Logo: Leibniz Universität Hannover

Sicherer Webserver

Zur Absicherung Ihres WWW-Servers sollte ergänzend zu den allgemeinen Sicherheitsmaßnahmen zur Serversicherheit Folgendes beachtet werden:

  • Einsatz eines ausreichend dimensionierten Rechners - insbesondere im Hinblick auf die maximale Anzahl der offenen Verbindungen
  • Installation eines HTTP-Servers, der bei Sicherheitsproblemen vom Hersteller aktualisiert wird
  • Minimale Rechtevergabe für alle Programme und Dateien: Der HTTP-Server sollte z.B. unter UNIX nicht mit Root-Privilegien sondern als User www gestartet werden - dem User www dann keine unnötigen Zugriffsrechte auf andere Dateien oder Programme gewähren
  • Abschalten von Server-Side-Includes, sofern Sie sich nicht Klarheit über die speziellen Sicherheitsprobleme haben und diese in Kauf nehmen müssen - insbesondere die exec-Form der SSI sollte abgeschaltet werden
  • Verwenden von CGI-Programmen (Common Gateway Interface) nur, wenn dies unbedingt notwendig ist, z.B. für die Anbindung einer Datenbank - niemals Shells, Interpreter o.ä. in das cgi-bin-Verzeichnis stellen

Apache Webserver - Installation und sicherer Betrieb

An dieser Stelle weisen wir auf die vom Bundesamtes für Informationstechnik (BSI) veröffentlichte Studie zu Installation und Betrieb eines sicheren Apache Web-Servers hin. Die Studie ist sehr umfangreich und beinhaltet u.a. folgende Themen:

  • Architektur von Apache 1.3 und 2.0
  • Konfiguration und Konfigurationsdateien
  • Absicherung, Prüflisten

Apache Web-Server Sicherheitsstudie des BSI (PDF)

Microsoft Internet Information Server (IIS) - Installation und sicherer Betrieb

An dieser Stelle weisen wir auf die vom Bundesamt für Informationstechnik (BSI) veröffentlichte Studie zu Installation und Betrieb eines sicheren Microsoft Internet Information Server (IIS) hin. Die Studie ist sehr umfangreich beinhaltet u.a. folgende Themen:

  • Installation, Administration und Einsatzumgebung verschiedener Versionen des IIS
  • Gefährdungen und Schwachstellen
  • Sicherheitsmaßnahmen

vom BSI zu dem Thema: IIS Sicherheitsstudie (PDF, bis IIS 5.0), Grundschutz-Baustein B5.10, IIS-Checkliste (PDF, nur IIS 6.0)


Zudem sei hier auf das von Microsoft für IIS bereitgestellte Tool URLScan hingewiesen. Zwar sind die meisten Sicherungen, die URLScan bietet, im IIS 6.0 eingebaut, das Tool lohnt sich aber für ältere IIS-Versionen und die Dokumentation listet die Möglichkeiten vergleichend mit denen des IIS 6.0 auf - die Webseite zu urlscan lohnt sich also auch dann, wenn man IIS 6.0 betreibt und das Tool gar nicht installieren möchte:

Regionales Rechenzentrum für Niedersachsen - URL: www.rrzn.uni-hannover.de/its_server_sicher.html?&L=1
 
Birgit Gersbeck-Schierholz, Last Change: 15.03.2010
Copyright Gottfried Wilhelm Leibniz Universität Hannover