blnzg wrote:Leider nicht. Hast du vielleicht ein paar gute Links dazu?
Stell dir das ganze Thema nur nicht so einfach vor, wie mal eben deinen Server im Internet zu veröffentlichen. Das Thema Sicherheit ist ungleich komplexer.
Mein sehr geschätzter Freund
JonB hat auf seiner eigenen Website einen Guide zum Thema
The Basics of XAMPP security (englisch) veröffentlicht. Das wäre schonmal ein Anfang.
Hierzu hätte ich
zusätzlich dann noch folgende Ergänzungen:
Modul und Port Sicherheit
- webDAV deaktivieren, wenns nicht benötigt wird
- SSL deaktivieren, wenns nicht benötigt wird
Apache und PHP das quasseln abgewöhnen
- Apache Einstellungen "ServerSignature" und "ServerTokens" konfigurieren
- PHP Einstellungen "expose_php", "display_errors" und "display_startup_errors" ausschalten
- PHP error_reporting auf einen sinnvolleren Wert stellen (optional)
PHP Sicherheit
- hier macht es dir PHP erstmal einfach. In der php.ini findest du überall Kommentare, die dir schon sinnvolle Einstellungen für produktive Umgebungen vorschlagen.
- kritische PHP Funktionen über die "disable_functions" Einstellung deaktivieren. Empfohlen zum Beispiel folgende: "escapeshellcmd, exec, ini_restore, passthru, popen, proc_nice, proc_open, shell_exec, system"
Um die Sicherheit noch ein ganzes Stück weiter zu erhöhen empfielt es sich, die Zugänglichkeit der öffentlichen Bereiche durch .htaccess einzuschränken, am besten auf einzelne IPs mit Benutzer und Passwort authentification.
Dies wurde für die sensiblen Bereiche von XAMPP (XAMPP Administration Page, phpMyAdmin, XAMPP security) bereits vorgenommen und sollte am besten keinesfalls aufgeweicht werden.
Und zu guter letzt solltest du noch eine gute Hardware-Firewall vor das System schalten, um bei DDoS oder sonstigen Attacken schon VOR dem Server reagieren zu können.
Ich hab sicher noch das eine oder andere vergessen. Aber danach wärst du schonmal gut aufgestellt.
Vom Aufwand her sind die ganzen Einstellungen wahrscheinlich im selben Umfang als wenn du die Einzelkomponenten selbst zusammenstellen würdest. Beim selbst zusammenstellen hättest du dann noch den Vorteil, dass du weißt was wie zusammenhängt und auch Einzelkomponenten einzelnd updaten kannst, bei XAMPP geht das nur im Gesamtpaket.
Alternative zu der ganzen Prozedur wäre (neben dem selbst aufsetzen der Einzelkomponenten):- Ein Webhostingpaket. Das gibts schon für sehr kleines Geld und der Hoster übernimmt alle Vorsorge für die Serversicherheit und teilweise noch Zusatzleistungen wie automatische Backups, etc.
- Ein Webserver Stack der für den produktiveinsatz entworfen wurde, wie das in meiner Signatur verlinkte Zend Server (CE). Das ist ebenfalls kostenlos und einfach zu installieren und kommt schon vom Haus aus mit einer relativ sicheren Konfiguration.
Glück Auf!
Altrea