The Webalizer – Statistiken absichern

Wer einen Web-Server betreibt, der möchte – so wie ich – wissen, was so auf seinem Server vor sich geht. Welche Seiten werden besucht, wie viele, von wem, usw. Da bietet sich The Welalizer als Tool für die Auswertung der Access Logs an. Die Installation ist einfach, die Konfiguration auch. Dazu aber etwas in einem späteren Artikel. Hier möchte ich etwas über die Absicherung der Statistiken schreiben, weil mir auffiel, dass viele Administratoren die Statistiken nicht vor Zugriffen schützen.

Mit den Standardeinstellungen legt „The Webalizer“ die Auswertungen im Verzeichnis /svr/www/htdocs/webalizer ab. Damit sind sie einfach zugänglich. Um eine Absicherung gegen zu neugierigen Zeitgenossen kümmert sich „The Webalizer“ nicht. Die Daten gehören allerdings nicht in jedermanns Hände. Die Domain-Namen und IP-Adressen der Besucher – auch wenn nur die Top X (X in der Regel zwischen 10 und 30) angezeigt werden – gehen Dritten nichts an.

Aus den Top X der besuchten Seiten lässt sich aber oft erkennen, welche Verwaltungssoftware installiert wurde. Werden z.B. phpMyAdmin Zugriffe nicht explizit aus der Statistik ausgeschlossen, dann landet das Verzeichnis ggf. in der Statistik und ein Umbenennen des Standardverzeichnis ist wirkungslos. Die Verzeichnisstruktur des eigenen Servers sollte nicht mehr als notwendig offenbart werden.

Sind Teile des Servers mittels Username und Password über die Apache Authentisierung geschützt, dann enthält die Statistik auch die Top X der Nutzernamen. (Wer sich einen Überblick über diese Art der Konfiguration verschaffen will, suche bei Google oder einer anderen Suchmaschine nach Statistiken vom Januar 2012 mit inurl:webalizer/ inurl:usage_201201.html „Total Usernames“ (Google: 457 Treffer). Geht die schlechte Absicherung mit schwachen Passwörtern einher, ist ein Angreifer schnell drin. Die offen zugänglichen Statistiken zeigen; es wird gezielt nach The Webalizer Statistiken gesucht!

Watt nu? Ganz einfach das Verzeichnis /webalizer mit Apache absichern.

Absichern des Verzeichnis der Statistiken

Wird die Authentisierung genutzt, so ist es ein leichtes, auch das Statistik-Verzeichnis zu schützen. Wenn nicht, ist es auch nicht schwer. Die Installation des Apache beinhaltet im Normalfall alle Module, die für die Absicherung benötigt werden. Um das Statistik-Verzeichnis mit dem Apache-Passwort-Schutz zu versehen, werden – im einfachen Fall – in der default-server.conf folgende Zeilen – entscheidend sind die fett markierten – eingefügt:

<Directory "/srv/www/htdocs/webalizer">
    AuthType Basic
    AuthName "Webalizer Statistics"
    AuthUserFile /etc/apache2/httpusers
    Require valid-user
  Options None                                                                                                                                                                                
  AllowOverride None                                                                                                                                                                          
  Order allow,deny                                                                                                                                                                            
  Allow from all                                                                                                                                                                              
</Directory>  

Außerdem ist eine Datei /etc/apache2/httpusers mit den Nutzern Kombinationen anzulegen, die auf die Statistiken zugreifen dürfen. Dies geschieht mit:

 htpasswd2 -c /etc/apache2/httpusers <username>

Das Password wird zwei Mal abgefragt. (Es gibt auch eine Variante mit Password als Parameter, dies lese man mit htpasswd2 –help nach.)

Über diese Hürde kommt keine Suchmaschine. Über sichere Passwörter muss ich hier wohl nichts schreiben. Oder?

Darüber hinaus könnte das Verzeichnis /webalizer anders benannt oder, wenn mehrere virtuelle Hosts auf der Maschine laufen, die Statistiken auf einem eigenen virtuellen Host ausgelagert werden.

Eigener virtueller Host für Statistiken

Werden mehrere virtuelle Server betrieben, können die Statistiken über einen eigenen „Statistik-Server“ bereit gestellt werden.
Ein virtueller Host für Statistiken wird in der folgenden Datei /etc/apache2/vhosts.d/webalizer.conf definiert.

<VirtualHost *>
   DocumentRoot "/srv/www/vhosts/webalizer.example.com"
   ServerName webalizer.example.com
   CustomLog /var/log/apache2/vhosts/webalizer.example.com/access_log combined
   ServerAdmin webmaster@example.com
   <Directory "/srv/www/vhosts/webalizer">
     AuthType Basic
     AuthName "Webalizer Statistics"
     AuthUserFile /etc/apache2/httpusers
     Require valid-user
     AllowOverride None
     Order allow,deny
     Allow from all
     DirectoryIndex index.html
  </Directory>
</VirtualHost>

The WebAlizer muss die Statistiken nun auf dem Server und nicht unter den Server-Root ablegen. Die Einrichtung mehrerer virtueller Hosts bei Nutzung mit „The Webalizer“ beschreibe ich später in einem weiteren Artikel.

Suchmaschinen aussperren

Nur noch eine letzter Hinweis. Muss – aus welchen Gründen auch immer – das Verzeichnis der Statistiken unter dem Server-Root-Verzeichnis bleiben, so verhindert die Datei robots.txt, die die zwei folgenden Zeilen ergänzt wird, dass Suchmaschinen die Statistiken durchsuchen. webalizer ist natürlich durch das entsprechende Verzeichnis der Statistiken zu ersetzen.

 
User-agent: *
Disallow: /webalizer/

Mit der folgenden robots.txt wird den Suchmaschinen bedeutet, dass ein Durchsuchen des Statistik- Server nicht gewünscht ist.

User-agent: *
Disallow: /

Genug für heute, dies soll es gewesen sein. Hoffe es nützt.

Ein Gedanke zu „The Webalizer – Statistiken absichern“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.