Ich möchte ein von "Nessus" gefundenes Sicherheitsloch in meinem Linux-Server mit dem Apache2 stopfen.
Nessus meldet mir, daß /doc "browseable" sei und daß ich doch folgenden Eintrag in die "access.conf" machen solle:
- Code: Select all
<Directory /usr/doc>
AllowOverride None
order deny,allow
deny from all
allow from localhost
</Directory>
Zunächst einmal exisitert gar keine access.conf in /etc/apache2. Und selbst wenn ich eine solche anlege, hat das keinen Effekt, auf das Nessus-Ergebnis.
Des weiteren habe ich versucht, nachdem mir in einem anderen Forum ( http://www.bsdforen.de/showthread.php?t=11453 )bereits ein wenig geholfen wurde, weitere Lücken zu schliessen. So machte ich folgenden Eintrag in die apache2.conf:
- Code: Select all
<Location />
AllowOverride None
<Limit GET POST OPTIONS PROPFIND>
Order allow,deny
Allow from all
</Limit>
<LimitExcept GET POST OPTIONS PROPFIND>
Order deny,allow
Deny from all
</LimitExcept>
</Location>
Trotz dieser Einträge meldet Nessus jedoch nach wie vor Sicherheitslecks, die ich immer noch ausschalten möchte. Habe ich die Einträge in die falsche Datei gemacht? Wieso werden die nicht berücksichtigt?
Des weiteren fiel mir auf, dass ein Eintrag bezüglich einer "server-info" in der Konfigurationsdatei eindeutig nur "localhost" Zugriff auf server-Statistiken bietet.
- Code: Select all
<Location /server-status>
SetHandler server-status
Order deny,allow
Deny from all
Allow from localhost
</Location>
Dieser Eintrag wurde auch in der apache2.conf gemacht, dennoch kann ich von jedem anderen Rechner der Welt die Server-infos abfragen.
Wie kann ich meine Probleme beheben? Pfusche ich in den falschen Dateien herum? Meine httpd.conf ist eigentlich immer schon leer gewesen...
Herakles