security

Irgendwelche Probleme mit XAMPP für Linux? Dann ist hier genau der richtige Ort um nachzufragen.

security

Postby mckinley » 01. April 2003 22:16

hi @ all

ich habe mein linux sys auf die grosse bösse welt da drausen :wink: vorbereitet. oder besser gesagt eben nicht.

ich habe lampp 0.9.8 drauf laufen.
mysql ist down
ssl on
php on
http on
ftp on

meine frage. ich will den server ins netz stellen und so gut wie möglichst sichern. aber ohne firewall. könnt ihr mir sagen was ich bei lampp speziell sichern muss ??
User avatar
mckinley
 
Posts: 48
Joined: 04. January 2003 17:18
Location: /root

Postby Pc-dummy » 01. April 2003 23:38

hi

Ich hab mir die httpd.conf komplett überarbeitet...
dann hab ich noch auf dem server (linux) sämtliche dienste die nicht benötigt werden abgeschaltet (hab z.b.: kein x, sendmail usw.)
dann hab ich mir iptables komplett überarbeitet (hoffe das ich es gut gemacht hab)

Lass keinen externen root-zugriff zu

hab von allen wichtigen systemdateien nen md5-checksume gemacht und sie protokolliert und auf einen externen computer gespielt. (mit einem Prog. jede änderung wird sofort gemeldet)

führe täglich diverse sicherheitschecks durch

hab alle user in phpmyadmin auser den pma und den root@localhost gelöscht. (später noch zusätzliche gemacht damit ich in keinem script das root-passwort in plaintext angeben muss)

lasse zugriff auf system-webseiten (mir fällt kein besserer begriff ein sry z.B: system_info, phpmyadmin, proftpd-tool usw.) nur von meiner internen ip zu und schützte sie noch durch ne .htaccess

ich mache täglich umfangreiche logs und werte sie täglich durch selbst-geschriebene scripts aus.

usw. (ne längere liste ist zwecks meiner eigenen sicherheit nicht angemessen)

MFG
Pc-Dummy

P.s.: Wieso hast du wenn du Linux hast keine Firewall? (iptables ist norm. bei jedem Linux-sys standart)
--
a 13 year old Newbie
Pc-dummy
AF Moderator
 
Posts: 784
Joined: 29. December 2002 01:46
Location: AT-Vorarlberg-Feldkirch

Postby Oswald » 02. April 2003 11:18

Huhu mckinley!

Die Liste von Pc-Dummy war ja schon schön umfangreich, aber ich kann ihr aber in einem Punkt nicht wirklich zustimmen:

Externer root-Zugriff

Braucht man natürlich. Wie sollte man sonst einen Server über's Netzwerk administrieren? Selbstverständlich nur wia ssh. Wenn möglich würd ich den ssh-Zugang aber auf wenige IP-Adressen beschränken.

Grundsätzlich (1): Alles was auf Deinem Rechner von außen erreichbar ist, ist ein Sicherheitsrisiko. Ruf einfach mal netstat -nl auf. Du bekommst dann einen Überblick, was auf Deinem Rechner von "außen" erreichbar ist.

Zum Beispiel:

Code: Select all
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:6000            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN
tcp        0      0 :::22                   :::*                    LISTEN
udp        0      0 0.0.0.0:798             0.0.0.0:*
udp        0      0 0.0.0.0:799             0.0.0.0:*
udp        0      0 0.0.0.0:800             0.0.0.0:*
udp    10584      0 0.0.0.0:68              0.0.0.0:*
udp        0      0 0.0.0.0:111             0.0.0.0:*
raw        0      0 0.0.0.0:1               0.0.0.0:*


Hier sieht man z. B. dass auf diesem Rechner die 111,6000,25,22 usw. von außen erreichbar sind. 22 wär z. B. ssh. Eine 80, die hier jetzt nicht steht, wäre der Apache. Eine Liste der Nummern findest Du in der /etc/services.

Grundsätzlich (2): Immer darauf achten, dass sobald Sicherheitslücken bekannt werden, Du auch entsprechend aktualisierte Software einsetzt. Das dürfte, neben einem "zu offen" konfiguriertem System, die Hauptsicherheitslücke in der Praxis sein.

Zu LAMPP: Wenn Du keinen MySQL laufen hast, dann würde mir - bis auf den ProFTPD - nichts Unsicheres mehr einfallen. Beim ProFTPD darf natürlich auch nicht mehr der "nobody" mit dem Passwort "lampp" existieren.

Falls Du irgendwelche PHP-Programme auf Deiner Site benutzt (wie z. B. diese Forumsoftware hier), dann musst Du auch darauf achten, dass diese Software sicher ist. Wenn z. B. in phpBB eine Sicherheitslücke ist, dann nützt Dir ein "sicherer" Apache gar nichts.

Liebe Grüße,
Oswald
User avatar
Oswald
Apache Friends
 
Posts: 2718
Joined: 26. December 2002 19:51
Location: Berlin, Germany
Operating System: Linux

Postby Pc-dummy » 02. April 2003 19:59

@ Oswald

Hab vergessen anzugeben das bei mir der Server Local zur verfügung steht und ich moni+maus+tasta mit einem Knopf auf den Server wechseln kann *g*

@ mckinley
Wenn du wissen willst wie ich das alles gemacht hab (muss nen bischen werbung für nen geniales Buch machen *g*), lies dir mal das Buch Linux Sicherheit vom Sybex verlag durch (ISBN: 3-8155-7329-7)

Und meine httpd.conf kann ich dir gernen mal per E-Mail übertragen :)
einfach fragen 8)

MFG
Pc-Dummy
--
a 13 year old Newbie
Pc-dummy
AF Moderator
 
Posts: 784
Joined: 29. December 2002 01:46
Location: AT-Vorarlberg-Feldkirch


Return to XAMPP für Linux

Who is online

Users browsing this forum: No registered users and 2 guests