Hi,

durch welche Einstellungen in der .htaccess Datei, kann ich meinen Server sicherer gegen Angreifer machen?

Die Suche nach "mehr" Sicherheit bedingt *immer* erst mal, dass man sich mal ueber die moeglichen *Gefahren* Gedanken macht.

Also, lass uns an deinen Gedanken diesbezueglich doch bitte teilhaben.

MfG ChrisB

Moin!

---

.htaccess

order  allow, deny
deny from all
ErrorDocument 403 "Zugriff verboten!"
---

Folgen:

• keinerlei Anfrage, das Verzeichnis oder dessen Unterverzeichnisse betreffende Anfrage wird mehr beantworet. - Außer mit Fehler 403, einer hoffentlich statischen Ausgabe.

Ergo:

Der Server ist insoweit "sicher".
DDoS Attacken machen keinerlei Sinn mehr.

Geringfügiger Nachteil:
Es macht keinen Sinn einen so konfigurierten Webserver zu betreiben.

Hinweis: Die obigen Maßnahmen sind in der httpd.conf besser aufgehoben, weil allein schon die Möglichkeit vermittels .htaccess Einstellungen ändern zu können kreuzgefährlich ist. Also in in der Serverkonfiguration:

<Directory />
   Order Deny,Allow
   Deny from all
   AllowOverride None
</Directory>

Viel sicherer ist es den Apache gleich zu deinstallieren. Noch sicherer ist ein:

~> sudo rm -rf /*

Man sollte man aber erst auf einem Testsystem probieren, ob man mit den Nebenwirkungen dieses nicht unbeträchtlichen Sicherheitsgewinnes noch leben kann. (Manche Programme lassen sich dann nicht mehr ohne weiteres wie gewohnt starten...)

Mehr unter

http://httpd.apache.org/docs/1.3/misc/security_tips.html
http://httpd.apache.org/docs/2.0/misc/security_tips.html
http://httpd.apache.org/docs/2.2/misc/security_tips.html

MFFG (Mit freundlich- friedfertigem Grinsen)

fastix®