Sicherheit online wenn Apache lokal läuft?

Alles, was den Apache betrifft, kann hier besprochen werden.

Sicherheit online wenn Apache lokal läuft?

Postby Klaus Ragotzky » 08. July 2003 19:44

Hallo Leute.
Wie ist es eigentlich, wenn ich den Apachen lokal als Webserver laufen habe (um meine Web-Site zu testen) mit der Sicherheit, wenn ich gleichzeitig online bin.
Also ein DSL-Verbindung besteht.

Gibt es da Sicherheitlücken/-risiken?

Danke.

Gruß
Klaus.
Das Problem sitzt mal wieder vor dem Bildschirm
Klaus Ragotzky
 
Posts: 33
Joined: 06. April 2003 09:10

Postby AlexPausB » 08. July 2003 19:54

Naja solange Du nicht hinter einer Firewall bzw einem Router sitzt, sind deine Webseiten für jedermann erreichbar und somit bietest Du eine Angriffsfläche.

Wobei die Chancen einer wirklichen Attacke eher gering sind. Beobachten kann man aber häufig - mit einem Lächeln auf dem Gesicht - dass immer wieder Leute versuchen mit bestimmten URL's auf den Webserver zuzugreifen um ihn so für Ihre Zwecke benutzen zu können. Da es solche URLs zu Hauf für den M$ IIS existieren und dieser - behaupte ich - für die meisten einfacher zu knacken ist, als der Apache, brauchst du Dir nicht wirklich Sorgen zu machen.

Klar, wenn Du mit sensiblen Daten zu tun hast - sichere Ihn ab. Ein guter Anfang ist das Security-Script auszuführen, dass Oswald erstellt hat.
AlexPausB
 
Posts: 471
Joined: 05. February 2003 11:19
Location: Fdorf

Postby Klaus Ragotzky » 08. July 2003 20:13

Danke Alex.
Okay, eine Firewall läuft.Dann weniger Sorgen ;-)
Und der Apache ist auf d:/ installiert.
Sensisible Daten liegen dort nicht unbedingt, sondern halt auf c:
Oder ist das unwichtig?

Wo finde ich denn das Script von Oswald?
Danke und Gruß
Klaus
Das Problem sitzt mal wieder vor dem Bildschirm
Klaus Ragotzky
 
Posts: 33
Joined: 06. April 2003 09:10

Postby AlexPausB » 08. July 2003 22:31

Ob C: oder D: is relativ worscht... und das Script von Oswald ist - glaube ich - nur beim LAMPP dabei. Das führt eigentlich auch nur durch eine Reihe von Passwort-Änderungen für sämtliche Server / Applikationen. Will heissen es ändert die Standard-Passwörter bzw. schützt das eigentliche LAMPP-Verzeichnis.

Ich denke wenn Du die ganzen Passwörter änderst sollte erstmal ein weiterer Schritt in Richtung "Sicherheit" getan sein.

Gut's Nächtle!
AlexPausB
 
Posts: 471
Joined: 05. February 2003 11:19
Location: Fdorf

Postby DocFR » 30. July 2003 14:49

Ist zwar ein bischen spät, aber vielleicht kannst Du's ja troztdem noch verwenden.

Unter Linux kannst Du eine .htaccess anlegen mit folgendem Inhalt:
Deny from all
Allow from 127.0.0.1

Die erste Zeile verbietet jeglichen Zugriff auf das Verzeichnis in dem die .htaccess liegt - die zweite regelt die Ausnahme, in diesem Fall erhält der lokale Rechner Zugriff. Für andere, z.B. in einem Netzwerk einfach eine Zeile ergänzen.

Gruß, Elmar
Every landing you walk away is a good landing.
User avatar
DocFR
 
Posts: 9
Joined: 24. July 2003 16:38
Location: Earth->Dortmund

Postby Klaus » 30. July 2003 16:48

Nein, nciht zu spät.
Immer noch interessant.
Unter Linux?
Der lokale Webserver läuft ja unter Apache.
Der Rest bei mir ist allerdings Windoof.
Ist die htacces mit denselben Einträger zu füttern?
Oder wie?
:roll:
Auf jeden Fall Danke für die Anregung.
Gruß
Klaus
Klaus
 

Postby DocFR » 30. July 2003 19:27

Sorry, habe übersehen, daß Du mit Windows arbeitest.

Hier mußt Du die httpd.conf editieren. Such dort den Eintrag:

#
# Controls who can get stuff from this server.
#
Order allow,deny
Allow from all


änder die letzten beiden Zeilen wie folgt:

Order Deny,Allow
Deny from all
Allow from 127.0.0.1


jetzt hast Du natürlich drei Zeilen :wink: - die geänderte Reihenfolge ist wichtig, erst wird die Direktive 'Deny' abgearbeitet, wo Du jeden Zugriff verbietest, dann folgt 'Allow', mit der Du die Ausnahmen regelst -> hier Dein localer Rechner. Du kannst auch eine IP oder Domain angeben z.B. 'Allow from free2ri.de'. Datei speichern und Server neu starten und testen. Absolute Sicherheitsgarantie bietet das auch nicht, ist aber schon ein ganzes Stück besser als vorher. Optimieren kannst Du das ganze über PHP und Datenbankabfrage nach Passwort.

Gruß, Elmar
Every landing you walk away is a good landing.
User avatar
DocFR
 
Posts: 9
Joined: 24. July 2003 16:38
Location: Earth->Dortmund


Return to Apache

Who is online

Users browsing this forum: No registered users and 5 guests