{"id":2092,"date":"2017-05-02T10:09:11","date_gmt":"2017-05-02T08:09:11","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=2092"},"modified":"2026-03-11T17:41:46","modified_gmt":"2026-03-11T16:41:46","slug":"fruehjahrsputz-apache2-aufraeumen-performance-tunen-absichern","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/fruehjahrsputz-apache2-aufraeumen-performance-tunen-absichern\/","title":{"rendered":"Fr\u00fchjahrsputz Apache 2: aufr\u00e4umen, Performance verbessern & absichern (Update)"},"content":{"rendered":"

Als quelloffenes und freies Produkt<\/strong> stammt Apache von der Apache Software Foundation<\/a><\/strong>. Apache darf sich damit r\u00fchmen, zu den meist genutzten Webservern im Internet zu geh\u00f6ren<\/a>. Mit seinem modularen Aufbau<\/strong> erlaubt Apache Server verschiedene Einsatzgebiete: Sie k\u00f6nnen Apache als Proxy-Server<\/strong> (mod_proxy) einsetzen, eine Verschl\u00fcsselung f\u00fcr die Kommunikation zwischen Browser und Webserver einrichten (mod_ssl) oder auch HTTP-Kopfdaten (mod_headers) sowie URLs (mod_rewrite) sehr umfassend manipulieren<\/a>. F\u00fcr den Produktiveinsatz ist die Version Apache 2.4.x aktuell<\/strong>, jedoch versorgt die Apache Software Foundation auch die stabile Vorversion 2.2.x mit Updates. Im Folgenden befassen wir uns mit der aktuellen Version Apache 2.4.12.<\/p>\n

<\/p>\n

Apache Server aufr\u00e4umen<\/h2>\n

Viele seiner bekannten Funktionen<\/strong> erh\u00e4lt der Apache Webserver erst durch die verschiedenen Module<\/strong>. Beim Aufr\u00e4umen Ihres Apache Servers<\/strong> ist es also wichtig, zu wissen, welche Module Sie verwenden und welche in Ihrem System wom\u00f6glich ungenutzt schlummern. Nun kann es gar nicht funktionieren, jedes Modul auswendig zu kennen \u2013 zu umfangreich ist Apache. Deshalb lohnt sich ein Blick in die Dokumentation, die Sie auf der Website der Apache Software Foundation<\/a> finden.<\/p>\n

Apache 2.4.x: Module aufr\u00e4umen<\/h3>\n

Je mehr Module<\/strong> Sie nutzen, umso h\u00f6her ist die Auslastung<\/strong> Ihres Speichers. Bedenken Sie: Module, die Sie nicht verwenden, sind zum einen \u00fcberfl\u00fcssig, zum anderen gehen sie unn\u00f6tig zu Lasten des Arbeitsspeichers<\/strong>, was zur Folge haben kann, dass sich die Antworten auf Anfragen erheblich verz\u00f6gern. Performance-Wunder d\u00fcrfen Sie nicht erwarten, wenn Sie unn\u00fctze Module deaktivieren, eine gute Idee ist es dennoch. Wie Sie wissen, ist ein aufger\u00e4umter Server ein sichererer und schnellerer Server<\/strong>.<\/p>\n

In einem ersten Schritt gilt es, herauszufinden, welche Module aktuell \u00fcberhaupt geladen<\/strong> sind. Geben Sie daf\u00fcr bitte den Befehl \u201eapachectl -M\u201c ein. In aller Regel werden die meisten Module in der Datei \/etc\/httpd\/conf\/httpd.conf geladen. M\u00f6chten Sie sich nicht darauf verlassen, finden Sie mit dem Befehl \u201egrep<\/a>\u201c<\/strong> heraus, wo die Module geladen werden:<\/strong> grep -ir LoadModule \/etc\/httpd\/conf\/* \/etc\/httpd\/conf.d\/*\/etc\/httpd\/vhosts\/*
\nJe nachdem, in wie viele Verzeichnisse Sie Ihre Konfiguration verteilt haben, k\u00f6nnen hier unterschiedliche Pfade<\/strong> erscheinen.<\/p>\n

Eine pauschale Antwort auf die Frage, welche Module Sie deaktivieren k\u00f6nnen<\/strong>, k\u00f6nnen wir Ihnen leider nicht geben, da Webserver viele verschiedene Funktionen erf\u00fcllen k\u00f6nnen. Sie k\u00f6nnen zwei Ans\u00e4tze<\/strong> verfolgen: Nehmen Sie sich entweder oben verlinkte Dokumentation vor und pr\u00fcfen Sie Modul f\u00fcr Modul<\/strong>, ob Sie es \u00fcberhaupt nutzen. Oder Sie betrachten die Anforderungen an Ihren individuellen Server und suchen Ihre Module dementsprechend aus<\/strong>. Da die Module sehr vielf\u00e4ltig sind, ist das Durchgehen der Dokumentation insbesondere f\u00fcr noch nicht allzu versierte User empfehlenswert.<\/p>\n

Lassen Sie uns als Beispiel die Datei \/etc\/httpd\/conf\/httpd.conf nutzen: sie zeigt\u00a0aktivierte Proxy-Module<\/strong>. Wissen Sie nicht genau, ob Sie diese ben\u00f6tigen, durchsuchen Sie Ihre Konfiguration mit diesem Befehl: grep -ir proxy \/etc\/httpd\/conf\/* \/etc\/httpd\/conf.d\/*\/etc\/httpd\/vhosts\/*
\nWerden keine auskommentierten Zeilen<\/strong> ausgegeben, verwenden Sie das Proxy-Modul mit hoher Wahrscheinlichkeit nicht. Kommentieren Sie die entsprechenden Zeilen in der httpd-conf-Datei aus, pr\u00fcfen Sie mittels Config-Test und starten Sie den Server neu:
\nservice httpd configtest
\nservice httpd graceful<\/p>\n

Schl\u00e4gt der Config-Test fehl<\/strong>, aktivieren Sie das k\u00fcrzlich deaktivierte Modul bitte wieder. Im Schnellverlauf aktivieren oder deaktivieren Sie Module<\/strong> auch mit a2dismod $modulname bzw. a2enmod $modulname<\/strong>. Zum weiteren Aufr\u00e4umen Ihres Apache-Servers gehen Sie bitte die Schritte durch, die wir bereits in unserer Fr\u00fchjahrsputzserie beschrieben haben. Im Sicherheitsbereich dieses Artikels weiter unten finden Sie im Absatz \u201eApache unterst\u00fctzt zahlreiche Betriebssysteme\u201c eine Aufstellung unserer Artikel nach Betriebssystemen<\/strong>.<\/p>\n

 <\/p>\n

Die Leistung unter Apache optimieren<\/h2>\n

Fr\u00fcher oder sp\u00e4ter ger\u00e4t jeder Server an seine Performance-Grenzen<\/strong>: Zugriffe scheinen schleppend langsam zu werden. Eine Universall\u00f6sung zum Tunen der Performance<\/strong> Ihres Apache-Servers existiert leider nicht, da die Gr\u00fcnde f\u00fcr die Performance-Einbu\u00dfen sehr vielseitig<\/strong> sein k\u00f6nnen. Bevor Sie nun also \u00fcber Hardware-Upgrades nachdenken, werfen Sie bitte einen Blick in unsere komplette Fr\u00fchjahrsputz-Serie; unten finden Sie eine Aufstellung nach Betriebssystemen. \u00dcbernehmen Sie bitte die f\u00fcr Sie passende Anleitung.<\/p>\n

top: So finden Sie Systembremsen<\/h3>\n

Bereits in unserem Ubuntu-Server-Beitrag<\/a> haben wir Ihnen Performance-Tipps gegeben, die Sie als Linux-User hier ebenfalls anwenden<\/strong> k\u00f6nnen, und den Befehl \u201etop\u201c vorgestellt<\/strong>. Wenden Sie diesen bitte an, wie im Artikel beschrieben. M\u00f6chten Sie im Anschluss etwas \u00fcber die Festplattenzugriffe<\/strong> herausfinden, eignet sich iotop<\/strong>. Mit diesem Befehl sehen Sie s\u00e4mtliche Lese- und Schreibraten<\/strong>, aber auch die Raten der einzelnen Prozesse<\/strong>. Auch iotop -o<\/strong> ist ein praktischer Befehl, da er ausschlie\u00dflich IO-aktive Prozesse ausgibt<\/strong>. Gro\u00dfe \u00dcberraschungen d\u00fcrften sich mit diesem Befehl nicht einstellen \u2013 insbesondere das Lesen und Schreiben in Datenbanken erzeugt eben etwas IO. Bei dieser Gelegenheit k\u00f6nnen Sie sich auch etwas mit iostat<\/strong> befassen: Der Befehl zeigt ohne weitere Parameter die Anzahl der gelesenen und geschriebenen Bl\u00f6cke seit Systemstart<\/strong> an.<\/p>\n

\"konfiguration_apache\"<\/a>Zur\u00fcck zu top: Mit iftop<\/strong> k\u00f6nnen Sie die Auslastung des Netzwerks<\/strong> darstellen, um hier etwaige Performance-Bremsen aufzusp\u00fcren. Erw\u00e4hnenswert ist au\u00dferdem der Befehl lsof<\/strong>, der Ihnen offene Dateien ausgibt<\/strong>. Jedoch g\u00e4be es ohne das Setzen weiterer Parameter eine Flut an Informationen<\/strong>, die Sie ohnehin nicht ben\u00f6tigen. Angenommen, Sie konnten httpd als Lastenverursacher<\/strong> ausfindig machen, lohnt es sich nun, zu erfahren, welche Dateien denn ge\u00f6ffnet sind<\/strong>. Geben Sie lsof -u apache -c httpd<\/strong> ein (also lsof -User apache -Prozess httpd), um eine Liste der Dateien<\/strong> zu erhalten. Hier werden Sie auch viele Log-Dateien und Module<\/strong> erkennen, die momentan ge\u00f6ffnet sind.<\/p>\n

Extra-Tipp:<\/strong> Sind Sie \u201etop\u201c und \u201eps\u201c Leid und m\u00f6chten Sie die RAM-Auslastung sowie CPU-Load auf einem Blick<\/strong> betrachten, ist \u201ehtop\u201c<\/strong> eine gute M\u00f6glichkeit. Sehen Sie htop als Task-Manager f\u00fcr die Linux-Shell<\/strong>. Mit apt-get install htop<\/strong> installieren Sie; anschlie\u00dfend geben Sie zum \u00d6ffnen \u201ehtop\u201c in die Shell<\/strong> ein. In der Ausgabe werden Ihnen am unteren Bildschirmrand Tastenk\u00fcrzel<\/strong> vorgestellt. So erreichen Sie wichtige Funktionen des Programms ohne Umwege. Das Setup rufen Sie mit F2<\/strong> auf<\/strong>; hier haben Sie auch die Option, die Ausgaben von htop Ihren Bed\u00fcrfnissen anzupassen. W\u00e4hlen Sie mit den Pfeiltasten einen Wert aus, den Sie sich anzeigen lassen m\u00f6chten, und f\u00fcgen Sie ihn optional einer Spalte hinzu. Mit F5 f\u00fcgen Sie die Parameter der linken Spalte, mit F6 der rechten Spalte hinzu. Per F3 erreichen Sie die Suche, mit der Sie nach Prozessnamen suchen k\u00f6nnen. Daf\u00fcr hat sich in der unteren Leiste ein Eingabefeld ge\u00f6ffnet.<\/p>\n

Mittels \u201erenice\u201c<\/strong> als Feature von htop<\/strong> k\u00f6nnen Sie Prozesspriorit\u00e4ten festlegen<\/strong>: S\u00e4mtliche Prozesse haben in der Unix-Welt sogenannte Nice-Werte<\/strong>. Dieser Nice-Wert verr\u00e4t die Priorit\u00e4t eines Prozesses<\/strong> \u2013 und diese Priorit\u00e4t bestimmt das Recht eines Prozesses auf die Prozessorzeit<\/strong>. Je h\u00f6her also der Nice-Wert ist, umso umfassender\u00a0darf der Prozess die CPU-Leistung nutzen. Den Nice-Wert des ausgew\u00e4hlten Prozesses in der ge\u00f6ffneten Liste passen Sie mit F7 und F8 an. Ihre \u00c4nderungen werden sofort \u00fcbernommen.<\/p>\n

 <\/p>\n

Sicherheit unter Apache<\/h2>\n

\"Sicherheit_unter\"<\/a>Einen Server abzusichern<\/strong>, ist das erste, das Anwender machen sollten. Als Server-Eigent\u00fcmer k\u00f6nnen Sie\u00a0im Falle eines Hackerangriffs haftbar gemacht werden!<\/strong>\u00a0Ziel sollte es also sein, Ihr System so anzupassen, dass Angreifer schwer, idealerweise gar nicht darauf zugreifen k\u00f6nnen. Lassen Sie uns starten:<\/p>\n

Apache h\u00e4rten<\/h3>\n

Um Ihren Apache-Webserver abzusichern<\/strong>, passen Sie die Parameter innerhalb der Apache-Konfiguration \u201e\/etc\/apache2\/sites-available\/default-ssl.conf\u201c<\/strong> wie folgt beschrieben an:<\/p>\n