Sicherheitseinstellungen Menalto Gallery2
Nach der Installation der Menalto gallery2 sollten Sie folgende sicherheitsrelevanten Einstellungen überprüfen und ggf anpassen:
- Den Zugriff auf die Gallery2 Code Dateien (*.[inc|class]) unterbinden:
Dadurch wird vermieden, dass Besucher Ihrer Gallery die exakte Version herausfinden und so gezielt nach Schwachstellen und dafür verfügbaren Angriffsroutinen zu suchen. Fügen Sie hierfür folgenden Code in Ihre ».htaccess« Datei im Document Root der Gallery2 ein:
.htaccess
<Files ~ "\.(inc|class)$"> Deny from all </Files> <Files MANIFEST> Deny From All </Files>
- Dem »Gallery2« (resp. dem Document Root) Verzeichnis die Schreibrechte für Everyone entziehen:
Document Root Permissions
# drwxr-xr-x 10 root root 4096 24. Apr 15:35 gallery2
- Dem Data Verzeichnis »g2data« die Rechte für Everyone entziehen:
Note: Diese Einstellung ist undokumentiert und funktioniert nur dann, wenn der User, unter welchem der Webserver läuft, als Owner eingestellt ist:
g2data Permissions
drwxrwx--- 9 www-data www-data 4096 12. Apr 18:02 g2data
- Das Directory Listening verbieten:
Dadurch wird verhindert, dass in Verzeichnissen wo keine Standardseite vorhanden ist,ein Verzeichnislistening angezeigt wird. Sie können das testen indem Sie Ihre URL mit dem Zusatz »/modules« aufrufen. Wird Ihnen der Verzeichnisinhalt angezeigt, ist das Directory Listening aktiv. Sie können das mit der »Options -Indexes« Anweisung deaktivieren. An welcher Stelle Sie das machen können, hängt von Ihrer Webserver Konfiguration ab. Ist kein globales »AllowOverride All« in Ihrer »httpd.conf« aktiviert, müssen Sie die folgende Anweisung in ihrer »httpd.conf« eintragen (und die Webserver Konfiguration neu laden → »/etc/init.d/apache2 reload«). Wird trotz fehlender globaler »AllowOverride All« Directive der folgende Abschnitt in die lokale ».htaccess« eingetragen, wird beim Aufruf der Seite ein Error 500 Code zurückgegeben. Ersetzen Sie den Pfad zum Document Root mit Ihrem entsprechenden Pfad:
/etc/apache2/httpd.conf
<Directory /home/media.prontosystems.de/gallery2> Options -Indexes </Directory>
- Die Datei »config.php« ausreichend absichern:
In dieser Datei sind ##Passwörter im Klartext## hinterlegt und auf diese Datei sollte man ein besonderen Augenmerk legen. Diese Datei muss vom Webserver gelesen werden können, deshalb geben wir den Besitz an zB www-data ab (Das ist der User unter dem mein Apache läuft) und entziehen die Lese-/Schreibrechte für Everyone:
config.php
-rw-r----- 1 www-data www-data 8257 12. Apr 18:03 config.php
Diese Einstellungen haben nicht den Anspruch vollständig zu sein, oder bei anderen Webserverkonfiguration sowohl lauffähig, wie auch ausreichend sicher zu sein. Sie stellen nur die für meine Installation vorgenommenen Änderungen der Standardeinstellungen dar. Ein signifikanter Unterschied zu vielen anderen Installationen ist, dass dieser Server ein sog »dedicated server« ist, dh dieser Server ist nur ausschließlich für meine Zwecke verfügbar und ist kein Mietserver, auf dem evtl. noch andere, fremde Webseiten gehostet werden oder gar Zugang zum System haben.
