst.
syslog-ng verändert das Format der Logs was die Auswertung schwieriger macht. Deshalb muss über ein Template das Format von syslog-ng verändert werden.
Beispiel Quellcode:
#!/bin/sh cat $@ | logger -p local7.notice -t Apache2
Da ein (virtueller) Host mehrere Transfer/CustomLog-Direktiven haben darf gibt man eine für die lokale Speicherung und eins für syslog(-ng) an.
Wichtige Module sind
mod_ssl
undefined symbol: ap_cache_cacheable_hdrs_out
apache2 -t -D DUMP_MODULES
<?php print_r(apache_get_modules()); ?>
Apache bindet auch Module von anderen Programmierern ein, dazu muss man einen symbolischen Links (Erzeugung mit ln -s [Ziel] [Linkname]
) von dem gewünschten Modul aus /etc/apache2/mods_available
in /etc/apache2/mods-enabled
anlegen (die Pfade können varrieren, aber seine Apache-Konfigurationsdateien sollte man schon suchen können).
Befehl | Beispielaufruf | Zweck des Programms |
---|---|---|
a2enmod / a2dismod | sudo a2enmod mod_python | (de-) aktiviert Module für Apache (Debian) |
a2ensite / a2dissite | sudo a2ensite Konf1 | (de-) aktiviert Sites für Apache (Debian) |
Mit mod_rewrite kann man nur schwer lesbare URLs in angenehmere umwandeln und auch Suchmaschinen eine bessere Indizierung ermöglichen.
Bei Debian und vielen anderen Standardinstallationen werden werden .htaccess
-Dateien für die Konfiguration nicht beachtet 2). Daher muss in diesem Fall explizit erlaubt werden dass bestimmte Optionen überschrieben werden können:
<Directory /srv/www/> AllowOverride FileInfo Options </Directory>
„Options“ ist für mod_rewrite nicht zwingend nötig.
Wenn man eine Domain oder eine Seite auf eine neue URL umziehen lässt, sollte man korrekt den HTTP-Status 301 (moved permanently) senden. Dann werden sich auch Suchmaschinen die neue URL merken und man bleibt im Suchindex.
Die folgendene Konfiguration kann man global in der Apache-Konfiguration einstellen oder in einer .htaccess
-Datei im Stammverzeichnis hinterlegen.
RewriteEngine On RewriteRule ^(.*)$ http://www.NEUE-SEITE.de$1 [R=301,L] RewriteRule .+ http://www.NEUE-SEITE.de [R=301,L]
Wenn rigeros alle (alten) URLs auf die neue Startseite gehen sollen:
RewriteEngine On RewriteRule (.*) http://www.NEUE-SEITE.de [R=301,L]
Redirect bzw. RedirectMatch werden von aktuellen Apache-Versionen angemahnt wenn flag-Optionen gesetzt sind (hier: [R=301,L]
), weil das nur für RewriteRule erlaubt ist. Fehlermeldung ist dann:
Redirect: invalid first argument (of three) Action 'configtest' failed. The Apache error log may have more information. failed!
Ohne mod_rewrite:
<IfModule !mod_ssl.c> RedirectPermanent /SUBDIR https://www.DOMAIN.TLD/SUBDIR </IfModule>
Redirect To SSL Using Apache's .htaccess
mit mod_rewrite:
RewriteEngine On RewriteCond %{HTTPS} !=on RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R,L]
Folgenden Code in eine index.php schreiben:
<?php header('HTTP/1.1 301 Moved Permanently'); header('Location: http://www.example.com'); die(); ?>
Folgenden Code in eine index.php schreiben:
<?php header('Location: http://www.example.com'); die(); ?>
Module Aktivieren (für http + https):
sudo a2enmod ssl sudo a2enmod proxy sudo a2enmod proxy_balancer sudo a2enmod proxy_http
<VirtualHost *:80> # [...] ProxyPreserveHost On ProxyPass / http://localhost:8080/ ProxyPassReverse / http://localhost:8080/ </VirtualHost> <VirtualHost *:443> SSLEngine on # [...] SSLCertificateFile SSLCertificateChainFile SSLProtocol ProxyPreserveHost On ProxyPass / http://localhost:8443/ ProxyPassReverse / http://localhost:8443/ </VirtualHost>
Ein großen Effekt auf die Ladezeiten hat es wenn der Webserver die gut komprimierbaren Daten nur gepackt verschickt. Das kostet etwas CPU-Leistung, ist aber die Mühe wert.
# compress text, html, javascript, css, xml: AddOutputFilterByType DEFLATE text/plain AddOutputFilterByType DEFLATE text/html AddOutputFilterByType DEFLATE text/xml AddOutputFilterByType DEFLATE text/css AddOutputFilterByType DEFLATE application/xml AddOutputFilterByType DEFLATE application/xhtml+xml AddOutputFilterByType DEFLATE application/rss+xml AddOutputFilterByType DEFLATE application/javascript AddOutputFilterByType DEFLATE application/x-javascript # Or, compress certain file types by extension: <files *.html> SetOutputFilter DEFLATE </files>
Siehe weitere Details: How To Optimize Your Site With GZIP Compression.
Nur Benutzern der Gruppe „MyTrustedUserGroup“ den Login erlauben:
AuthName "SECRET AREA, Login needed" AuthType Basic AuthBasicProvider ldap AuthLDAPBindDN "CN=BINDING,CN=Users,DC=company,DC=tld" AuthLDAPBindPassword "SECRET-BINDING-PASSWORD" AuthLDAPURL ldaps://fqdn.to.dc/cn=Users,dc=company,dc=tld?sAMAccountName?sub?(objectClass=user) AuthUserFile /dev/null Require ldap-filter memberof:1.2.840.113556.1.4.1941:=CN=MyTrustedUserGroup,CN=Users,DC=company,DC=tld
Nur absolut notwendige Informationen anzeigen:
ServerSignature Off ServerTokens Prod
Bei installiertem PHP sollte die „X-Powered-By:“ (Angabe der Versionsnummern im HTTP-Header) in der Config (z. B. /etc/php5/apache2/php.ini
) abgeschaltet werden:
expose_php = Off
Im Paket apache2-utils sind einige sehr nützliche Programme enthalten: