Ach wie gut, dass niemand weiß, dass ich lighttpd heiß

Posted on the August 19th, 2007 under tipps by matthias

Angeregt durch den Artikel “Webserver zum schweigen bringen” im adminday-Blog habe ich meinem Webserver lighttpd die Redseligkeit ausgetrieben. Zuerst habe ich den bereits erwähnten Tipp, die Versionnummer der genutzten PHP Installation zu verbergen, durchgeführt. Bei Nutzung von PHP5 muss in der Datei /etc/php5/cgi/php.ini folgende Änderung gemacht werden:

[sourcecode language="css"]expose_php = Off[/sourcecode]

Um nun die Version des Webservers zu verschleiern, gibt es beim lighty die Variable server.tag (ungefähr gleichwertiges Pendant zu Apaches ServerTokens). Hier kann man nun irgendeinen beliebigen Namen für den Webserver eintragen:

[sourcecode language="css"]server.tag = "Internet Information Server v0.2r1"[/sourcecode]

Überprüfen kann man den vom Webserver gelieferteren HTTP Header abschließend mit cURL:

[sourcecode language="css"]curl -I http://www.myserver.org[/sourcecode]

Selbstredend bringt auch “Security through obscurity” nur einen trügerischen Schutz. Automatisierten Scripts, die nur nach der Versionsnummer einer verwundbaren Software suchen, kann man hiermit jedoch aus dem Wege gehen. Natürlich ist es trotzdem Pflicht die Software stets auf dem aktuellen Stand zu halten und kritische Sicherheitsupdates schnellstmöglich einzuspielen.

Links:
via adminday.de “Webserver zum schweigen bringen”

|

15 Responses to 'Ach wie gut, dass niemand weiß, dass ich lighttpd heiß'

Subscribe to comments with RSS
  1. 19. August 2007 at 20:11
    Stevie

    Hallo Matthias!

    Das ist ein wenig OT:
    Du verwendest also lighttp? Hast du bestimmte Gründe, was gegen Apache spricht?

  2. 19. August 2007 at 20:38
    prauscher

    Ergänzung: Mit mod_security und SecServerSignature kann man den Server-Header auch unter Apache beliebig verändern!

  3. 20. August 2007 at 12:47
    matthias

    @Stevie
    lighttpd ist ziemlich klein und schmal. Außerdem für wenige Seiten schnell konfiguriert. Da ich nur einen kleinen root-Server habe, ziehe ich lighty dem Apachen vor. Im professionellen Hostingumfeld nutze ich jedoch auch natürlich Apache.

    @prauscher
    Danke für die Ergänzung. Muss ich mir merken :)

  4. 21. August 2007 at 07:34
    prauscher

    Noch was: Den Automatischen Hackertools gehst du hiermit nicht aus dem Weg! Nicht, wenn du IIS angibst ;-) . Dann kommen eher mehr Fehleinbrüche!

  5. 21. August 2007 at 08:19
    matthias

    Die sollen ruhig versuchen die IIS Schwachstellen an meinem lighty abzugrasen ;)

  6. 21. August 2007 at 17:07
    Stefan

    Windows-Shellcode auf einem Linux-System, hmmm ;)

  7. 22. August 2007 at 02:08
    morph

    Also grundsätzlich bin ich ja auch dafür, etwas Verwirrung zu stiften. Aber dem Angreifer vorzumachen, da sei der IIS am Werke, na ich weiß nicht. Kannst ja mal berichten, ob die Frequenz des Servers mit dieser Finte höher ist oder ohne.

    Die ApacheFirewall mod_security macht so einen Blödsinn ja standardmäßig. Das muss man dann in der Konfiguration erst ändern. Ich hatte halt wesentlich mehr Angriffe auf den Server bei dieser Signatur als ohne sie. Und das kann dann natürlich auch zu Lasten der Performance gehen, wenn’s dumm läuft.

    Was ich jedoch an der mod_security sehr gut finde ist, dass man auch NULL String Angriffe und andere richtig heftige Sachen rausfiltern kann, bzw. es überhaupt mitbekommt. Außerdem kann man wirklich *alles* mitloggen ohne da noch einen Sniffer zwischenhängen zu müssen, also auch die POST Daten. Dann hat man auch eher eine Chance die Methoden zu analysieren. Ich habe durch dieses Modul sehr viel über die Angriffsvarianten gelernt, weil ich ja quasi mit der Nase drauf gestoßen worden bin.

    Aber Vorsicht. Das Regelwerk der mod_security ist nicht ganz trivial. Es gibt zwar vorgefertigte Regelsätze, aber die sind meißt viel zu brockig. Man muss da auch immer wieder dran rumschrauben und die Regeln anpassen, weil man sich mit dem Ding die Performance eines Webservers ganz schnell in den Keller fahren kann.

  8. 22. August 2007 at 07:02
    matthias

    mod_security muss ich mir mal anschauen. Das hört sich äußerst interessant an.
    Bei mir heißen die lightys auch nicht IIS. Das war nur ein Beispiel im Beitrag, um das trockene Thema etwas peppiger zu gestalten ;)

  9. 30. August 2007 at 22:00
    Stevie

    Ist zwar OT, aber ich dachte, dass es Dich (und andere) vielleicht interessiert:

    Bugs in lighttpd

  10. 31. August 2007 at 08:23
    matthias

    @Stevie
    Update ist ja schon seit über 24h verfügbar. Wurde gestern eingespielt :)

  11. 31. August 2007 at 11:26
    Stevie

    @matthias:
    Nunja, ich hab mir das bei dir schon gedacht, aber zur Sicherheit eben doch geposted.

    Wenn ich die DSA lese, denke ich immer gleich daran, wen es interessieren könnte. Diesmal warst Du nun dabei – ich hoffe, das war ok?!

  12. 31. August 2007 at 12:14
    matthias

    Klar ist das ok :)
    Aber es gibt mit Sicherheit auch Leute, die nicht sehr schnell Patches einspielen …

  13. 31. August 2007 at 14:46
    Stefan

    “A bug in mod_access potentially allows remote users to bypass access restrictions via trailing slash characters.”
    LOL, Kindergartenbug :(

  14. 31. August 2007 at 14:55
    matthias

    Ist ja auch noch ein “junges” Projekt… (und ja, Apache ist auch toll)

  15. 31. August 2007 at 18:19
    Stefan

    Mir gehts garnicht um den Vergleich zum Apache; Software, die heutzutage noch solche “Kindergarten”-Bugs hat, würde ich ungern einsetzen…außerdem gabs in letzter Zeit noch einiges anderes an DOS-Bugs für lighty :(

Leave a Reply




XHTML::
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>