XAMPP Selbst gemacht, aber sicher!

Alles, was den Apache betrifft, kann hier besprochen werden.

XAMPP Selbst gemacht, aber sicher!

Postby Gandalf_the_Grey » 04. June 2004 12:20

Hallo zusammen,

ich habe jahrelang lokal auf einem kleinen Testserver (Windows 2000) immer eine Art XAMPP selbst gestrickt und mich um Sicherheit (Rechte und Co) nie großartig geschert. (Mit XAMPP selbst gestrickt meine ich das ich APACHE, MYSQL, PHP, PHPMYADMIN und FTP installiert hatte und zur zusammenarbeit bewegt habe). Nun, zu Zeiten von noch schnelleren DSL Zugängen, kam ich kürzlich auf die Idee meine eigene kleine Website von Zuhause zu hosten. Gesagt getan. Alle Komponenten installiert und zur Zusammenarbeit bewegt. Port Forwarding am Router für Port 80 und 21 konfiguriert (Ansonsten sind keine Ports freigegeben) und fertig. Funktion war tadelos gegeben. Heute (2 Tage nach der Installation) kamen mir allerdings erste Bedenken bezüglich der Sicherheit meines Systems. Um die Sicherheit von Windows bin ich weniger besorgt, da ich immer die aktuellsten Sicherheitsupdates auf dem Server sowie auf dem Client PC (der ebenfalls an den Router angeklemmt ist) installieren. Virenscanner und Ad Aware sind auch auf beiden Systemen aktiv und den IE benutze ich auf dem Server überhaupt nicht. Der Server ist ein ALLEINSTEHENDER Server (es gibt also im Netzwerk keine Domäne). Der Server dient auch gleichzeitg als Fileserver so das auf selbigem Freigaben ohne Sicherheitsvorkehrungen aktiv sind. Auf die Freigaben hat "JEDER" Vollzugriff. Nun lautet meine Frage an die hier anwesenden. Wie mache ich den Server (speziell aber das Selbgestrickte XAMPP) "SICHER". Ich möchte nämlich nicht das mein Server ge"hijacked" wird, bzw. als SPAM Relay verwendet wird oder jemand den FTP oder die Datenbank knackt. Ich weiß das es keine absolute Sicherheit gibt, aber ich will den Server auch nicht wie ein Scheunentor öffnen. Also.... kann mir jemand sagen was ich tun kann bzw. wo ich mir Infos holen kann wie ich einen Webserver sicher mache?! Wäre für jede Hilfe äußerst dankbar
Gandalf_the_Grey
 
Posts: 10
Joined: 24. September 2003 07:46

einige Überlegungen

Postby TConnect » 06. June 2004 22:33

Hallo Gandalf_the_Grey,

also es gibt einige Überlegungen, wie man ein System nebst aktueller Patches sicherer machen kann:

1. Das System nicht als Administrator laufen lassen. Lege einen Benutzer an, der eingeschränkte Rechte hat und z.B. keine neue Software installieren darf. Zudem sollte der User in den entsprechenden wichtigen Verzeichnissen nur eingeschränkte Rechte haben.

2. Das gleiche gilt für MySQL. Hier nicht User root arbeiten lassen, sondern einen anderen Benutzer einrichten, der keine Tabellen, Datenbanken löschen darf. Damit ist schon mal sicher gestellt, dass Dir nicht jemand über SQL-Injection die DB zerschießt.

3. Apache-Rechtestruktur überprüfen. Z.B. solltest Du das Durchbrowsen von Ordnern ohne intex.php bzw. index.htm verhindern, damit sich nicht jemand in Deiner Apache-Webserverstruktur umsehen kann.

Das wäre es erst einmal von mir.

Gruß TConnect
TConnect
 
Posts: 100
Joined: 31. March 2004 22:26

Postby Gandalf_the_Grey » 07. June 2004 06:23

Hallo TConnect

Punkt 1 und 2 hatte ich schon umgesetzt (wobei ja eh nur ich auf dem System arbeite, es ist aber ans Internet angebunden und ist somit gegen Angriffe ungeschützt).

Bei Punkt 3 würde ich mich über einen Link freuen, da ich wie gesagt Apache Neuling bin und nicht ganz weiß wo ich da ansetzen muss. Ich werd parallel mal über Google suchen, aber ein Link wäre trotzdem klasse.

Ich wüsste halt gerne ob das aber alles ausreicht. Denn jedesmal wenn ich in der CT Tests von Webhostern lese, stelle ich fest das die CT Sicherheitslücken feststellt, teilweise sogar gravierende. Dagegen würde ich mich gerne schützen, nur leider weiß ich weder wie die CT testet noch wie man dann die Sicherheitslücken schließt. Gibts da nicht irgendwo eine Seite im Netz die sich mit dem absichern solcher Systeme beschäftigt?
Gandalf_the_Grey
 
Posts: 10
Joined: 24. September 2003 07:46

Postby daxim » 07. June 2004 10:26

Zu 3: Lässt sich über Options -Index abschalten. Halte ich für bescheuert, denn das ist security by obscurity, die Ressourcen bleiben ja nach wie vor erreichbar. Die Dateien sollten am besten außerhalb des htdocs liegen, oder falls das nicht zu machen ist, mit Deny geschützt sein.

Zur Websicherheit: das ist ein breites Feld und man viel Zeit, um Erfahrung zu sammeln. Fähige Systemadministratoren verdienen schließlich damit gutes Geld. Ich empfehle dir, SANS zu abonnieren.
Zu jedem Stück Serversoftware gibt in der Doku ein Kapitel über Sicherheit. Lies es!

Denk immer dran: Sicherheit ist ein Prozess, kein Produkt. Entgegen der landläufigen Meinung entstehen die meisten Löcher durch Unachtsamkeit bei der Konfiguration, nicht durch Exploits oder schlampige Programmierung.
daxim
 
Posts: 53
Joined: 04. June 2004 20:45

Postby Gandalf_the_Grey » 07. June 2004 10:35

Entgegen der landläufigen Meinung entstehen die meisten Löcher durch Unachtsamkeit bei der Konfiguration, nicht durch Exploits oder schlampige Programmierung.


Richtig, der Meinung bin ich auch, deswegen will ich ja nach Möglichkeit Konfigurationsfehler vermeiden und damit Sicherheitsrisiken vermeiden. Danke übrigens für die Links!

Zu 3 kann ich nur sagen das meine Document Root auf einem Komplett anderen Laufwerk liegen als die Konfigurationsdaten. Ich hoffe und denke das sollte ausreichen um diese zunächst zu schützen. Die einzige Ausnahme bildet hier phpmyadmin welches sich außerhalb des Document Roots liegt und per Alias angesteuert wird.
Gandalf_the_Grey
 
Posts: 10
Joined: 24. September 2003 07:46


Return to Apache

Who is online

Users browsing this forum: No registered users and 3 guests