Frage zur Sicherheit

[binary trust]

hi,

ich richte gerade einen webserver für unsere firma ein und hab von einer chmod umgebung gehört. ist es denn wirklich nötig alle dienste (apache, ftp, mail ...) unter einer solchen umgebnung laufen zu lassen ?
wäre es denn wirklich "unsicher" wenn ich die programme einfach mit yast installiere und dann konfiguriere.

Was haltet ihr eigentlich von LAMPP ?


danke schonmal im voraus ....



gruß
binary trust

[captaincrunch]

Ich verschiebe mal ins Security-Forum ...

[[monk]]

ich richte gerade einen webserver für unsere firma ein und hab von einer chmod umgebung gehört. ist es denn wirklich nötig alle dienste (apache, ftp, mail ...) unter einer solchen umgebnung laufen zu lassen ?
wäre es denn wirklich "unsicher" wenn ich die programme einfach mit yast installiere und dann konfiguriere.

Was haltet ihr eigentlich von LAMPP ?

du meinst chroot nicht chmod oder ?
bei manchen diensten ist es sinnvoll bei anderen jedoch find ich es als unnütze.
den nameserver bind könnte man als chrotted laufen lassen.
andere dienste wie apache oder ähnliches halte ich für übertrieben.

wenn man mit den updates auf dem laufenden bleibt und ansonsten alles richtig konfiguriert hat, hat man schon den grösstenteil erledigt.

LAMPP kenn ich nicht. ich kenne nur LAMP

HTH

[Anonymous]

andere dienste wie apache oder ähnliches halte ich für übertrieben.

Grade im bereich apache isses sinnvoll, zumindest wenn du mehr als blos statische html seiten auslieferst. Wenn man sich mal überlegt wie gefährlich son blöder webserver mit script sprache für die maschine werden kann könnte man von der paranoia gepackt werden.

Im Bereich dns isses natürlich ebenfalls sehr sinnvoll, ich würde auch mysql chrooten, eigendlich alles ausser ftp, da es im bereich ftp eher sinnlos wäre bzw. mehr probleme als nutzen bringen kann/wird.

Mfg
Jens

[[monk]]

Grade im bereich apache isses sinnvoll, zumindest wenn du mehr als blos statische html seiten auslieferst. Wenn man sich mal überlegt wie gefährlich son blöder webserver mit script sprache für die maschine werden kann könnte man von der paranoia gepackt werden.

na ja ich weiss nicht. wenn man hoster ist evtl. ok .
dann bekommste von mir mit viel augen zurücken eine zustimmung

aber ansonsten reicht es doch völlig die scripte der user auf deren benutzernamen laufen zu lassen. da muss man doch nicht gleich den kompletten apache in ne chroot packen..

[binary trust]

ist schon für hoster gedacht.

also eurer meinung nach sollte ich folgende dienste unter chroot laufen lassen:

apache (php, ssl)
mysql
qmail

???


könnt ihr mir mal auf die sprünge helfen wie ich eine richtig sichere und gute chroot umgebung einrichten kann???


danke

[[monk]]

ist schon für hoster gedacht.

also eurer meinung nach sollte ich folgende dienste unter chroot laufen lassen:

apache (php, ssl)
mysql
qmail

???


könnt ihr mir mal auf die sprünge helfen wie ich eine richtig sichere und gute chroot umgebung einrichten kann???

Mal ne Frage: Bist du der Hoster dann?
Wenn ich nicht wüsste wie man ne chrooted Umgebung einrichtet dann würde ich für andere Leute ehrlich gesagt nix hosten.

Na ja wenn du Kunden drauf hast dann kannste ja alles in ne chrooted umgebung packen, wo kunden zugriff drauf haben.

wirklich sicher ist nie was =)
nimm z.b. die rbash die den login auf dein homeverzeichniss beschränkt. dann starte mc und schon biste wieder draussen auf /
is das beste beispiel dafür =)

der grsecurity patch für den kernel währe schonmal zum empfehlen. da kann man desbezüglich relativ viel einstellen..

[binary trust]

ja ich muss dann woll der hoster werden :(
könnt heulen aber was soll ich machen ?
ich versuche halt das beste draus zu machen und das teil so gut wie möglich einzurichten ...

kannst du das mit dem kernelpatch mal genauer erklären bzw. mal ein link posten ? wäre überhaupt über jede faq seite bezüglich webservereinrichtung dankbar ...

[outofbound]

ja ich muss dann woll der hoster werden :(
könnt heulen aber was soll ich machen ?

Die zwingen dich? ;)

ich versuche halt das beste draus zu machen und das teil so gut wie möglich einzurichten ...

Zu Deutsch: Ã?rger ist vorprogrammiert.

kannst du das mit dem kernelpatch mal genauer erklären bzw. mal ein link posten ? wäre überhaupt über jede faq seite bezüglich webservereinrichtung dankbar ...

Aehm... nimm einen Exklusivserver... das ist sicher und einfach...
(Auch wenn sich das jetzt nicht sehr Konstruktiv anhört: Es ist das Sinnvollste)

Wenn du dann wirklich nen Rootie brauchst, kannst du dir den ja
erstmal zu Hause aufsetzen und dann in Ruhe (Ohne Netzanbindung)
testen...

Gruss,

Out

[[monk]]

ja ich muss dann woll der hoster werden :(
könnt heulen aber was soll ich machen ?
ich versuche halt das beste draus zu machen und das teil so gut wie möglich einzurichten ...

kannst du das mit dem kernelpatch mal genauer erklären bzw. mal ein link posten ? wäre überhaupt über jede faq seite bezüglich webservereinrichtung dankbar ...

Ich schliesse mich OutOfBound an.

Aber mit nem exclusiv server wird er nicht weit kommen da du darauf keine eigene kunden hosten kannst.

wenn mich nicht täuscht dann ist in der faq von rootforum.org/ sogar bei security oder wars andere distributionen ? eine anleitung für den grsecurity patch..

ansonsten hilft google.de weiter =)

[kase]

Auf einem Exclusiv Server lassen sich keine Kunden hosten, auch nicht, wenn sowas dauernt hier im Forum geschrieben wird *ggg*

[[monk]]

Auf einem Exclusiv Server lassen sich keine Kunden hosten, auch nicht, wenn sowas dauernt hier im Forum geschrieben wird *ggg*

das mir immer alle nachplappern müssen =)

p.s. das ist mein 100. posting *freu* :-D

[kase]

habe deinen Post vorher nicht bemerkt, und habe scheinbar ziemlich lange für meinen Satz zum Tippen gebraucht :D :D

Egal, doppelt hält besser ;)

[binary trust]

scheiß druff,

ganz so dragisch ist es auchwieder net.
der server muss ja net morgen stehen und eine langsame übernahme unserer eigenen seiten kommt ja zuerst dran. wenn das alles funtzt werden erst kunden gehostet ...

da ich für die komplette entwicklungs zuständig bin denke ich kann es auchnicht schaden zu wissen wie so ein server funktioniert, vorallem kann ich als entwickler schonmal einige schwachstellen stopfen (wie z.b. mit php daten auszulesen ...). ich denke mal das ganze wird ja schonnicht so schwer sein wenn man die richtigen howtos hat.


hab bisher linux eben nur als reines desktopsystem genutzt und da eigentlich auch nur denn apache mysql php und kedit benötigt. war halt ein reiner entwicklungsrechner und nun muss ein server her ....

also wäre dennoch wie gesagt für ein paar gute chmodd howtos dankbar, soll ja schließlich ihrgendwann dochnoch was werden ....

[chris2000]

scheiß druff,

Seriöser Provider! :roll:

[binary trust]

:twisted: so ist es :twisted:


:-D

[Anonymous]

aber ansonsten reicht es doch völlig die scripte der user auf deren benutzernamen laufen zu lassen. da muss man doch nicht gleich den kompletten apache in ne chroot packen..

Und was machst du wenn es mehr als ein user sind? apache-2 worker mpm is nicht stable genug, php als cgi ist auch keine alternative, ausserdem geht es eher darum das es eine zusätzliche schicht ist die ein angreifer durchdringen müsste bis er schaden durch ein sicherheitsloch eines scriptes oder gar des webservers anrichten kann, mehr sicherheit schadet bekanntlich nicht und der aufwand für ein chroot is meist so gering.

D.H. wenn man bei 5 usern auf einem server schon hoster ist in deinen augen dann bin ich wohl wirklich einer (au backe) :D

ganz so dragisch ist es auchwieder net.
der server muss ja net morgen stehen und eine langsame übernahme unserer eigenen seiten kommt ja zuerst dran. wenn das alles funtzt werden erst kunden gehostet ...

na ja, ich glaube wir sprechen von unterschiedlichen zeitvorstellungen, rechte mal 2 jahre intensiven lernens und testens das du soweit bist ruhigen gewissens kunden auf einen server zu lassen.

Mfg
Jens

[[monk]]

scheiß druff,

Seriöser Provider! :roll:

rofl :lol:
der war echt gut..