Sicherheitsaspekte

Zugriffsrechte

Alle Dateien unterhalb Ihres Homeverzeichnisses gehören Ihrem Benutzerkonto und Ihrer Benutzergruppe. Damit diese vom Webserver lesbar sind, reicht es aus, Verzeichnisse als ausführbar (x) und lesbar(r) und Dateien als lesbar für Eigentümer und Gruppe zu kennzeichnen. Alle anderen Nutzer ("Andere") benötigen keine Zugriffsrechte. Programmbibliotheken oder Konfigurationsdateien lassen durch die Kennzeichnung "nur lesbar" vor ungewollter Veränderung schützen.

Verzeichnisse und Dateien, die durch den Webserver beschreibbar sein sollen (z.B. ein Verzeichnis für Dateiuploads, Logdateien), müssen zusätzlich als beschreibbar (w) gekennzeichnet werden.

nach oben

Schutz eines Verzeichnisses

Deaktivieren der automatischen Verzeichnisauflistung

Sofern sich in einem Verzeichnis keine Startdatei mit dem Namen index.htm, index.html oder index.php befindet, wird im Browser eine Auflistung aller im Verzeichnis befindlichen Dateien und Ordner angezeigt, sobald ein Ordner direkt angesprochen wird. Dies kann ein Sicherheitsproblem darstellen, da unbefugte Nutzer so unter Umständen Zugriff auf Konfigurations- oder Logdateien erhalten und sich z.B. Zugangsdaten erschließen können. Um die automatische Verzeichnisauflistung zu deaktivieren, legen Sie in dem zu schützenden Verzeichnis eine Datei mit dem Name ".htaccess" und folgendem Inhalt an:

Options -Indexes

Für das Verzeichnis und alle Unterverzeichnisse, im dem sich die .htaccess befindet, wird damit die Auflistung des Verzeichnis-Inhalts deaktiviert. Es empfiehlt sich deshalb, die Datei zentral im Ordner webdir abzulegen, um die Verzeichnisauflistung automatisch auch für alle Unterverzeichnisse zu deaktivieren.

Hinweis: Bei allen neu erstellten Benutzerkonten wird diese Datei im Verzeichnis webdir automatisch angelegt.

Zugriffschutz für Verzeichnisse

1. Zugriffsschutz über IP-Adresse

Legen Sie dazu in dem zu schützenden Verzeichnis eine .htaccess-Datei mit folgendem Inhalt an:

Order Allow,Deny
Allow from 139.18.14.88
Allow from 134.56.7.2

Das Verzeichnis ist jetzt nur für die angegebenen IP-Adressen erreichbar. Allen anderen IP-Adressen wird der Zugriff verweigert. Beachten Sie jedoch, dass ein Nutzer seine Absender-IP-Adresse prinzipiell auch fälschen kann. Der Zugriffsschutz über IP-Adressen bietet deshalb keinen 100 prozentigen Schutz vor unerlaubtem Zugriff.

2. Zugriffsschutz über Benutzername und Passwort

Legen Sie dazu in dem zu schützenden Verzeichnis eine .htaccess-Datei mit folgendem Inhalt an:

authType basic
authName "Interner Bereich!"
order deny,allow
require valid-user
authUserFile /data/homewww/IHR_BENUTZERNAME/.htpasswd

Zum Erzeugen der .htpasswd-Passwortdatei kann das Programm htpasswd verwendet werden, welches beim SSH-Login auf www.uni-leipzig.de zur Verfügung steht.

Anlegen einer htpasswd-Datei mit SHA-Verschlüsselung

Zur Erzeugung einer solchen Passwortdatei verbinden Sie sich bitte per SSH zum Webserverver. Geben Sie auf der Konsole folgenden Befehl ein und ersetzen Sie dabei "BENUTZERNAME" durch den gewünschten Benutzernamen.

htpasswd -s -c .htpasswd BENUTZERNAME

Nach Drücken der <Enter>-Taste werden Sie vom Programm zur zweimaligen Eingabe des Passworts aufgefordert:

New password: ********
 Re-type new password: ********
Adding password for user BENUTZERNAME

Wollen Sie einen Passworteintrag für einen weiteren Nutzers erzeugen, verfahren Sie wie folgt:

htpasswd -s .htpasswd WEITERER_NUTZER
New password: ********
 Re-type new password: ********
Adding password for user WEITERER_NUTZER

Hinweise

  • Beginnen Sie den Dateinamen für die Passwort-Datei mit einem "Punkt" und wählen Sie z.B. den verbreiteten Namen ".htpasswd". Der Webserver ist so konfiguriert, dass Dateien, die mit einem Punkt beginnen, nicht heruntergeladen werden könnnen. So verhindern Sie, dass jemand Zugriff auf Ihre Zugangsdaten erhält.
  • Legen Sie die Passwort-Datei nicht im webdir-Verzeichnis, sondern oberhalb davon im Homeverzeichnis oder einen Unterverzeichnis davon an. Damit können Sie ebenfalls verhindern, dass die Datei über den Browser heruntergeladen werden kann.

nach oben

Sicherer Betrieb von Content-Management-Systemen

Viele Nutzer setzen für ihre Webseite ein Content-Management-System (CMS) wie Wordpress, Joomla, Drupal oder Typo3 ein. Doch obwohl eine Webseite damit meist sehr schnell umgesetzt ist und quasi "out-of-the-box" funktioniert, sollten zusätzliche Maßnahmen ergriffen werden, um einen einen fehlerfreien und dauerhaft sicheren Betrieb der Webseite zu gewährleisten. Regelmäßig werden in solchen Systemen Schwachstellen bekannt, die Angreifer dazu nutzen, um sich unbefugten Zugang zur Webseite zur verschaffen.

Unabhängig davon, welches CMS Sie konkret einsetzen, sollten deshalb folgende Maßnahmen immer ergriffen werden:

Absichern des Administration- bzw. Redaktionszugangs

Viele Angriffe werden über Schwachstellen im Redaktions- und Administationsbereich der Software durchgeführt. Sichern Sie deshalb den Zugriff auf den Administrationsbereich zusätzlich über eine entsprechende .htaccess-Datei, die entweder eine zusätzliche Password-Eingabe notwendig macht, oder den Zugriff nur aus einem bestimmten Netzbereich erlaubt.

Vorsicht bei der Verwendung von Erweiterungen

Relativ häufig sind fehlerhaft programmierte Erweiterungen von Drittanbietern die Ursache von Schwachstellen, die Angreifer dann als Einfallstor in die Anwendung nutzen können. Verwenden Sie deshalb nur bekannte und getestete Erweiterungen aus renommierten Quellen und versuchen Sie, Erweiterungen möglichst sparsam einzusetzen. Erweiterungen, die nicht benötigt werden, sollten nicht nur deaktiviert, sondern komplett deinstalliert werden.

Regelmäßige Aktualisierung

Aktualisieren Sie die Software und die verwendeten Erweiterungen regelmäßig, um Fehler und inzwischen bekannt gewordene Sicherheitslücken zu schließen. Die meisten Content-Management-Systeme können "per Knopfdruck" direkt aus dem Administrationsbereich heraus aktualisiert werden.

Verfolgen Sie nach Möglichkeit die Sicherheitsmeldungen des Herstellers bzw. der Entwickler-Community, um sich über neue Versionen der Software und sicherheitsrelevante Updates zu informieren.

nach oben

SSL-Verschlüsselung

Aktuelles SSL-Server-Zertifikat von www.uni-leipzig.de

Die Datenübertragung zwischen dem Browser und dem Webserver kann verschlüsselt über SSL übertragen werden. Der Webserver stellt dafür ein SSL-Zertifikat zur Verfügung, dessen Wurzelzertifikat bereits in allen aktuellen Browsern integriert ist. Verwenden Sie für die verschlüsselte Datenübertragung statt www.uni-leipzig.de/~ihr_kontoname/

einfach https://www.uni-leipzig.de/~ihr_kontoname/

Gerade bei der Übertragung von personenbezogenen oder andern sensiblen Daten (meist über Login-Formulare) sollte sichergestellt werden, dass immer HTTPS verwendet wird!

nach oben

letzte Änderung: 07.04.2015

Hilfe

Servicedesk

Neues Augusteum
2. Etage, Raum A252

Telefon: +49 341 97-33333
E-Mail

Suche

Nur in "Dienste" suchen