Security-Tips für den Realo-Einsatz

Was sollte alles noch in XAMPP rein? Was kommt definitiv bald? Was kommt so bald wie möglich, dauert nur noch etwas? Was kommt wahrscheinlich nicht rein?

Security-Tips für den Realo-Einsatz

Postby Erwin » 04. January 2003 00:17

Liebe Apache Friends,

kaum mit dem ersten Wunsch fertig, fällt mir schon der zweite ein ;-)

Irgendwo habe ich gelesen, daß AF bzw. XAMPP relativ leger mit der Security umgeht. Ist ja auch hauptsächlich für Entwickler gedacht und diese haben auf diese Weise eben mehr Freiheiten ...

Da stimme ich durchaus zu. Freiheiten im Development sind immer gut.
NUR: Irgendwann *MUSS* die Entwicklung ja auch raus ins große, freie und unsichere Internet. Und da könnte sich dann diese AF'sche Developer-Maxime ins diammetrale Gegenteil umkehren.

Vorschlag
Genau dafür wäre es jetzt gut, ein Security-Kompendium (naja, muß nicht genauso kompliziert sein, wie sich dieser Terminus zunächst anhört) zur Seite zu haben, in dem taxativ aufgezählt wird, worauf man jetzt *besonders* achten muß, damit die aktuelle (security-legere) XAMPP-Entwicklung zu einer internetfähigen und einer höchstsicheren PHP-Anwendung wird.

Bedenken
Ich sehe es ja - nicht nur bei mir - sondern auch im Forum (und nicht nur in diesem) ... Irgendwie ist doch jeder heilfroh, seine XAMPP-Installation - so wie *er* sie braucht, ganz einfach einmal "zum Laufen" zu bringen. Security hin oder her ... Die Installation läuft jetzt, was soll's. Nur nicht an der Sicherheit herumfummeln, denn dann läuft die Installation vielleicht nicht mehr. Und eigentlich möchte man entwickeln und (noch) nicht "secureln". Egal wie insecure - es läuft! Und das zählt.

Daher ist es sicherlich sinnvoll, dem XAMPP'ler am Ende seiner Entwicklung einen Leitfaden zu geben, worauf er nach getaner lokaler Arbeit und nach dem Übetragen ins Internet noch achten muß.


Ich hoffe, das war irgendwie ausreichend logisch erklärt.
Wenn nicht, einfach rückfragen.

Erwin
User avatar
Erwin
 
Posts: 45
Joined: 30. December 2002 21:26
Location: Wien

Postby Oswald » 04. January 2003 03:53

Hallo Erwin!

Bin grad erst nach Hause gekommen und wollt nur noch mal kurz einen Blick in das Forum werfen. Ich geh auch gleich schnell ins Bett, aber wollt trotzdem vorher noch schnell hier antworten.

Jepp, gute Idde. Bin ganz Deiner Meinung. So sehr, dass ich auch schon angefangen habe so einen Text zu verfassen. Er kommt also auch sehr bald.

Leider ist es doch ein bisschen schwieriger als ich zunächst gedacht hab, da ich da sowohl WAMPP als auch LAMPP berücksichtigen möchte und bei Windows sind halt einige Einstellungen schwieriger zu machen als unter Linux. Das liegt jetzt nicht mal unbedingt am Windows, sondern eher daran, dass die ganze Software ja eher eine Linux(Unix)-Software ist und nicht "Windows-Konform" ist.

Falls es ganz zu viel wird mach ich nur einen Text zu Sicherheit mit LAMPP. Dann muß Kay sich um den WAMPP-Text kümmern. ;)

Jedenfalls ist der Text schon in Mache (bin grad bei 13 Seiten). ;)

Zu LAMPP kann ich nur kurz sagen: Wer dort /opt/lampp/lampp security aufruft hat schon die sicherste Installation, die normal möglich ist!! Unischerheiten, die sonst potentiell im System geben könnte(!) werden dadurch natürlich nicht behoben. (Zum letzen Satz: ein absolut sicheres System gibt es natürlich nie!)

So, das wollte ich nur noch kurz loswerden. ;)

Gute Nacht,
Kai ;)
User avatar
Oswald
Apache Friends
 
Posts: 2718
Joined: 26. December 2002 19:51
Location: Berlin, Germany
XAMPP Version: 5.5.19
Operating System: Linux

Postby nemesis » 04. January 2003 04:26

hm...

was interessiert dich persönlich mehr? wampp oder lampp?
was sicherheit angeht, wird man einen wampp, nur soweit absichern können, wie es einem windows durch andere bugs nicht verhindert, bei der 1.3er Reihe wurden die neueren Versionen nur wegen windows herrausgebracht, unter linux war er immer noch sicher...

Wenns ein "realer" Server im großen weiten Internet sein soll, kann ich nur darauf hoffen das Linux als OS eingesetzt wird. Wobei es da leider auch genug "schwarze Schafe" gibt. Ein (dedizierter) Server, also kein Pc an dem man zuhause auf sein KDE oder Gnome nicht verzichten kann. sollte keinen grafische Benutzeroberfläche geladen werden. Was eh nur den Systemstart und die Systemleistung bremsen würde. Also oldschool --> shell (ssh)
Suse Linux zwingt einem schon beim Installieren dazu, ein Apache Server läuft auch gleich mit.

http://www.trustix.net/

ist bisher mein Favourite, auch wenn ich mich noch nicht so gut auskenne mit dem ganzen Einrichten, man kann jeden einzelnen Dienst den man braucht installieren, und muss ihn auch per Hand eintragen, wenn man ihn als Service automatisch starten möchte. Es muss auch jede config der Daemons durchgegangen werden, nur allein dadurch das er läuft hat man so gut wie keinen Zugriff darauf (me spricht aus Erfahrung).

Leider läßt sich der aktuelle lampp darauf nicht installieren, weil noch die glibc 2.1.3 (Trusitx 1.5) (Trustix 2.0 mit glibc 2.2) verwendet wird

Das zum Betriebssystem ;)

Etwas zu Mysql:
Auf die Datenbank sollte nur Lokal zugegriffen werden können, ist ja auch phpmyadmin beim Apache dabei, von daher kein Problem. Alle Datenbanken sollten nicht unter dem Benutzer root laufen.
Bei Phpmyadmin kann man den zugriff per IP wildcard in der htaccess schonmal auf seinen eigenen Anbieter beschränken, und dann per user/pw erst zugang gewähren.

Zu Php gibt es leider viel zuviel Einstellungsmöglichkeiten, angefangen damit das man die notices und alle Fehlermeldungen anzeigen läßt um den Benutzer dazu zu "zwingen" sauber zu coden ;)
im safe modus laufen lassen, timelimit von 30 sekunden runtersetzten, max. Postgröße Limitieren, bestimmte Befehle verbieten usw...

Zu Windows kann ich leider nur noch sagen, benutzt kein Windows XP und kein .net (DRM / TCPA)
wenns als Server sein soll, dann geht noch Win2k, und als Spielekiste Win98SE

Gruss, neme
User avatar
nemesis
AF Moderator
 
Posts: 999
Joined: 29. December 2002 13:14
Location: Ingolstadt

Postby Apache-User » 04. January 2003 09:23

nemesis wrote:Zu Windows kann ich leider nur noch sagen, benutzt kein Windows XP und kein .net (DRM / TCPA)
wenns als Server sein soll, dann geht noch Win2k, und als Spielekiste Win98SE

Gruss, neme


hmm also zu win kann ich nur sagen das XP und .net wohl um einiges sicherer sind als 2k ist halt auch eine einstellungs sache die sogenante spyware in XP kann deakiviert werden wenn man weiss was man macht. zur apache sicherheit unter XP bzw. .net also erst mal alle kritischen verzeichnisse durch .htaccess absichern wobei man darauf achten sollte das die htpasswd nicht im selben verzeichniss liegt aber das müsstet ihr ja wissen *gg* so nun habt ihr schon eine sicherheitslücke weniger aber das reicht wohl kaum also greife ich zb. zu einer NAT wobei ich da alle unwichtigen ports ganzsperre und 80, 8080 überwachen lasse aber jeder sollte den für sich einfachsten weg wählen und nicht soviel rumexpermentieren wie ich*gggg*
mfg
D.A.U.™
User avatar
Apache-User
 
Posts: 594
Joined: 30. December 2002 16:50
Location: anonym

Postby Oswald » 09. January 2003 22:33

nemesis wrote:http://www.trustix.net/

ist bisher mein Favourite,...

Leider läßt sich der aktuelle lampp darauf nicht installieren, weil noch die glibc 2.1.3 (Trusitx 1.5) (Trustix 2.0 mit glibc 2.2) verwendet wird


Das glibc-Problem sollte sich mit LAMPP 0.9.6pre5 auch erledigt haben. Nur eben so am Rande...

Zum Thema Sicherheit werd ich bald ein kleines "Handbüchlein" fertig haben... allerdings - wie schon vermutet - erst mal nur für Linux...

Liebe Grüße,
Oswald
User avatar
Oswald
Apache Friends
 
Posts: 2718
Joined: 26. December 2002 19:51
Location: Berlin, Germany
XAMPP Version: 5.5.19
Operating System: Linux


Return to XAMPP-Wunschzettel

Who is online

Users browsing this forum: No registered users and 2 guests