M 3.37 Schulung der Administratoren eines Apache-Webservers
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Um den Apache-Webserver korrekt und sicher administrieren zu können, ist eine Schulung der verantwortlichen Administratoren unumgänglich. Schon kleine Konfigurationsfehler können dazu führen, dass Sicherheitslücken entstehen. Besonders die korrekte Konfiguration von Zugangsbeschränkungen zu bestimmten Bereichen des Webangebots erfordert gute Kenntnisse der vorhandenen Möglichkeiten und ihrer Beschränkungen.
Aufgrund der starken Interaktion zwischen den Sicherheitsmechanismen der Apache-Software und des zugrundeliegenden Betriebssystems müssen den Administratoren des Apache-Webservers auch die Sicherheitsmechanismen des Betriebssystems bekannt sein. Dies gilt auch dann, wenn die Administratoren des Apache-Webservers nicht gleichzeitig auch für die Administration des Betriebssystems zuständig sind.
Neben den Aspekten der allgemeinen Betriebssystemsicherheit sollten folgende Aspekte Gegenstand der Schulung sein:
- Methoden der Installation des Apache-Webservers (Installation über die Paketverwaltung des Betriebssystems, Binärversionen der Apache Foundation, gegebenenfalls Kompilieren aus dem Quellcode).
- Konfigurationsmöglichkeiten des Apache-Webservers, Syntax der Konfigurationsdateien.
- Möglichkeiten zur Einbindung des Apache-Webservers in den Startprozess des Betriebssystems.
- Mechanismen der Benutzerauthentisierung beim Apache-Webserver, Einsatzgebiete, Vor- und Nachteile der einzelnen Mechanismen.
- Einrichten und Verwalten von Zugangsbeschränkungen beim Apache-Webserver.
- Zusammenspiel der Konfiguration von Zugangsbeschränkungen in der Apache-Konfiguration mit Zugriffsberechtigungen auf Betriebssystem- und Dateiebene, beispielsweise bei Verwendung von URL-Rewriting oder symbolischen Links.
- Möglichkeiten zur Aufteilung von Kompetenzen zwischen den Server-Administratoren und "Redakteuren", Entwicklung von Rechte- und Rollenkonzepten.
- Möglichkeiten zur Abbildung eines "organisatorischen" Rechte- und Rollenkonzepts mit Hilfe der Benutzer- und Rollenverwaltung des Betriebssystems.
- Einsatzmöglichkeiten und Konfiguration von SSL beim Apache-Webserver.
- Maßnahmen zur Sicherstellung der Verfügbarkeit beim Apache-Webserver.
- Möglichkeiten und Risiken beim Einsatz von CGI-Skripten und Server-Erweiterungen. Kriterien zur Auswahl geeigneter Erweiterungen und Programmiermethoden.
- Datensicherung beim Apache-Webserver.
Ergänzende Kontrollfragen:
- Sind die Administratoren auf den Umgang mit dem Apache-Webserver vorbereitet und insbesondere in sicherheitsrelevanten Aspekten geschult?
- Sind die Administratoren im Umgang mit dem genutzten Betriebssystem und seinen sicherheitsrelevanten Aspekten geschult?