Apache Friends Support Forum

[Herakles]

Moin!

Ich möchte ein von "Nessus" gefundenes Sicherheitsloch in meinem Linux-Server mit dem Apache2 stopfen.

Nessus meldet mir, daß /doc "browseable" sei und daß ich doch folgenden Eintrag in die "access.conf" machen solle:

Code: Select all

<Directory /usr/doc>
   AllowOverride None
   order deny,allow
   deny from all
   allow from localhost
</Directory>


Zunächst einmal exisitert gar keine access.conf in /etc/apache2. Und selbst wenn ich eine solche anlege, hat das keinen Effekt, auf das Nessus-Ergebnis.

Des weiteren habe ich versucht, nachdem mir in einem anderen Forum ( http://www.bsdforen.de/showthread.php?t=11453 )bereits ein wenig geholfen wurde, weitere Lücken zu schliessen. So machte ich folgenden Eintrag in die apache2.conf:

Code: Select all

    <Location />
        AllowOverride None
            <Limit GET POST OPTIONS PROPFIND>
                Order allow,deny
                Allow from all
            </Limit>
            <LimitExcept GET POST OPTIONS PROPFIND>
                Order deny,allow
                Deny from all
            </LimitExcept>
    </Location>


Trotz dieser Einträge meldet Nessus jedoch nach wie vor Sicherheitslecks, die ich immer noch ausschalten möchte. Habe ich die Einträge in die falsche Datei gemacht? Wieso werden die nicht berücksichtigt?

Des weiteren fiel mir auf, dass ein Eintrag bezüglich einer "server-info" in der Konfigurationsdatei eindeutig nur "localhost" Zugriff auf server-Statistiken bietet.

Code: Select all

<Location /server-status>
       SetHandler server-status
       Order deny,allow
       Deny from all
       Allow from localhost
</Location>


Dieser Eintrag wurde auch in der apache2.conf gemacht, dennoch kann ich von jedem anderen Rechner der Welt die Server-infos abfragen.

Wie kann ich meine Probleme beheben? Pfusche ich in den falschen Dateien herum? Meine httpd.conf ist eigentlich immer schon leer gewesen...


Herakles

[deepsurfer]

schwer herauszuhören mit welcher Distribution du arbeitest, schätze aber mal SuSE 9.x ...oder ?


------------------------------------------------------------------

Nessus meldet mir, daß /doc "browseable" sei und daß ich doch folgenden Eintrag in die "access.conf" machen solle:

Code:

Code: Select all

<Directory /usr/doc>
   AllowOverride None
   order deny,allow
   deny from all
   allow from localhost
</Directory>


du hättest dann die erstellte access.conf in deine httpd.conf "includen" sollen, dann wären die Parameter angenommen worden.

------------------------------------------------------------------

Im zweiten bereich -modrewrite-

Die verlinkte Seite von Nessus

www.kb.cert.org/vuls/id/867593

gab mir die Information, dass man mod_rewrite aktivieren soll und folgenden Eintrag in die rewrite.conf machen soll:

Hier verhält es sich genauso wie mit dem access.conf, du erstellst eine rewrite.conf mit Inhalt und musst diese dann in der httpd.conf "includen" damit die Anweisungen angenommen werden.

------------------------------------------------------------------

Der Codeschnipsel mit den Limit Anweisungen hätte komplett in die Globale Serveranweisung in der httpd.conf gemusst (also innerhalb der Directory angaben) oder als codeeingabe in einer .htaccess Datei im Pfad das du schützen willst.

------------------------------------------------------------------

Der Serverstatus sollte so funktionieren, da du aber eine andere Erfahrung gemacht hast und dir diese Anweisung sicherlich unwichtig ist (ich meinen den status) so nimm diese einfach mit den # davor raus.

[Herakles]

HM...

Also, ich nutze Debian in der neusten Version mit Kernel 2.4.27.

Was genau soll denn "includen" heissen. Wie include ich solche Dateien in die httpd.conf oder die apache2.conf???


Grüße, Herakles

[Wiedmann]

Ich wenn das keine Antwort auf deine Frage ist...

Bei BSDForen und Nessus fällt mir doch gleich wieder dieser Thread dort ein.