Apache Webserver ...

Alles, was den Apache betrifft, kann hier besprochen werden.

Apache Webserver ...

Postby Neu999 » 19. August 2017 05:11

Hallo an alle.

Wenn ich den Apache Webserver richtig installiert und konfiguriert habe, wie kann ich Ihn sicher machen ?
Also vor missbrauch und Crackern (Hackern) schützen ?

Ich gehe von den drei Howto´s hier aus:

http://de.wikihow.com/Zuhause-einen-Web-Host-einrichten

http://de.wikihow.com/Den-Apache-Web-Server-auf-einem-Windows-PC-installieren

http://de.wikihow.com/Apache-Webserver-installieren-und-konfigurieren-um-eine-Webseite-auf-deinem-Computer-zu-hosten

Ich möchte wissen, wenn ich das alles richtig installiert und konfiguriert habe, welches Programm ich installieren soll um den Webserver sicher zu machen. Sicher für mich und andere Nutzer (Webseiten Besucher)

Freue mich auf Antworten.

MFG

Neu999
Neu999
 
Posts: 9
Joined: 27. September 2016 10:54
XAMPP version: ?
Operating System: Window 7

Re: Apache Webserver ...

Postby Nobbie » 19. August 2017 18:42

Ich möchte wissen, wenn ich das alles richtig installiert und konfiguriert habe, welches Programm ich installieren soll um den Webserver sicher zu machen. Sicher für mich und andere Nutzer (Webseiten Besucher)


So etwas gibt es leider nicht. Du machst das schon vollkommen richtig, Tutorials lesen und Dokumentation befolgen. Es gibt kein "jetzt ist alles sicher" Programm. Alles hängt vom Know How des Administrators ab. Und deswegen ist es ja auch gut, wenn Du einschlägige Dokumentation liest und befolgst. Mehr kann man nicht machen, aber das ist ja auch schon etwas.
Nobbie
 
Posts: 13171
Joined: 09. March 2008 13:04

Re: Apache Webserver ...

Postby Neu999 » 20. August 2017 05:55

Hallo und danke für die Antwort.

So ganz glaube ich das nicht das alles sicher ist.
Kennst du ein Howto über Sicherheit in Apache Server ?

MFG
Neu999
Neu999
 
Posts: 9
Joined: 27. September 2016 10:54
XAMPP version: ?
Operating System: Window 7

Re: Apache Webserver ...

Postby Nobbie » 20. August 2017 09:55

Ich kenne kein Tutorial über Apache und Sicherheit. Das Problem ist auch deutlich vielschichtiger, als Du momentan annimmst. Nur Apache selbst stellt zunächst kein großes Sicherheitsrisiko dar und auch die HTML Dateien, die man aus dem DocumentRoot ausliefert, sind keine Sicherheitslücke. Insbesondere kann man von außen zunächst auch nur auf den DocumentRoot zugreifen.

Interessanter wird es immer dann, wenn CGI-Scripts ins Spiel kommen, u.a. natürlich auch PHP Scripte. Die sind nicht beschränkt auf den DocumentRoot, sondern die greifen auf das Betriebssystem und alle Geräte zu, meistens mit den Benutzerrechten, mit denen der Apache ausgestattet ist. Da gibt es also theoretisch eine Gefährdung durch infizierten Code, der auf die Betriebssystemebene zugreift.

Dann hat natürlich auch jedes PHP Script, insbesonder die mit Datenbanken arbeiten, seine eigene Rechteverwaltung, beispielweise ein Shopsystem oder eine Wordpress-Installation. Da sollte ja auch nicht jeder Hinz und Kunz als Admin zugreifen können. Und dann entstehen auch noch Sicherheitslücken "von unten nach oben", weil beispielsweise in WordPress auch Plugins installiert werden können, wie ich aus eigener schmerzlicher Erfahrung gelernt habe, ist das ein Riesensicherheitsproblem in WordPress, mir ist zwei mal mein Online Server gehackt worden, inzwischen verzichte ich auf WordPress.

Nun kann man versuchen, Apache und auch das Betriebssystem aufeinander abzustimmen und das ganze auf die WordPress Strukturen abzustimmen, dass bestimmte Dateien und Verzeichnisse mit eingeschränkten Rechten (meistens nur Leserechte) ausgestattet sind. Das ist aber aus meiner Sicht schon halb der falsche Weg, weil es eigentlich eine Sicherheitslücke im WordPress Kontext ist, die man auf einer anderen Ebene beheben soll. Diese Vorgehensweise wird aber vom WordPress Team vorgeschlagen, kann ich ja auch nachvollziehen, dass das so vorgeschlagen wird, aber eigentlich ist das ein fauler Kompromiss, denn eigentlich müßte WordPress sicherstellen, dass keine Trojaner über WordPress auf den Server installiert werden können.

Wie Du siehst, es gibt keine allgemeine Apache Sicherheit und Apache selbst ist auch nur eine Komponente in dem ganzen Scenario. Viel mannigfaltiger sind die möglichen Sicherheitslücken im Umfeld der CGI Scrtips und da kann es keine allgemeinen Tutorials geben, es gibt allenfalls Richtlinien, wie man eigene PHP Scripts halbwegs sicher gestalten kann (die Benutzung bestimmter Funktionen, wenn es um MySQL Zugriffe geht, die mit Anwenderdaten vom Browser bestückt werden), aber es gibt so unendliche viele spezifische Sicherheitslücken, da kann man kein Tutorial verfassen, wie solche Lücken zu vermeiden sind. Und ganz sciwierig ist eben der häufigste Fall, dass man ein fertiges Script (WordPress, Joomla usw.) installiert, da ist man den Entwicklern dieses Scripts ausgeliefert, weil die für Sicherheitslücken verantwortlich sind. Nur Apache macht da die wenigsten Probleme.
Nobbie
 
Posts: 13171
Joined: 09. March 2008 13:04

Re: Apache Webserver ...

Postby Neu999 » 21. August 2017 04:51

Danke für die Antwort.

WordPress werde ich nicht nehmen. Ich programmiere html Seiten selbst (Eventuell auch mit css).

Ich habe MySQL gegooglet und bei wiki nichts verständliches gefunden. Würdest du mir bitte in einfachen Worten erklären was MySQL ist ?

MFG
Neu999
Neu999
 
Posts: 9
Joined: 27. September 2016 10:54
XAMPP version: ?
Operating System: Window 7

Re: Apache Webserver ...

Postby Nobbie » 21. August 2017 10:03

Google mal nach "mysql injection" oder auch nur "sql injection". Da müßte einiges zu finden sein.

P.S.: Ggf. habe ich die Frage falsch verstanden - willst Du wissen, was "mit" MySQL das Problem ist, oder willst Du wissen, was überhaupt "MySQL" ist? MySQL ist eine SQL Datenbank - wenn Dir das alles nichts sagt, hast Du noch einiges vor Dir. SQL Datenbanken benötigt man, um Daten zu speichern und zu verwalten. SQL ist eine Sprache, um die Daten abzurufen bzw. abzuspeichern, SQL ist die Abkürzung von "Standard Query Language" (Auf Deutsch: "Standard Abfrage Sprache"). Ich weiß es nicht genau, aber ich glaube, dass SQL im Prinzip eine Erfindung von IBM ist/war. Wird man sicherlich im Wiki nachlesen können, ist aber nicht soo wichtig. Bekannte und bewährte SQL Systeme sind DB2 (von IBM), Oracle, Informix, MySQL, PostGres und viele mehr. Im Grunde tun diese Programme alles das gleiche, so ähnlich wie Microsoft Word das gleiche tut wie OpenOffice Writer oder wie ein FIrefox Browser das gleiche tut wie ein Chrome Browser oder Internet Explorer. Verschiedene Produkte verschiedener Hersteller, mit dem gleichen Anwendungszzeck. MySQL war eine der ersten "freien" (= kostenlosen und mit vollen Sourcecode verfügbar) SQL Datenbanken, der Entwickler von MySQL hat aber die Rechte an Oracle verkauft und hat vor wenigen Jahren quasi das gleiche Produkt noch einmal von vorne neu angefangen (auch mit dem gleichen Entwicklerteam) und die neuere Version heißt jetzt "MariaDB". Letzteres wird auch inzwischen bei Xampp ausgeliefert, früher wurde MySQL ausgeliefert.
Nobbie
 
Posts: 13171
Joined: 09. March 2008 13:04

Re: Apache Webserver ...

Postby Neu999 » 21. August 2017 11:53

Danke für deine Antwort.

Wo das Problem ist mit MySQL wollte ich nicht wissen.
Danke für die Beschreibung was MySQL ist.

Ich hatte mir im Letzen Jahr XAMPP installiert und komme unter localhost nicht auf die entsprechende Seite, sondern auf eine andere Seite von XAMPP.

MFG
Neu999

PS: Bei mir hier im Forum ist die [url] ausgeschaltet und ich weiß nicht wie man sie einschaltet.
Weißt du wie man die [url] einschaltet ? Dann kann ich ein oder zwei Links senden.
Neu999
 
Posts: 9
Joined: 27. September 2016 10:54
XAMPP version: ?
Operating System: Window 7

Re: Apache Webserver ...

Postby Altrea » 21. August 2017 12:41

url ist für Benutzer mit wenigen Beiträgen deaktiviert um Spam einzudämmen.
We don't provide any support via personal channels like PM, email, Skype, TeamViewer!

It's like porn for programmers 8)
User avatar
Altrea
AF Moderator
 
Posts: 11926
Joined: 17. August 2009 13:05
XAMPP version: several
Operating System: Windows 11 Pro x64

Re: Apache Webserver ...

Postby Neu999 » 21. August 2017 15:05

Altrea wrote:url ist für Benutzer mit wenigen Beiträgen deaktiviert um Spam einzudämmen.


Danke für die Antwort.

Ach so. Schade dann kann ich nicht verlinken.

Ab wann kann ich mit einer Freischaltung rechnen ?

MFG
Neu999
Neu999
 
Posts: 9
Joined: 27. September 2016 10:54
XAMPP version: ?
Operating System: Window 7

Re: Apache Webserver ...

Postby Nobbie » 21. August 2017 18:07

Neu999 wrote:Ich hatte mir im Letzen Jahr XAMPP installiert und komme unter localhost nicht auf die entsprechende Seite, sondern auf eine andere Seite von XAMPP.


Mit "entsprechender Seite" meinst Du wahrscheinlich die total veraltete "orange" Seite, die in den ebenso total veralteten Tutorials gezeigt wird. Das ist natürlich immer das Problem, Tutorials und Videos veralten. Auf Xampps Downloadseite gibt es eine FAQ, die ist aktueller und zeigt die richtige Seite. Aber letztendlich ist das ja auch vollkommen egal, Du bekommst die Seite, die Du bekommst. Fertig. Ist doch sowieso nur irgendeine 0815 "Hallo hier ist Xampp" Seite.

Der Sinn von Xampp besteht NICHT darin, sich an einer bestimmten Defaultseite zu erfreuen, sondern EIGENE(!) Seiten und Scripts anzulegen. Das ist der EINZIGE Sinn von Xampp.
Nobbie
 
Posts: 13171
Joined: 09. March 2008 13:04

Re: Apache Webserver ...

Postby Neu999 » 22. August 2017 04:56

Danke noch mal für deine Antwort.

Ja die Orange Seite meinte ich. Ich finde du bist schlau weil du gleich drauf gekommen bist was ich meine.
Jetzt die Seite auf blau anstatt auf Orang. Bei mir ist die blaue Seite auf englisch und nicht auf deutsch.
Wie kann ich die blaue Seite auf deutsch bekommen ?

MFG
Neu999
Neu999
 
Posts: 9
Joined: 27. September 2016 10:54
XAMPP version: ?
Operating System: Window 7

Re: Apache Webserver ...

Postby Nobbie » 22. August 2017 09:48

Gibt es (glaube ich) nur auf englisch. Ich glaube nicht, dass Bitnami die Seite in zig Sprachen übersetzt hat (Deutsch ist ja auch nur eine von vielen Sprachen). Ich kenne jedenfalls nur die englische Seite.
Nobbie
 
Posts: 13171
Joined: 09. March 2008 13:04

Re: Apache Webserver ...

Postby Neu999 » 22. August 2017 11:39

Danke.

Nicht schlimm wenn Sie auf englisch ist da man ja die Seite durch google übersetzen lassen kann.

MFG
Neu999
Neu999
 
Posts: 9
Joined: 27. September 2016 10:54
XAMPP version: ?
Operating System: Window 7


Return to Apache

Who is online

Users browsing this forum: No registered users and 31 guests