Sichere config für den Apachen...

#1
Mein liebes Debian hat mir heute über den Port 443 ein bissel zu viel verraten...

Wenn man eine Domain auf meinem Server über Port 443 angesprochen hat, dann hat dieser fleißigst ein Directory-Listing angeboten, obwohl ich in der /etc/apache2/sites-available/default ein -Indexes stehen habe:

Code:
NameVirtualHost *
<VirtualHost *>
   ServerAdmin webmaster@localhost

   DocumentRoot /var/www/[SIZE=1]
<Directory /var/www/>
   Options -Indexes FollowSymLinks MultiViews
   AllowOverride None
   Order allow,deny
   allow from all
</Directory>
   ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
<Directory "/usr/lib/cgi-bin">
   AllowOverride None
   Options ExecCGI -MultiViews +SymLinksIfOwnerMatch
   Order allow,deny
   Allow from all
</Directory>
   ErrorLog /var/log/apache2/error.log
# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
   LogLevel warn
   CustomLog /var/log/apache2/access.log combined
   ServerSignature Off
</VirtualHost>
[/SIZE]
die vhost kanns nicht gewesen sein, denn die hat ja keinen Eintrag für den Port 443, oder irre ich da...?
 
#3
wo finde ich die Versionsnummer? :(

Die aktuellste wird es wohl sicherlich nicht sein, denn ein Upgrade auf dem Produktiv-System, keine Ahnung, was dann wieder alles zu fixen ist...

Nachtrag:

ISPConfig
Version:
2.2.19
(c) ISPConfig 2008
 
Zuletzt bearbeitet:
#5
Das dachte ich mir zwar schon irgendwie, jedoch stellt sich mir die Frage:

warum ist da die default noch aktiv?

Ich habe jetzt mit
Code:
a2dissite default
die Config jetzt mal rausgenommen...

Deaktiviert ISPConfig die bestehenden Configs vom Apachen nicht?
Ich habe jetzt mal ein wenig in der bash-History nachgeguckt, und kein a2ensite default gefunden, von daher gehe ich aus, daß ISPConfig die Default-Settings bei meinem Debian nicht angerührt hat.
Ist zwar löblich, aber ich denke, das sollte im HowTo hier auf der Seite dann auch angerissen werden... ;)
 

Till

Administrator
#6
Sobald Du eine SSL site anlegst, verweist die IP auf diese site. Wenn Du keine SSL sites hast, dann nimm einfach die Listen Direktive für Port 443 raus.

In einer Standard Debian Installation nach dem Perfect setup findest Du in der Datei 000-default auch noch die Zeile:

RedirectMatch ^/$ /apache2-default/

Die dafür sorgt, dass das von Dir beschriebene Verhalten nicht auftreten sollte. Ich vermute mal, Du hattest sie gelöscht.
 

Werbung

Top