10 Tipps zur Sicherheitsoptimierung von Apache

Tipp 4: Optionen für htdocs anpassen

Weiterhin werden in den Zeilen 331-360 der Konfigurationsdatei httpd.conf Optionen für das als DocumentRoot bezeichnete Dokumentenverzeichnis htdocs der lokalen Apache-Installation (z.B. /usr/local/apache2/htdocs) definiert. Gekürzt sieht die Passage wie folgt aus:

<Directory »/usr/local/apache2/htdocs«>
Options Indexes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
</Directory>

Auch hier halte ich es aus sicherheitstechnischen Gründen nicht für ratsam, automatisch Verzeichnislistings zu erzeugen und symbolischen Verweisen zu folgen. Durch Verzeichnislistings werden die Inhalte eines Verzeichnisses in einer Übersicht präsentiert, sofern in dem jeweiligen Verzeichnis keine Indexdatei vorhanden ist. Dadurch besteht die Gefahr, dass Verzeichnisinhalte ungewollt veröffentlicht beziehungsweise von außen eingesehen werden können. Des Weiteren existiert durch die vorhandene FollowSymLinks-Anweisung die Möglichkeit, dass ein Angreifer durch einen symbolischen Verweis auf Dateien und Verzeichnisse zugreift, die außerhalb des als DocumentRoot definierten Verzeichnisses gespeichert sind.

Ich empfehle daher folgende Konfigurationsänderung (gekürzt):

<Directory »/usr/local/apache2/htdocs«>
Options None
AllowOverride None
Order allow,deny
Allow from all
</Directory>

Sollten Sie die genannten Funktionen für ein bestimmtes Verzeichnis benötigen, sollten Sie diese explizit zum Beispiel mit Hilfe einer Directory-Anweisung für das entsprechende Verzeichnis, aktivieren.