FCGI-Versionen ab 0.69 und bis zu 0.71 inklusive sind extrem
strict in der Behandlung von Unicode, und verweigern bestimmte
Eingaben von kivitendo. Falls es Probleme mit Umlauten in Ihrer
@@ -88,13 +86,11 @@ FcgidMaxRequestLen 10485760
<Directory /path/to/kivitendo-erp>
AllowOverride All
Options ExecCGI Includes FollowSymlinks
- Order Allow,Deny
- Allow from All
+ Require all granted
</Directory>
<DirectoryMatch /path/to/kivitendo-erp/users>
- Order Deny,Allow
- Deny from All
+Require all denied
</DirectoryMatch> Hierdurch wird nur ein zentraler Dispatcher gestartet. Alle
Zugriffe auf die einzelnen Scripte werden auf diesen umgeleitet.
Dadurch, dass zur Laufzeit öfter mal Scripte neu geladen werden,
@@ -108,11 +104,37 @@ AliasMatch ^/url/for/kivitendo-erp-fcgid/[^/]+\.pl /path/to/kivitendo-erp/dispat
Alias /url/for/kivitendo-erp-fcgid/ /path/to/kivitendo-erp/ Dann ist unter /url/for/kivitendo-erp/
die normale Version erreichbar, und unter
/url/for/kivitendo-erp-fcgid/ die
- FastCGI-Version. 2.6.3. Weitergehende KonfigurationFür einen deutlichen Sicherheitsmehrwert sorgt die Ausführung
+ FastCGI-Version. 2.6.3. Authentifizierung mittels HTTP Basic Authentication
+ Kivitendo unterstützt, dass Benutzerauthentifizierung über den Webserver mittels des »Basic«-HTTP-Authentifizierungs-Schema erfolgt
+ (siehe RFC 7617). Dazu ist es aber nötig, dass der dabei vom Client
+ mitgeschickte Header Authorization vom Webserver an Kivitendo über die Umgebungsvariable
+ HTTP_AUTHORIZATION weitergegeben wird, was standardmäÃig nicht der Fall ist. Für Apache kann dies über die
+ folgende Konfigurationsoption aktiviert werden:
+ SetEnvIf Authorization "(.*)" HTTP_AUTHORIZATION=$1 2.6.4. Aktivierung von mod_rewrite/directory_match für git basierte Installationen
+ Aufgrund von aktuellen (Mitte 2020) Sicherheitswarnungen für git basierte Webanwendungen ist die mitausgelieferte .htaccess
+ restriktiver geworden und verhindert somit das Auslesen von git basierten Daten.
+ Für debian/ubuntu muss das Modul mod_rewrite einmalig so aktiviert werden:
+ a2enmod rewrite
+ Alternativ und für Installationen ohne Apache ist folgender Artikel interessant:
+ git-lücke.
+ Anstelle des dort beschriebenen DirectoryMatch für Apache2 würden wir etwas weitergehend auch noch das Verzeichnis config miteinbeziehen
+ sowie ferner auch die Möglichkeit nicht ausschlieÃen, dass es in Unterverzeichnissen auch noch .git Repositories geben kann.
+ Die Empfehlung für Apache 2.4 wäre damit:
+
+ <DirectoryMatch "/(\.git|config)/">
+ Require all denied
+ </DirectoryMatch>
+
+ 2.6.5. Weitergehende KonfigurationFür einen deutlichen Sicherheitsmehrwert sorgt die Ausführung
von kivitendo nur über https-verschlüsselten Verbindungen, sowie
weiteren Zusatzmassnahmen, wie beispielsweise Basic Authenticate. Die
Konfigurationsmöglichkeiten sprengen allerdings den Rahmen dieser
Anleitung, hier ein Hinweis auf einen entsprechenden Foreneintrag
- (Stand Sept. 2015) und einen aktuellen (Stand Mai 2017)
-
- SSL-Konfigurations-Generator. 2.6.6. Aktivierung von Apache2 modsecurityAufgrund des OpenSource Charakters ist kivitendo nicht "out of the box" sicher.
+ Organisatorisch empfehlen wir hier die enge Zusammenarbeit mit einem kivitendo Partner der auch in der
+Lage ist weiterführende Fragen in Bezug auf Datenschutz und Datensicherheit zu beantworten.
+Unabhängig davon empfehlen wir im Webserver Bereich die Aktivierung und Konfiguration des Moduls modsecurity für den Apache2, damit
+XSS und SQL-Injections verhindert werden. Als Idee hierfür sei dieser Blog-Eintrag genannt:
+
+ Test Apache2 modsecurity for SQL Injection. | ![[Anmerkung]](system/docbook-xsl/images/note.png)
![[Warnung]](system/docbook-xsl/images/warning.png)