Härten eines Apache Servers

Hier ein paar Punkte die man befolgen sollte wenn ein Apache Webserver im Netz steht.

ServerSignature Off

Die Direktive ServerSignature legt fest, ob Apache in automatisch generierte Dokumente wie Index- oder Fehlermeldungsseiten eine Fußzeile einfügen soll, die Informationen über die Server-Software, den Hostnamen und eventuell die E-Mail-Adresse des Administrators enthält. Es gibt drei mögliche Werte:

• Off: Apache erzeugt keine Informationsfußzeile.
• On. Es wird eine Fußzeile ohne E-Mail-Adresse generiert.

ServerTokens Prod

Die Direktive ServerTokens legt fest, wie ausführlich der Apache-Webserver seine Versionsinformationen im HTTP-Antwort-Header Server und in der durch ServerSignature definierten Fußzeile automatisch generierter Dokumente angibt. Folgende Werte sind dafür definiert:

• Prod oder ProductOnly. Es wird nur der Programmname ausgegeben: Apache.
• Major. Die Hauptversionsnummer wird angegeben. Beispiel: Apache/2.
• Minor. Haupt- und Unterversionsnummer werden kombiniert, zum Beispiel Apache/2.0.
• Min oder Minimal. Es werden Hauptversions-, Unterversions- und Releasenummer angegeben. Beispiel: pache/2.0.52.
• OS. Die vollständige Versionsnummer wie bei Minimal wird angegeben, zusätzlich steht in Klammern die Systemplattform. Zum Beispiel: Apache/2.0.52 (Unix).
• Full. Zusätzlich zur vollen Versionsnummer und dem Betriebssystem werden die Versionsdaten wichtiger Zusatzmodule angezeigt. Beispiel: Apache/2.0.52 (Unix) mod_perl/1.99_13 Perl/v5.8.3 PHP/5.0.1

Wenn möglich alles verbieten was nicht gebraucht wird.

# Alles verbieten
<Location />
   Order Deny,Allow
   Deny from all
</Location>

# Alles was im Hauptverzeichnis liegt erlauben. ZB. index.html
<Location /*>
   Order Allow,Deny
   Allow from all
</Location>

# Spezielle Verzeichnisse erlauben
<Location /verzeichnis/>
   Order Allow,Deny
   Allow from all
</Location>

# Options abdrehen wenn nicht gebraucht
<Directory /*>
   Options None
</Directory>