Hallo
Ich habe vor mir zu hause einen eigenen Webserver aufzubauen der über dyndns.org Online zur Verfügung stehen soll!
Welche Sicherheits-Richtlinien sind vor zu nehmen damit keiner auf den Rechner oder auf das vorhandene Netzwerk in dem sich der Webserver befindet einbrechen kann!
Ich bin für jede Hilfe sehr dankbar!
Ich bedanke mich schon mal bei allen die mir weiter helfen!!!!
Mit freundlichen Grüßen : Karsten
Hilfe gesucht für sicheren Online Server!!!!
11 posts
• Page 1 of 1
Hilfe gesucht für sicheren Online Server!!!!
by Tekkno_K » 08. May 2005 15:20
- Tekkno_K
- Posts: 5
- Joined: 02. June 2004 12:53
by Jack » 08. May 2005 16:28
zuerst mal nen firewall dann nen guten virenscanner den du immer wieder drüber laufen lässt, und dann noch deinen apachen oder was auch immer immer auf dem laufenden halten damit er immer die neusten bugs gefixt hat
-
Jack - Posts: 50
- Joined: 07. April 2005 13:16
- Location: Nürtingen
by fragenmensch » 08. May 2005 19:42
firewall und virenscanner brauchste nicht
aber du MUSST den webserver NUR als webserver einsetzen
und ihn als dmz im router setzen...
die anderen pcs aber BITTE NICHT als dmz laufen lassen
normalerweise übernimmt auch ein noname router firewall funktionen
und wennste den xampp unter linux stellst dann brauchste dir keine sorgen mehr zu machen
aber du MUSST den webserver NUR als webserver einsetzen
und ihn als dmz im router setzen...
die anderen pcs aber BITTE NICHT als dmz laufen lassen
normalerweise übernimmt auch ein noname router firewall funktionen
und wennste den xampp unter linux stellst dann brauchste dir keine sorgen mehr zu machen
- fragenmensch
- Posts: 17
- Joined: 01. May 2005 18:59
by Jack » 08. May 2005 20:02
nicht jeder mensch hat einen router !
und ein zusätzlicher firewall ist zu empfehlen(weil der in den routern oft nicht sehr sicher ist) sowie ein virenscanner(um die dateien auf dem server zu scannen und zu schauen ob irgendjemand versucht hat, z.b. ein Virus/Trojaner auf den Server zu spielen
ja sogar unter linux gibts viren und trojaner
und ein zusätzlicher firewall ist zu empfehlen(weil der in den routern oft nicht sehr sicher ist) sowie ein virenscanner(um die dateien auf dem server zu scannen und zu schauen ob irgendjemand versucht hat, z.b. ein Virus/Trojaner auf den Server zu spielen
fragenmensch wrote:und wennste den xampp unter linux stellst dann brauchste dir keine sorgen mehr zu machen
ja sogar unter linux gibts viren und trojaner
-
Jack - Posts: 50
- Joined: 07. April 2005 13:16
- Location: Nürtingen
by Jan H. Krüger » 08. May 2005 21:34
Nun, kommt drauf an für welchen Zweck du den Webserver betreiben willst.
Da du das ganze über Dyndns laufen lassen willst, fällt wohl eine gewerbliche Nutzung aus. Da der Rechner bei dir zu Hause steht, wird wohl auch nicht mit sehr viel Traffic gerechnet.
Stellt sich die Frage was für Dienste du bereit stellen willst.
Webserver ist klar, also muss der Apache laufen und Port 80 offen sein.
Soll die Möglichkeit bestehen das du oder jemand anderes sich über SSH einloggen darf? Wenn nein, dann deaktiviere den Dienst.
Willst du E-Mails von diesem System verschicken? Wenn nein wird kein Mail-Server benötigt. Wenn kein Mailserver vorhanden ist, kann dieser auch nicht missbraucht werden um Spam zu versenden.
E-Mails per PHP zu versenden geht auch ohne Mailserver, beispiele für solche Mailklassen finden sich hier im Forum.
Benötigst du FTP?
MySQL?
Grundsätzlich alle Dienste deaktivieren welche nicht benötigt werden.
Und danach sperre die Ports. Gibt keinen Grund Türen zu öffnen wenn du nur einen Haupteingang (80) haben willst.
Antivir wäre zu empfehlen wenn du regen Dateiaustausch hast. antivir ist einfach zu installieren und zu handhaben. Die regelmäßige Aktualisierung der Virendefinitionen lässt sich per Cron-Job automatisch beziehen.
Ob regelmäßig, in welchen Intervallen du allerdings nach Viren suchen läßt, hängt aber vor allem von der geplanten Verwendungsweise des Servers ab. Bei einem File-Server wäre ich persönlich vorsichtiger wie bei einem reinen Webserver.
Weniger weil Panik vor Linux-Viren angesagt wäre sondern eher um zu verhindern das Dateien vom File-Server (so überhaupt vorhanden) infiziert sind und sich weiter verteilen.
Firewall... kommt auf deine Klientel an. Wenn du nur erwartest das ein paar Freunde von dir auf den Server zugreifen, dann kann man das eher mal vernachlässigen. Ansonsten kann sie nicht schaden.
Aber ganz ehrlich, eine Firewall nützt nichts wenn sie nicht korrekt konfiguriert wurde.
Ansonsten, siehe hier.
Auch die Log-Dateien solltest du, wenn wir schon paranoid spielen, sichern.
Kann ggf. bequem per Cron gemacht werden, Hauptsache die Logs werden aus der gefährlichen Zone entfernt. Sollte jemand auf die Idee kommen die Logs zu löschen, liegen so zumindest noch die Logs welche zuletzt gesichert wurden vor. Was dich natürlich noch nicht davor schützt das die Logs vor der Sicherung manipuliert werden.
Hast du Angst das jemand ein Rootkit einschmuggeln könnte, kannst du chkrootkit einsetzen. Kann bei Bedarf oder automatisiert gestartet werden. Das Ergebnis kann in eine Datei umgeleitet werden um eine spätere Kontrolle vorzunehmen, ein manueller Aufruf ist also nicht mehr nötig.
Um weiterhin paranoid zu sein, entferne eventuelle Compiler. Für den Fall das jemand es schafft auf den Rechner zu kommen, kann diese Person auf deinem Rechner nicht anfangen eigene Programme zu kompilieren.
Um zu verhindern das sich ein Angreifer der auf deinem Rechner bereits ist seine Tools von irgendwoher zieht, kann wget und lynx entfernt werden.
Interessant wäre für dich eventuell auch noch nmap.
Was aber wesentlich wichtiger ist wie alles andere: Überlege dir gut was du für Dienste anbieten willst, was wird tatsächlich gebraucht.
Bei einem kleinen Privatserver unter deinem Tisch spielt sicher auch noch der Aufwand zum Nutzen eine Rolle.
EDIT:
Hab gerade erst gemerkt das es sich um einen Server mit einem Win-System handelt. Da passt natürlich nur ein Teil des gesagten.
Unter Windows stellt sich die Frage nach einer Firewall und Virenscanner gar nicht. Heutzutage kommt man da (leider) gar nicht mehr drumherum.
Da du das ganze über Dyndns laufen lassen willst, fällt wohl eine gewerbliche Nutzung aus. Da der Rechner bei dir zu Hause steht, wird wohl auch nicht mit sehr viel Traffic gerechnet.
Stellt sich die Frage was für Dienste du bereit stellen willst.
Webserver ist klar, also muss der Apache laufen und Port 80 offen sein.
Soll die Möglichkeit bestehen das du oder jemand anderes sich über SSH einloggen darf? Wenn nein, dann deaktiviere den Dienst.
Willst du E-Mails von diesem System verschicken? Wenn nein wird kein Mail-Server benötigt. Wenn kein Mailserver vorhanden ist, kann dieser auch nicht missbraucht werden um Spam zu versenden.
E-Mails per PHP zu versenden geht auch ohne Mailserver, beispiele für solche Mailklassen finden sich hier im Forum.
Benötigst du FTP?
MySQL?
Grundsätzlich alle Dienste deaktivieren welche nicht benötigt werden.
Und danach sperre die Ports. Gibt keinen Grund Türen zu öffnen wenn du nur einen Haupteingang (80) haben willst.
Antivir wäre zu empfehlen wenn du regen Dateiaustausch hast. antivir ist einfach zu installieren und zu handhaben. Die regelmäßige Aktualisierung der Virendefinitionen lässt sich per Cron-Job automatisch beziehen.
Ob regelmäßig, in welchen Intervallen du allerdings nach Viren suchen läßt, hängt aber vor allem von der geplanten Verwendungsweise des Servers ab. Bei einem File-Server wäre ich persönlich vorsichtiger wie bei einem reinen Webserver.
Weniger weil Panik vor Linux-Viren angesagt wäre sondern eher um zu verhindern das Dateien vom File-Server (so überhaupt vorhanden) infiziert sind und sich weiter verteilen.
Firewall... kommt auf deine Klientel an. Wenn du nur erwartest das ein paar Freunde von dir auf den Server zugreifen, dann kann man das eher mal vernachlässigen. Ansonsten kann sie nicht schaden.
Aber ganz ehrlich, eine Firewall nützt nichts wenn sie nicht korrekt konfiguriert wurde.
Ansonsten, siehe hier.
Auch die Log-Dateien solltest du, wenn wir schon paranoid spielen, sichern.
Kann ggf. bequem per Cron gemacht werden, Hauptsache die Logs werden aus der gefährlichen Zone entfernt. Sollte jemand auf die Idee kommen die Logs zu löschen, liegen so zumindest noch die Logs welche zuletzt gesichert wurden vor. Was dich natürlich noch nicht davor schützt das die Logs vor der Sicherung manipuliert werden.
Hast du Angst das jemand ein Rootkit einschmuggeln könnte, kannst du chkrootkit einsetzen. Kann bei Bedarf oder automatisiert gestartet werden. Das Ergebnis kann in eine Datei umgeleitet werden um eine spätere Kontrolle vorzunehmen, ein manueller Aufruf ist also nicht mehr nötig.
Um weiterhin paranoid zu sein, entferne eventuelle Compiler. Für den Fall das jemand es schafft auf den Rechner zu kommen, kann diese Person auf deinem Rechner nicht anfangen eigene Programme zu kompilieren.
Um zu verhindern das sich ein Angreifer der auf deinem Rechner bereits ist seine Tools von irgendwoher zieht, kann wget und lynx entfernt werden.
Interessant wäre für dich eventuell auch noch nmap.
Was aber wesentlich wichtiger ist wie alles andere: Überlege dir gut was du für Dienste anbieten willst, was wird tatsächlich gebraucht.
Bei einem kleinen Privatserver unter deinem Tisch spielt sicher auch noch der Aufwand zum Nutzen eine Rolle.
EDIT:
Hab gerade erst gemerkt das es sich um einen Server mit einem Win-System handelt. Da passt natürlich nur ein Teil des gesagten.
Unter Windows stellt sich die Frage nach einer Firewall und Virenscanner gar nicht. Heutzutage kommt man da (leider) gar nicht mehr drumherum.
- Jan H. Krüger
- Posts: 152
- Joined: 24. October 2004 19:42
by fragenmensch » 09. May 2005 20:11
Jan H. Krüger wrote:Nun, kommt drauf an für welchen Zweck du den Webserver betreiben willst.
Da du das ganze über Dyndns laufen lassen willst, fällt wohl eine gewerbliche Nutzung aus. Da der Rechner bei dir zu Hause steht, wird wohl auch nicht mit sehr viel Traffic gerechnet.
Stellt sich die Frage was für Dienste du bereit stellen willst.
Webserver ist klar, also muss der Apache laufen und Port 80 offen sein.
Soll die Möglichkeit bestehen das du oder jemand anderes sich über SSH einloggen darf? Wenn nein, dann deaktiviere den Dienst.
Willst du E-Mails von diesem System verschicken? Wenn nein wird kein Mail-Server benötigt. Wenn kein Mailserver vorhanden ist, kann dieser auch nicht missbraucht werden um Spam zu versenden.
E-Mails per PHP zu versenden geht auch ohne Mailserver, beispiele für solche Mailklassen finden sich hier im Forum.
Benötigst du FTP?
MySQL?
Grundsätzlich alle Dienste deaktivieren welche nicht benötigt werden.
Und danach sperre die Ports. Gibt keinen Grund Türen zu öffnen wenn du nur einen Haupteingang (80) haben willst.
Antivir wäre zu empfehlen wenn du regen Dateiaustausch hast. antivir ist einfach zu installieren und zu handhaben. Die regelmäßige Aktualisierung der Virendefinitionen lässt sich per Cron-Job automatisch beziehen.
Ob regelmäßig, in welchen Intervallen du allerdings nach Viren suchen läßt, hängt aber vor allem von der geplanten Verwendungsweise des Servers ab. Bei einem File-Server wäre ich persönlich vorsichtiger wie bei einem reinen Webserver.
Weniger weil Panik vor Linux-Viren angesagt wäre sondern eher um zu verhindern das Dateien vom File-Server (so überhaupt vorhanden) infiziert sind und sich weiter verteilen.
Firewall... kommt auf deine Klientel an. Wenn du nur erwartest das ein paar Freunde von dir auf den Server zugreifen, dann kann man das eher mal vernachlässigen. Ansonsten kann sie nicht schaden.
Aber ganz ehrlich, eine Firewall nützt nichts wenn sie nicht korrekt konfiguriert wurde.
Ansonsten, siehe hier.
Auch die Log-Dateien solltest du, wenn wir schon paranoid spielen, sichern.
Kann ggf. bequem per Cron gemacht werden, Hauptsache die Logs werden aus der gefährlichen Zone entfernt. Sollte jemand auf die Idee kommen die Logs zu löschen, liegen so zumindest noch die Logs welche zuletzt gesichert wurden vor. Was dich natürlich noch nicht davor schützt das die Logs vor der Sicherung manipuliert werden.
Hast du Angst das jemand ein Rootkit einschmuggeln könnte, kannst du chkrootkit einsetzen. Kann bei Bedarf oder automatisiert gestartet werden. Das Ergebnis kann in eine Datei umgeleitet werden um eine spätere Kontrolle vorzunehmen, ein manueller Aufruf ist also nicht mehr nötig.
Um weiterhin paranoid zu sein, entferne eventuelle Compiler. Für den Fall das jemand es schafft auf den Rechner zu kommen, kann diese Person auf deinem Rechner nicht anfangen eigene Programme zu kompilieren.
Um zu verhindern das sich ein Angreifer der auf deinem Rechner bereits ist seine Tools von irgendwoher zieht, kann wget und lynx entfernt werden.
Interessant wäre für dich eventuell auch noch nmap.
Was aber wesentlich wichtiger ist wie alles andere: Überlege dir gut was du für Dienste anbieten willst, was wird tatsächlich gebraucht.
Bei einem kleinen Privatserver unter deinem Tisch spielt sicher auch noch der Aufwand zum Nutzen eine Rolle.
EDIT:
Hab gerade erst gemerkt das es sich um einen Server mit einem Win-System handelt. Da passt natürlich nur ein Teil des gesagten.
Unter Windows stellt sich die Frage nach einer Firewall und Virenscanner gar nicht. Heutzutage kommt man da (leider) gar nicht mehr drumherum.
Jo stimmt.
Aber ein Kumpel von mir hat nen Router und diesen Symantec-Online-Scan drübergejagt..
Und der fand nix(naja es war ein DLINK router ich weiss ned was du für einen hast)
was es den virenscanner angeht: Deaktiviere FTP,eMule,Shareaza etc. UND die Möglichkeit via WEBDAV oder PHP Dateien hochzuladen, dann ist er eigentlich fast nicht mehr nötig.
Was es den Router angeht und seine Konfiguration:Leider haben sich die zig Routerproduzenten immer noch nicht auf einen Standard geeinigt der die Bedienung einheitlich macht... das heisst für Dich sicher mindestens eine Nacht dahocken und die verdammten, schlecht übersetzten Router-Manuals zu lesen(*kotz*-mein Mitleid im voraus!)
Und zum Schluss DynDNS: Da gibt es neben 80/443 auch noch einen anderen TCP Port den die Meisten Updater Programme zum DNS-Update nutzen-schau also dass Du dir spywarefreie Programme zulegst und selbigen volle Rechte in Bezug auf Internetverbinduing einräumst...
Nun denn viel Spass bei der Arbeit
Marco
PS:
Linux is noch schlimmer was es die Installation angeht, sei froh dass es M$ gibt...
- fragenmensch
- Posts: 17
- Joined: 01. May 2005 18:59
by Tekkno_K » 19. May 2005 07:24
Hallo ihr Lieben
Danke für die große Teilnahme!
Der Webserver sollte als ein kleines Portal mit ca. 70 Usern eingesetzt werden, ich denke dass ich Mambo einsetzen werde!
Als Firewall setze ich bei mir IPCop ein!
Betriebssystem auf dem Webserver ist W2K!
Da ich über einen Router ins Netz gehe, ist es mir sehr wichtig dass man nicht über den Web Server auf mein Lokales Netzwerk drauf zugreifen kann und darf! Das ist mir persönlich am wichtigsten! FTP sollte auch laufen aber geschützt! Mail wäre auch nicht schlecht, aber keine Pflicht!
Fragen:
1) Wo Stelle ich die Dienste die ich nicht benötige ab?
2) Wo werden die Ports abgeschaltet? Am Router?
3) Was ist mit den Log-Dateien aus dem Beitrag von Jan H. Krüger gemeint?
4) Was ist ein Rootkit?
5) Was ist mit Compiler gemeint?
6) Mit welchen Tools kann man einen Webserver auf seine Sicherheit testen?
Dann ist mir noch aufgefallen das einige User in der Datenbank ohne Passwort versehen worden sind! Als ich jedem ein Passwort gegeben hatte bekam ich keinen Zugriff mehr auf die Datenbank oder vielmehr der Web Server lief gar nicht mehr! In der config Php Datei habe ich die Passwörter gesetzt weiß aber nicht ob ich das richtig gemacht habe!
Müssen noch andere Dateien geändert werden?
In welchen Dateien werden die root Pfade für htdocs eingestellt?
Mit freundlichen Grüßen : Karsten
Danke für die große Teilnahme!
Der Webserver sollte als ein kleines Portal mit ca. 70 Usern eingesetzt werden, ich denke dass ich Mambo einsetzen werde!
Als Firewall setze ich bei mir IPCop ein!
Betriebssystem auf dem Webserver ist W2K!
Da ich über einen Router ins Netz gehe, ist es mir sehr wichtig dass man nicht über den Web Server auf mein Lokales Netzwerk drauf zugreifen kann und darf! Das ist mir persönlich am wichtigsten! FTP sollte auch laufen aber geschützt! Mail wäre auch nicht schlecht, aber keine Pflicht!
Fragen:
1) Wo Stelle ich die Dienste die ich nicht benötige ab?
2) Wo werden die Ports abgeschaltet? Am Router?
3) Was ist mit den Log-Dateien aus dem Beitrag von Jan H. Krüger gemeint?
4) Was ist ein Rootkit?
5) Was ist mit Compiler gemeint?
6) Mit welchen Tools kann man einen Webserver auf seine Sicherheit testen?
Dann ist mir noch aufgefallen das einige User in der Datenbank ohne Passwort versehen worden sind! Als ich jedem ein Passwort gegeben hatte bekam ich keinen Zugriff mehr auf die Datenbank oder vielmehr der Web Server lief gar nicht mehr! In der config Php Datei habe ich die Passwörter gesetzt weiß aber nicht ob ich das richtig gemacht habe!
Müssen noch andere Dateien geändert werden?
In welchen Dateien werden die root Pfade für htdocs eingestellt?
Mit freundlichen Grüßen : Karsten
- Tekkno_K
- Posts: 5
- Joined: 02. June 2004 12:53
by Jan H. Krüger » 19. May 2005 08:25
2) Wo werden die Ports abgeschaltet?
Wenn dein Router das kann... ansonsten die Ports in de FW sperren. Oder einfach keinen Dienst laufen lassen der einen Port öffnet...
Generell zu Ports findest du Infos, wie könnte es anders sein, bei Wikipedia:
http://de.wikipedia.org/wiki/Port_%28Protokoll%29
3) Was ist mit den Log-Dateien aus dem Beitrag von Jan H. Krüger gemeint?
http://de.wikipedia.org/wiki/Logfile
Hier ist für dich relevant was die Logfiles für Web-Server sind.
4) Was ist ein Rootkit?
http://de.wikipedia.org/wiki/Rootkit
5) Was ist mit Compiler gemeint?
http://de.wikipedia.org/wiki/Compiler
Kannst du ignorieren, du verwendest ja kein Linux.
Was jetzt nicht heißt das es sicherer wird...
Als ich jedem ein Passwort gegeben hatte bekam ich keinen Zugriff mehr auf die Datenbank
Deshalb sollten die PWs auch so gesetzt werden wie MySQL dies vorsieht. Infos darüber finden sich hier im Forum, im MySQL Bereich.
Müssen noch andere Dateien geändert werden?
Die Frage können wir nur schlecht beantworten. Verwendest du denn in eigenen Programmen die alten Passwörter?
In welchen Dateien werden die root Pfade für htdocs eingestellt?
In der Regel in der httpd.conf
Öffnen, nach Document-Root suchen, anpassen, restart.[/quote]
- Jan H. Krüger
- Posts: 152
- Joined: 24. October 2004 19:42
by Ceelight » 19. May 2005 14:06
Mit IPCop bist Du ja schon gut bedient. Hier meine Tipps dazu:
Konfiguriere den COP als "green, orange, red"
green = Dein zu schützendes Heimnetz
orange = DMZ, in der Dein Webserver hängt
red = Deine Internetanbindung
Im Webfrontend des IPCop musst Du dann den Port 80 auf die IP des webservers in orange weiterleiten.
Damit hast Du Router und Firewall, die m.E. auch sehr gut und zuverlässig funktioniert. Dein normales Heimnetz ist auch gesichert - selbst wenn jemand Deinen webserver übernommen hat (was ich nicht glaube, wenn Du alles richtig machst).
Weiterführenden support und Ideen zu IPCop findest Du hier: http://www.ipcop-forum.de (Bitte die Boardregeln beachten
)
Viel Spaß!
Cee
Konfiguriere den COP als "green, orange, red"
green = Dein zu schützendes Heimnetz
orange = DMZ, in der Dein Webserver hängt
red = Deine Internetanbindung
Im Webfrontend des IPCop musst Du dann den Port 80 auf die IP des webservers in orange weiterleiten.
Damit hast Du Router und Firewall, die m.E. auch sehr gut und zuverlässig funktioniert. Dein normales Heimnetz ist auch gesichert - selbst wenn jemand Deinen webserver übernommen hat (was ich nicht glaube, wenn Du alles richtig machst).
Weiterführenden support und Ideen zu IPCop findest Du hier: http://www.ipcop-forum.de (Bitte die Boardregeln beachten
)
Viel Spaß!
Cee
There's no place like 127.0.0.1
-
Ceelight - Posts: 295
- Joined: 31. January 2004 19:57
- Location: Pfälzer im niedersächsischen Exil ;-)
by Akido » 19. May 2005 14:27
also ich weis ned, aber den server als DMZ einzustellen ist schon ein bisschen haarig, da der router dann jeden unbekannten port auf deinen server weiterleitet. stell lieber in der Firewall die Ports 80 (http) und 20,21 (ftp) als weiterleitung zu deinem webserver ein, damit läufst du um einiges sicherer. ansonsten kann man über jeden port der nicht in der Firewall des routers vorkonfiguriert ist auf deinen server zugreifen, und des wär mir ein bisschen zu unsicher.
- Akido
- Posts: 11
- Joined: 18. May 2005 20:34
11 posts
• Page 1 of 1
Who is online
Users browsing this forum: No registered users and 33 guests