Huhu mckinley!
Die Liste von Pc-Dummy war ja schon schön umfangreich, aber ich kann ihr aber in einem Punkt nicht wirklich zustimmen:
Externer root-Zugriff
Braucht man natürlich. Wie sollte man sonst einen Server über's Netzwerk administrieren? Selbstverständlich nur wia ssh. Wenn möglich würd ich den ssh-Zugang aber auf wenige IP-Adressen beschränken.
Grundsätzlich (1): Alles was auf Deinem Rechner von außen erreichbar ist, ist ein Sicherheitsrisiko. Ruf einfach mal
netstat -nl auf. Du bekommst dann einen Überblick, was auf Deinem Rechner von "außen" erreichbar ist.
Zum Beispiel:
- Code: Select all
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN
tcp 0 0 :::22 :::* LISTEN
udp 0 0 0.0.0.0:798 0.0.0.0:*
udp 0 0 0.0.0.0:799 0.0.0.0:*
udp 0 0 0.0.0.0:800 0.0.0.0:*
udp 10584 0 0.0.0.0:68 0.0.0.0:*
udp 0 0 0.0.0.0:111 0.0.0.0:*
raw 0 0 0.0.0.0:1 0.0.0.0:*
Hier sieht man z. B. dass auf diesem Rechner die 111,6000,25,22 usw. von außen erreichbar sind. 22 wär z. B. ssh. Eine 80, die hier jetzt nicht steht, wäre der Apache. Eine Liste der Nummern findest Du in der
/etc/services.
Grundsätzlich (2): Immer darauf achten, dass sobald Sicherheitslücken bekannt werden, Du auch entsprechend aktualisierte Software einsetzt. Das dürfte, neben einem "zu offen" konfiguriertem System, die Hauptsicherheitslücke in der Praxis sein.
Zu LAMPP: Wenn Du keinen MySQL laufen hast, dann würde mir - bis auf den ProFTPD - nichts Unsicheres mehr einfallen. Beim ProFTPD darf natürlich auch nicht mehr der "nobody" mit dem Passwort "lampp" existieren.
Falls Du irgendwelche PHP-Programme auf Deiner Site benutzt (wie z. B. diese Forumsoftware hier), dann musst Du auch darauf achten, dass diese Software sicher ist. Wenn z. B. in phpBB eine Sicherheitslücke ist, dann nützt Dir ein "sicherer" Apache gar nichts.
Liebe Grüße,
Oswald