Webserver HSTS

[fisi]

Guten Abend zusammen,

ich möchte meine Synology (DS214+ inkl. funktionstüchtigem Let's Encrypt SSL Zertifikat) noch besser absichern.

Hierzu habe ich unter der Seite https://securityheaders.io die Verbindung zu meinem Webserver auf der Synology geprüft und möchte folgende Sicherheitsaspekte nachbessern:

• Content-Security-Policy
• Public-Key-Pins
• X-Frame-Options
• X-XSS-Protection
• X-Content-Type-Options
• Strict-Transport-Security

Nun zur Frage:
Ich habe als Webserver Apache eingestellt. In welcher Datei genau muss ich diese Konfigurationen anpassen? Ich werde im Verzeichnis /etc/httpd/conf/extra/ nicht fündig.

Vielen Dank und schönen Abend

Wolfgang

 

[Fusion]

Es laufen 2 Webserver auf der DS. Einer für Systemdienste wie den DSM (Systemsteuerung, Netzwerk, DSM Einstellungen). Der andere für Benutzerdienste (als owncloud, zarafa, etc), zu finden unter Systemsteuerung, Webdienste.
Dort kann jeweils SSL und HSTS eingestellt werden.
Dann finden sich noch 2-3 Einstellungen unter Systemsteuerung, Sicherheit.
Public-Key Pins finden sind z.B. für SSL Hosts für Benutzerdienste unter /etc/httpd/conf/extra/httpd-ssl.conf-user einzutragen. Geht eventuell auch noch woanders, die config files sind halt gut geschachtelt.

Ob das jetzt alle obigen Punkte betrifft, kann ich aus dem Stand nicht sagen, aber ich habe heute keine Lust mehr die Stichwörter aus der Liste nachzuschlagen.