RSS
 

Posts Tagged ‘apache’

Apache-Sicherheit – SSLv2 deaktivieren und starke Verschlüsselung einsetzen

11 Nov

Ja ja, der liebe TÜV hat uns korrekterweise darauf aufmerksam gemacht, dass unsere Server unsichere Verschlüsselungsmethoden unterstützen und insbesondere SSLv2 deaktiviert werden muss. Absolut korrekt und Gott sei Dank auch sehr leicht zu bewerkstelligen.

Einmal bitte die /etc/apache2/httpd.conf editieren und folgende Zeilen einfügen:

SSLProtocol ALL -SSLv2
SSLCipherSuite HIGH:!SSLv2:!ADH:!aNULL:!eNULL:!NULL

Apache neu starten mit /etc/init.d/apache2 restart und schon sind wir sicher.

Zum Prüfen obs geklappt hat, gibt es diverse Shell-Scripts. Wer eines davon braucht – bitte einfach anmelden und nen Kommentar hinterlassen, dann schick ich das gerne zu.

Die Kontrolle durch mein mir vorliegendes Script war erfolgreich.

Vor der Umstellung:

Testing SSL2…
DES-CBC3-MD5 – 168 bits
RC2-CBC-MD5 – 128 bits
RC4-MD5 – 128 bits
DES-CBC-MD5 – 56 bits
EXP-RC2-CBC-MD5 – 40 bits
EXP-RC4-MD5 – 40 bits
Testing TLS1…
DHE-RSA-AES256-SHA – 256 bits
AES256-SHA – 256 bits
EDH-RSA-DES-CBC3-SHA – 168 bits
DES-CBC3-SHA – 168 bits
DHE-RSA-AES128-SHA – 128 bits
AES128-SHA – 128 bits
RC4-SHA – 128 bits
RC4-MD5 – 128 bits
EDH-RSA-DES-CBC-SHA – 56 bits
DES-CBC-SHA – 56 bits
EXP-EDH-RSA-DES-CBC-SHA – 40 bits
EXP-DES-CBC-SHA – 40 bits
EXP-RC2-CBC-MD5 – 40 bits
EXP-RC4-MD5 – 40 bits

Nach der Umstellung:

Testing SSL2…
Testing TLS1…
DHE-RSA-AES256-SHA – 256 bits
AES256-SHA – 256 bits
EDH-RSA-DES-CBC3-SHA – 168 bits
DES-CBC3-SHA – 168 bits
DHE-RSA-AES128-SHA – 128 bits
AES128-SHA – 128 bits

Alles also im grünen Bereich.

 
No Comments

Posted in Software

 

HTTP-Head Serverinfos – Versionen ausblenden

14 Dez

Heute hatte ich im Rahmen einer TÜV-Prüfung inkl. Server-Check die Aufgabe, die bösen bösen Headerinformationen die ein Apache und PHP standardmäßig mitschicken wenn man den Header abfragt, zu deaktivieren. Nachdem ich selbst eine Weile danach gesucht hatte, wollte ich hier kurz das Ergebnis meiner Recherchen bekannt geben.

Nach der Änderung liefert der Server nur noch folgendes:
HTTP/1.1 200 OK
Date: Mon, 14 Dec 2009 17:41:23 GMT
Server: Apache
Connection: close
Content-Type: text/html; charset=UTF-8

Deaktivieren kann man das Ganze natürlich ganz einfach in den jeweiligen Configdateien. Für den Apache ist das die apache2.conf (bei Debian unter /etc/apache2/apache2.conf zu finden). Bei mir war es sogar in der Datei /etc/apache2/conf.d/security hinterlegt.

Hier ändert man einfach die beiden folgenden Parameter:

ServerTokens Prod

ServerSignature Off

Um jetzt auch noch das hübsche X-Powered-By von PHP zu deaktivieren geht man in die php.ini seiner Wahl. Bei mir unter Debian ist die Verantwortliche Datei hier zu finden:

/etc/php5/apache/php.ini

Hier sollte es die Option “expose_php” geben. Diese stellt man einfach auf “Off” und schon sind alle glücklich.

EDIT:
Ein guter Freund hat mich darauf aufmerksam gemacht, auch noch folgendes in der php.ini einzufügen:

; Add X-PHP-Originating-Script: that will include uid of the script followed by the filename
mail.add_x_header = Off

Offensichtlich werden da beim Mailversand Infos mitgeschickt die niemanden etwas angehen…
Jetzt sind wir wirklich glücklich ;)

 
2 Comments

Posted in Software