Apache
Der Apache HTTP Server ist ein (auf vielen Plattformen verbreiteter) Webserver und im Moment der meist eingesetzte Webserver ist. Er hat eine modulare Erweiterungsmöglichkeit und ist detailliert zu konfigurieren.
BSI Apache webserver sicherheitsstudie.pdf
oft benutzte Funktionen:
Links
Installation (allgemeingültig)
kompilieren aus den Quellen: entpacken (tar), ./configure, make, make install
oder als Paket installieren:
- rpm-Paket:
rpm -i PAKETDATEI.rpmbzw. - deb-Paket: dpkg -i PAKETDATEI.deb
Aus Repository(Verzeichnis von Paketen,Paketquelle): yast, yum, apt
Pakete für LAMP
In Ubuntu und Debian reicht eine Zeile für die verbreitete Kombination aus Apache, php(Version 5, die alte Version 4 wird ende 2007 nicht mehr unterstützt) und MySQL.
sudo aptitude install apache2 php5 mysql-server
Dabei werden die Abhängigkeiten korrekt aufgelöst, beispielweise das Modul für Apache (mod_php5 bzw. als Paket libapache2-mod-php5).
Der Dienst (daemon) Apache
Apache läuft als eigener Benutzer unter
Änderungen bei Apache 2.4.x
Apache 2.4.x macht in vielen Fällen eine Anpassung der Konfiguration nötig. Das betrifft vor allen die Regelung der Zugriffsrechte auf Verzeichnisse: Upgrading to 2.4 from 2.2
Fehlermeldung „AH01630: client denied by server configuration“ kommt z.B. wenn gar keine Require-Regeln angegeben sind, Lösung:
<Directory /> Order allow,deny Allow from all Require all granted </Directory>
Konfiguration
Syntax gemachter Änderungen testen:
apache2 -t
bzw. bei Apache 1.x
apache -t
Dateien
/etc/apache2/httpd.conf
dort befindet sich allerdings bei den meisten Distribution nur eine fast leere Datei, die eigentlichen Einstellungen sind dann in apache2.conf (Ubuntu, Debian?) bzw. in default-server.conf (Suse).
Direktiven
Direktiven sind Konfigurationsanweisungen die das Verhalten des Webserver beeinflussen. Sie haben entweder globale oder lokale (z.B. bei einem virtuellen Webserver oder innerhalb einer .htaccess-Datei).
Wichtige Direktiven sind z.B.
- Servername (gibt den FQDN auf dem der Server antwortet)
- Listen (überschreibt den Servername, normalerweise steht hier nur der Port 80 drin), Wenn man den Apache nur lokal aufrufbar machen will sollte man (in ports.conf bei Debian, Ubuntu)
Listen 127.0.0.1:80reinschreiben - ServerRoot (Basispfad des Webservers)
- DocumentRoot (Basispfad der Webseiten)
Je nach Distribution:
/srv/www/htdocs/ (neuere Suse) /var/www/ (Debian, Ubuntu) /usr/local/httpd/htdocs/
Auflistung wichtiger Direktiven aus mod_core (immer verfügbare Kernfunktionen)
IPv6
Apache braucht keine explizite Anpassung für IPv6 wenn „Listen 80“ oder „Listen 443“ benutzt wird, außer in z.B. virtuelle Hosts werden explizit bestimmte IPs gebunden.
Sicherheitsfallstricke beim shared Hosting
- kein mod_php benutzen (alles unter gleicher uid!)
- fpm oder fcgid ist sicher aber nur wenn FollowSymLinks deaktiviert ist
- das muss durch SymLinksIfOwnerMatch ersetzt werden! Siehe https://blog.jonaspasche.com/2014/07/11/followsymlinks-vs-symlinksifownermatch/
- .htaccess dürfen dann kein FollowSymLinks enthalten 1)
starten / neustarten / stoppen
- Entweder mit
apachectl
apachectl restart OR apachectl graceful apache2ctl restart OR apache2ctl graceful
- oder über Initskripte:
/etc/init.d/apache2 reload
reload ⇒ Neuladen der Konfiguration ohne große Arbeitsunterbrechung, auch graceful benannt;
stattdessen sind z.B. auch start, stop oder restart möglich.
Ort der Initskripte:
Die Klammer [2] besagt natürlich nur, dass man hier entweder apache oder apache2 eingibt, je nachdem welche Version man einsetzt.
Anmerkung: Bei aktuellen OpenSuse-Distributionen ist rc.d ein Verweis auf init.d
Logdateien
Der Standard-Ort für Logdateien ist /var/log/apache2. Dort werden error.log (Fehler) und access.log (Seitenzugriffe) abgelegt.
Auswertung
- scanerrlog (Zusammenfassung der Fehler als text, html, xml, pdf)
piped-logs
Eine Umleitung der Logdateien ist auch über Programme von Drittherstellern oder eigene shellscripten möglich.
Dazu muss ein Eintrag der Form
CustomLog "| /pfad/zur/programmdatei" common
angelegt werden. Dies kann z. B. ein simples Shellscript sein.
#/bin/bash cat $@ >> access.log
Das angegebene Programm wird mit root-Rechten ausgeführt! Jedes Sicherheitsproblem ist hier kritisch. Auch Hintertüren lassen sich so platzieren.
Bei sehr vielen virtuellen Hosts und Logdateien könnte die Anzahl der Dateihandler nicht ausreichen. Apache benutzt selbst 20-30 plus 2 pro Log. Unter Linux sind 1024 Dateihandler möglich, falls dies nicht ausreicht kann man mit
ulimit -S -n 8192
die Anzahl auf 8192 anheben.
Protokollierung auf syslog
Apache kann seine Logdateien auf über syslog oder syslog-ng ausgeben. Gerade bei Web-Server-Clustern oder wenn man (berechtigterweise) vermutet dass ein Angreifer die Logs löscht, ist diese Konfiguration von Vorteil.
- Fehlerlogs: Durch die Einstellung ErrorLog
ErrorLog syslog:local1
local1 ist die facility (Standard: local7).
Auf dem Zielhost leitet man die facility local1 in eine eigene Datei. Beachten sollte man allerdings, dass pro Abschnitt (z. B. pro virtuellem Host) nur eine Errorlog-Direktive ausgewertet wird. D.h. wenn die Errorlog an syslog gehen, dann ist lokal nichts da. Dies lässt sich allerdings mit einem Script umgehen.
Zuerst muss müssen wir allerdings die ErrorLog-Ausgabe an ein Script schicken:
ErrorLog "|/Pfad/zum/script.sh"
Das Zielscript teilt dann die Fehlerausgabe auf:
#/bin/sh cat $@ | tee -a /var/log/apache2/error.log | logger -p local7.warn -t Apache2
Erklärung:
- Das Programme cat nimmt die Ausgabe von Apache entgegen
- tee hängt die Ausgabe an die Datei
/var/log/apache2/error.logan - und letztendlich bekommt logger die Ausgabe von Apache durchgereicht und sendet diese an syslog/syslog-ng.
So hat man übrigens auch allgemein das Problem mehrerer ErrorLogs in Apache2 gelöst.
syslog-ng verändert das Format der Logs was die Auswertung schwieriger macht. Deshalb muss über ein Template das Format von syslog-ng verändert werden.
Beispiel Quellcode:
#!/bin/sh cat $@ | logger -p local7.notice -t Apache2
Da ein (virtueller) Host mehrere Transfer/CustomLog-Direktiven haben darf gibt man eine für die lokale Speicherung und eins für syslog(-ng) an.
Links
Module
Wichtige Module sind
mod_ssl- mod_cache, disk_cache, mem_cache (die letzten beiden brauchen mod_cache sonst kommt die Meldung
undefined symbol: ap_cache_cacheable_hdrs_out - mod_cband (Speed, Traffice-limitting) Manage Apache Download Speed And Traffic Limits With mod_cband
- mod_athena (loadbalancing) klingt auch ganz nett.
geladene Module anzeigen
- auf der shell:
apache2 -t -D DUMP_MODULES
- mit PHP:
<?php print_r(apache_get_modules()); ?>
Module (de)aktivieren
Apache bindet auch Module von anderen Programmierern ein, dazu muss man einen symbolischen Links (Erzeugung mit ln -s [Ziel] [Linkname]) von dem gewünschten Modul aus /etc/apache2/mods_available in /etc/apache2/mods-enabled anlegen (die Pfade können varrieren, aber seine Apache-Konfigurationsdateien sollte man schon suchen können).
| Befehl | Beispielaufruf | Zweck des Programms |
|---|---|---|
| a2enmod / a2dismod | sudo a2enmod mod_python | (de-) aktiviert Module für Apache (Debian) |
| a2ensite / a2dissite | sudo a2ensite Konf1 | (de-) aktiviert Sites für Apache (Debian) |
URL-Rewriting (mod_rewrite)
Mit mod_rewrite kann man nur schwer lesbare URLs in angenehmere umwandeln und auch Suchmaschinen eine bessere Indizierung ermöglichen.
Bei Debian und vielen anderen Standardinstallationen werden werden .htaccess-Dateien für die Konfiguration nicht beachtet 2). Daher muss in diesem Fall explizit erlaubt werden dass bestimmte Optionen überschrieben werden können:
<Directory /srv/www/> AllowOverride FileInfo Options </Directory>
„Options“ ist für mod_rewrite nicht zwingend nötig.
permanente Umzüge
Wenn man eine Domain oder eine Seite auf eine neue URL umziehen lässt, sollte man korrekt den HTTP-Status 301 (moved permanently) senden. Dann werden sich auch Suchmaschinen die neue URL merken und man bleibt im Suchindex.
Die folgendene Konfiguration kann man global in der Apache-Konfiguration einstellen oder in einer .htaccess-Datei im Stammverzeichnis hinterlegen.
RewriteEngine On RewriteRule ^(.*)$ http://www.NEUE-SEITE.de$1 [R=301,L] RewriteRule .+ http://www.NEUE-SEITE.de [R=301,L]
Wenn rigeros alle (alten) URLs auf die neue Startseite gehen sollen:
RewriteEngine On RewriteRule (.*) http://www.NEUE-SEITE.de [R=301,L]
Redirect bzw. RedirectMatch werden von aktuellen Apache-Versionen angemahnt wenn flag-Optionen gesetzt sind (hier: [R=301,L]), weil das nur für RewriteRule erlaubt ist. Fehlermeldung ist dann:
Redirect: invalid first argument (of three) Action 'configtest' failed. The Apache error log may have more information. failed!
bestimmten Bereich auf SSL umleiten
Ohne mod_rewrite:
<IfModule !mod_ssl.c> RedirectPermanent /SUBDIR https://www.DOMAIN.TLD/SUBDIR </IfModule>
Redirect To SSL Using Apache's .htaccess
mit mod_rewrite:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R,L]
redirects per PHP
301 moved permanently (redirect)
Folgenden Code in eine index.php schreiben:
<?php header('HTTP/1.1 301 Moved Permanently'); header('Location: http://www.example.com'); die(); ?>
302 moved temporarily(redirect):
Folgenden Code in eine index.php schreiben:
<?php header('Location: http://www.example.com'); die(); ?>
Apache Reverse-Proxy
Module Aktivieren (für http + https):
sudo a2enmod ssl sudo a2enmod proxy sudo a2enmod proxy_balancer sudo a2enmod proxy_http
<VirtualHost *:80> # [...] ProxyPreserveHost On ProxyPass / http://localhost:8080/ ProxyPassReverse / http://localhost:8080/ </VirtualHost> <VirtualHost *:443> SSLEngine on # [...] SSLCertificateFile SSLCertificateChainFile SSLProtocol ProxyPreserveHost On ProxyPass / http://localhost:8443/ ProxyPassReverse / http://localhost:8443/ </VirtualHost>
gzip-compression aktivieren
Ein großen Effekt auf die Ladezeiten hat es wenn der Webserver die gut komprimierbaren Daten nur gepackt verschickt. Das kostet etwas CPU-Leistung, ist aber die Mühe wert.
# compress text, html, javascript, css, xml: AddOutputFilterByType DEFLATE text/plain AddOutputFilterByType DEFLATE text/html AddOutputFilterByType DEFLATE text/xml AddOutputFilterByType DEFLATE text/css AddOutputFilterByType DEFLATE application/xml AddOutputFilterByType DEFLATE application/xhtml+xml AddOutputFilterByType DEFLATE application/rss+xml AddOutputFilterByType DEFLATE application/javascript AddOutputFilterByType DEFLATE application/x-javascript # Or, compress certain file types by extension: <files *.html> SetOutputFilter DEFLATE </files>
Siehe weitere Details: How To Optimize Your Site With GZIP Compression.
Basic-Auth an AD (LDAP)
Nur Benutzern der Gruppe „MyTrustedUserGroup“ den Login erlauben:
AuthName "SECRET AREA, Login needed" AuthType Basic AuthBasicProvider ldap AuthLDAPBindDN "CN=BINDING,CN=Users,DC=company,DC=tld" AuthLDAPBindPassword "SECRET-BINDING-PASSWORD" AuthLDAPURL ldaps://fqdn.to.dc/cn=Users,dc=company,dc=tld?sAMAccountName?sub?(objectClass=user) AuthUserFile /dev/null Require ldap-filter memberof:1.2.840.113556.1.4.1941:=CN=MyTrustedUserGroup,CN=Users,DC=company,DC=tld
Security
Nur absolut notwendige Informationen anzeigen:
ServerSignature Off ServerTokens Prod
Bei installiertem PHP sollte die „X-Powered-By:“ (Angabe der Versionsnummern im HTTP-Header) in der Config (z. B. /etc/php5/apache2/php.ini) abgeschaltet werden:
expose_php = Off
mod_security
CGI und Perl
Apache(2) Tools
- dbench (disk) and tbench (TCP) benchmarks
Im Paket apache2-utils sind einige sehr nützliche Programme enthalten:
- ab (Apache benchmark tool)
- logresolve (Resolve IP addresses to hostname in logfiles)
- htpasswd (Manipulate basic authentication files)
- htdigest (Manipulate digest authentication files)
- dbmmanage (Manipulate basic authentication files in DBM format, using perl)
- htdbm (Manipulate basic authentication files in DBM format, using APR)
- rotatelogs (Periodically stop writing to a logfile and open a new one)
- split-logfile (Split a single log including multiple vhosts)
- checkgid (Checks whether the caller can setgid to the specified group)
- check_forensic (Extract mod_log_forensic output from apache log files)