Directory /
AllowOverride None
Order Deny, Allow
Deny from All
/Directory
wird sichergestellt, daß der Webserver zunächst ein mal keinen Zugriff auf Directories hat (auf gar keines!).
Wenn der Apache-Server ein Dokument an einen Client ausliefert, z.B. /home/Webprogrammierer/TolleSeite.html,
dann sucht der Webserver in jedem Directory hier also in /, /home und in /home/Webprogrammierer nach
.htacces-Files (.htacces ist der Default-Name). In diesen Files kann man systemweite Einstellungen überschreiben.
Durch AllowOverride None wird dies verhindert.
Durch weitere Directory
Einträge kann man festlegen, auf welche Verzeichnisse der
Server zugreifen darf und welche Aktionen zuläßig sind und welche nicht. Für weitere Informationen
zum
Directory
-Parameter siehe http://www.apache.org/docs/mod/core.html#directory.
VirtualHost 10.0.0.1
ServerName www.toller-server.de
ServerAdmin webmaster@toller-server.de
DocumentRoot /www/toller-server
/VirtualHost
Beim Eintragen von VirtualHosts ist darauf zu achten, daß der Server eine IP-Adresse und einen Hostnamen
hat. Trägt man z.B. statt der IP-Adresse einen Hostnamen ein, könnte ein Angreifer durch DNS-Manipulation
sämtlichen Datenverkehr an den Server umlenken, in dem er dem Servernamen eine andere IP-Adresse zuordnet.
Auf der Apache-Webseite sind unter http://www.apache.org/docs/dns-caveats.html folgende Empfehlungen
zur Vermeidung von DNS-Angriffen zu finden:
Der VirtualHost _default_ Eintrag fängt alle IP-Adressen, die nicht explizit vorher in einem VirtualHost-Statement angegeben wurden ab. Fehlt dieser Eintrag, würde für einen virtuellen Webserver, der nicht mit einem VirtualHost-Eintrag konfiguriert wurde, das gleiche Konfigurationsfile verwendet werden, wie für den Hauptserver. Dies dürfte in den meisten Fällen unerwünscht sein.
Damit die HTTP-Clients das Feature ,,automatische Proxykonfiguration`` (vgl. nächster Abschnitt) nutzen können, habe ich im ,,mime-type``-Konfigurationsfile den Type ,,application/x-ns-proxy-autoconfig`` für Dateien mit der Endung .pac hinzugefügt. Dadurch ist es dem Webserver möglich, den richtigen MIME-Type für das Proxy-Konfigurationsskript an die Clients, zu übermitteln (vgl. Abschnitt 4.6.2.4). Um die Webserber beim Booten des Systems automatisch zu starten, habe ich ein entsprechendes Shell-Skript geschrieben.