RootForum Community

Wir kennen ja alle Netcraft und Konsorten.
Gibt man eine Domain oder IP ein, bekommt man gleich zu sehen, was läuft. Für mich kein angenehmes Gefühl, wenn ich manchmal sehe, was alles an Infos ausgespuckt werden.

Meine 1. Frage nun, kann man das Auslesen von Serverdaten via Netcraft, etc. verhindern?

Meine 2. Frage, kann man es vielleicht auch verhinden, daß man via: ...die Serverdaten auslesen kann?
Das wäre für mich mal sehr Interessant, wenn mir jemand da auf die Sprünge helfen könnte.

MFG
footh

footh wrote:Meine 1. Frage nun, kann man das Auslesen von Serverdaten via Netcraft, etc. verhindern?

Zum Teil ja (schau dir die Apache-Doku an).

Meine 2. Frage, kann man es vielleicht auch verhinden, daß man via:

Code: Select all

<?php 
phpinfo(); 
?> 

...die Serverdaten auslesen kann?

Warum solltest du das wollen: Leute, die berechtigt sind Skripte auf dem Server abzulegen, werden u.U. diese Informationen benötigen.

BTW: Security by obscurity ist grundsätzlich eine schlechte Idee. Sorge also lieber dafür, dass niemandem die Informationen, die er so bekommt, etwas bringen.

Sorge also lieber dafür, dass niemandem die Informationen, "die er so bekommt", etwas bringen.

Wie meinst du das bitte?

Wie meinst du das bitte?

Ein Rechner sollte grundsätzlich so sicher konfiguriert sein, dass ein potenzieller Angreifer selbst mit Kennntnis sämtlicher Internas keinen erfolgreichen Angriff starten kann.

Ist das Root-Passwort auch so ein Interna? :D

GameCrash wrote:Ist das Root-Passwort auch so ein Interna? :D

Ja, bei manchen admins würde es die Sicherheit erhöhen, wenn sie das root passwort nicht kennen würden.

Ist das Root-Passwort auch so ein Interna?

In der Tat. Du könntest mein root PW wissen, und es würde dir nix bringen, weil root sich nicht per Remote einloggen kann. Und nur ein einziger lokaler User (meiner) sich per su zu root machen kann. Trotzdem verrate ich es natürlich nicht. ;)

GameCrash wrote:Ist das Root-Passwort auch so ein Interna? :D

Im optimalen Fall ja, weil man
1. einen Kernel mit ACL-Unterstützung benutzt und dann "root" die Privilegien von "nobody" gibt und
2. für den Account mit Admin-Rechten nur ein Login über ein gesichertes Verfahren (Public-Key) zulässt. Der Private-Key sollte in diesem Fall nicht auf dem Server liegen, sondern nur auf einem getrennten, vom Internet nicht direkt erreichbaren System (perfekt wäre natürlich eine Smart-Card).

Zu 1.: Auf dem Linux-Tag 2002 hat das Debian-Projekt eine solche Aktion gemacht. Da stand ein Rechner mit laufendem Linux und darüber hing ein Schild mit der Aufschrift "Root-Passwort: weißnichtmehr, wer es schafft das System zu kompromittieren, bekommt irgendwas geschenkt). Soweit ich weiß, hat es niemand geschafft (auf der Kiste lief der NSA-gepatchte Kernel).

MajorTermi wrote: 1. einen Kernel mit ACL-Unterstützung benutzt und dann "root" die Privilegien von "nobody" gibt [...]

für die geeks:

der nächste schritt ist plan9 von den bell-labs 8)

http://www.cs.bell-labs.com/sys/doc/9.html
http://www.cs.bell-labs.com/plan9dist

(der "geteilte" admin ;))

"back to the roots"

Menno, ich wollt doch nur einen Witz machen, und Ihr seid mir schon wieder über ;)