Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision		 Previous revision
de:2.0:serversecurity [2025/02/07 15:16] hilo73de:2.0:serversecurity [2025/02/07 15:28] (current) hilo73
Line 3: Line 3:
 Für einen sicheren Betrieb ist es immer ratsam, die aktuellen Software-Versionen auf seinem Server einzusetzen. Wer ein Hosting-Paket nutzt, kann sich in der Regel auf die Updates seines Betreibers verlassen, wer eigene Server betreibt sollte unbedingt auf Aktualität achten. Für einen sicheren Betrieb ist es immer ratsam, die aktuellen Software-Versionen auf seinem Server einzusetzen. Wer ein Hosting-Paket nutzt, kann sich in der Regel auf die Updates seines Betreibers verlassen, wer eigene Server betreibt sollte unbedingt auf Aktualität achten.
  
-Sofern Apache als Webserver eingesetzt wird, ist es möglich, durch die .htaccess-Datei im Hauptverzeichnis die Konfiguration des Servers anzupassen.+Sofern Apache als Webserver eingesetzt wird, ist es möglich, durch die .htaccess-Datei im Hauptverzeichnis die Konfiguration des Servers anzupassen. Bei nginx-Servern, muss die Datei /etc/nginx/nginx.conf oder die je nach Website vorhandene Konfiguration unter /etc/nginx/sites-available/ bearbeitet werden.
  
 ===== Security Header einsetzen ===== ===== Security Header einsetzen =====
Line 14: Line 14:
 • und hier ein super Vortrag vom CCC zum Thema: https://youtu.be/xbPK6ux9C7o?si=9vw-YGDran_Dhn0w • und hier ein super Vortrag vom CCC zum Thema: https://youtu.be/xbPK6ux9C7o?si=9vw-YGDran_Dhn0w
  
-==== Eigenen Server testen ====+==== Eigenen Server und Website testen ====
  
 Unter https://securityheaders.com/ oder https://observatory.mozilla.org könnt ihr auch eure eigene Seite testen und bekommt eine Auswertung, welche Header aktiv sind und welche nicht. Beide Seiten haben etwas unterschiedliche Kriterien zur Bewertung, aber es sind alle Einstellung umfangreich dokumentiert und mit Anwendungsbeispielen bzw. Empfehlungen versehen. Die ganzen Optionen muss man halt wirklich für seine eigenen Bedürfnisse anpassen und passen nicht immer für jede Website gleich gut. Unter https://securityheaders.com/ oder https://observatory.mozilla.org könnt ihr auch eure eigene Seite testen und bekommt eine Auswertung, welche Header aktiv sind und welche nicht. Beide Seiten haben etwas unterschiedliche Kriterien zur Bewertung, aber es sind alle Einstellung umfangreich dokumentiert und mit Anwendungsbeispielen bzw. Empfehlungen versehen. Die ganzen Optionen muss man halt wirklich für seine eigenen Bedürfnisse anpassen und passen nicht immer für jede Website gleich gut.
  
-==== .htaccess-Einträge setzen ====+==== .htaccess-Einträge setzen (Apache) ====
  
 Für Admidio sollten grundlegende Einstellungen in der .htaccess gesetzt werden um einen möglichst hohen Sicherheitsgrad zu erreichen, da auch Vereinsdaten durch Angriffsszenarien in Gefahr sein können. Für Admidio sollten grundlegende Einstellungen in der .htaccess gesetzt werden um einen möglichst hohen Sicherheitsgrad zu erreichen, da auch Vereinsdaten durch Angriffsszenarien in Gefahr sein können.
Line 54: Line 54:
 </code> </code>
  
 +==== nginx.conf-Einträge setzen (nginx) ====
 +
 +Für nginx muss die Schreibweise etwas verändert werden. Dort wird am Anfang "add_header" statt "Header set" verwendet, am Ende muss die Zeile mit einem Semikolon abgeschlossen werden.
 +
 +<code>
 +## Beispiel einer nginx.conf
 + add_header strict-transport-security "max-age=31536000; includeSubDomains";
 +....
 +</code>
  • de/2.0/serversecurity.1738937810.txt.gz
  • Last modified: 2025/02/07 15:16
  • by hilo73