Sicherheitstrakt

Die bisherigen Einstellungen führen zu einem Webserver ohne viel Schnickschnack. Von den versprochenen Sicherheitsfunktionen war bislang nicht viel zu sehen. Zeit also, Hiawathas Versprechen einzulösen. Als erste Maßnahme sollte man Hiawathas Gesprächsdrang in geordnete Logfiles lenken:

SystemLogfile = /usr/local/var/log/hiawatha/§system.log
AccessLogfile = /usr/local//var/log/hiawatha/access.log
ErrorLogfile = /usr/local//var/log/hiawatha/error.log
GarbageLogfile = /usr/local//var/log/hiawatha/garbage.log

Im »SystemLogfile« landen alle allgemeinen Meldungen des Daemons, Zugriffe protokolliert das »AccessLogfile« , während das »ErrorLogfile« Fehler aufzeichnet. Die letzte Zeile sammelt schließlich noch eingehenden Müll, also alle fehlerhaften oder unvollständigen HTTP-Anfragen. Gerade letztere liefern häufig erste Anhaltspunkte für Einbruchversuche.

Bislang lauschte der Webserver ausschließlich an Port 80. Um sich an diesen binden zu können, benötigt Hiawatha Root-Rechte. Mit diesen auf Dauer im Hauptspeicher zu verweilen ist allerdings nicht ratsam. Daher wechselt Hiawatha direkt nach seinem Start automatisch zum Benutzer »nobody« . Die Einstellung »ServerId« bringt den Webserver dazu, zu einem beliebigen anderen Benutzer zu wechseln, wie beispielsweise »ServerId = www-data« .

Güterverknappung

Als nächstes kann der Admin die Gefahr von Denial-of-Service-Angriffen (DoS) etwas mindern, indem rt die Anzahl der gleichzeitig von Hiawatha verdaubaren Verbindungen reduziert – und zwar sowohl insgesamt, als auch pro IP-Adresse:

ConnectionsTotal = 150
ConnectionsPerIP = 10

Und wenn er gerade dabei ist, begrenzt er am besten auch noch den internen Cache, beispielsweise auf 15 MByte:

CacheSize = 15

Zusätzlich kann der Admin Hiawatha noch anweisen, ausschließlich Dateien in den Cache aufzunehmen, die zwischen »CacheMaxFilesize« (in KB) und »CacheMinFilesize« (in Bytes) groß sind:

CacheMaxFilesize = 128
CacheMinFilesize = 256

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019