Sicherheitsaspekte Apache / wu.ftp
Hallo, welche Sicherheitsaspekte sind beim verwenden des Apache zu beachten, so dass kein Freak in mein System durch geschickte Manipulation von aussen eindringen kann? Reicht es aus, die von SuSE mitgelieferte Standardkonfiguration zu belassen, oder sollte man da oder dort was verändern, damit Sicherheitslöcher gestopft werden? Und wie sieht es mit dem FTP-Server aus? Hilfreich wäre vielleicht noch zu erwähnen, dass zu erwarten ist, dass alle Anfragen an meinen Rechner über einen Firewall laufen (sollten), den ich aber selber nicht administriere. Wie dieser Firewall konfiguriert ist, habe ich keine Ahnung. Ich kann mich nur darauf verlassen, dass die im Rechenzentrum gute Arbeit tun. Gruss Joachim -- joachim.hussong@dlr.de joachim.hussong@gmx.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Wed, 10 May 2000, Joachim Hussong wrote:
welche Sicherheitsaspekte sind beim verwenden des Apache zu beachten, so dass kein Freak in mein System durch geschickte Manipulation von aussen eindringen kann? Reicht es aus, die von SuSE mitgelieferte Standardkonfiguration zu belassen, oder sollte man da oder dort was verändern, damit Sicherheitslöcher gestopft werden?
www.securityfocus.com
Und wie sieht es mit dem FTP-Server aus?
www.rootshell.com Generll gilt: wenn man was falsch/schlecht/garnicht konfiguriert, ist man auch selber schuld, wenn was nicht tut ;) Was Apache und/oder einen der FTP-Server angeht, kann man bei allen wohl einiges falsch machen (permissions).
Hilfreich wäre vielleicht noch zu erwähnen, dass zu erwarten ist, dass alle Anfragen an meinen Rechner über einen Firewall laufen (sollten), den ich aber selber nicht administriere. Wie dieser Firewall konfiguriert ist, habe ich keine Ahnung. Ich kann mich nur darauf verlassen, dass die im Rechenzentrum gute Arbeit tun.
never trust anyone - paranoia pays ;) Mit freundlichen Grüßen, Joerg Henner. -- LinuxHaus Stuttgart | Tel.: +49 (7 11) 2 85 19 05 Jörg Henner & Adrian Reyer, Datentechnik GbR | D2: +49 (1 72) 7 35 31 09 | Fax: +49 (7 11) 5 78 06 92 Linux, Netzwerke, Webhosting & Support | http://lihas.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Joachim Hussong [joachim.hussong@dlr.de] wrote:
welche Sicherheitsaspekte sind beim verwenden des Apache zu beachten, so dass kein Freak in mein System durch geschickte Manipulation von aussen eindringen kann? Reicht es aus, die von SuSE mitgelieferte Standardkonfiguration zu belassen, oder sollte man da oder dort was verändern, damit Sicherheitslöcher gestopft werden?
Da Du nicht erwähnst, welche Distri, weiss ich auch nicht, welche Version von Apache Du benutztst. Ich würde auf jeden Fall die neuste Version saugen und installieren. Was die Sicherheit des Apache betrifft, so ausm Kopf: o Kein SSI, wenn jedoch benötigt, kein EXEC o keine FollowSymLinks o keine Indexes o niemals /etc/passwd als AuthUserFile o allfällige standardmässig mitgelieferte Scripts allesamt rausschmeissen o alle AddHandler, <IfModule>, AddEncoding, AddType, die nicht benötigt werden, rausschmeissen o ServerTokens auf Min setzen o auf keinen Fall im inetd-Mode laufen lassen o /server-status und /server-info nicht verwenden, wenn benötigt, Zugriff beschränken, etc. o http://www.apache.org/docs/misc/security_tips.html lesen o Wie schon Jörg geschrieben hat, das bugtraq-Archiv auf www.securityfocus.com nach Apache durchsuchen
Firewall konfiguriert ist, habe ich keine Ahnung. Ich kann mich nur darauf verlassen, dass die im Rechenzentrum gute Arbeit tun.
Trust no one. Don't Panic Kilian --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Joachim Hussong wrote:
Hilfreich wäre vielleicht noch zu erwähnen, dass zu erwarten ist, dass alle Anfragen an meinen Rechner über einen Firewall laufen (sollten), den ich aber selber nicht administriere. Wie dieser Firewall konfiguriert ist, habe ich keine Ahnung. Ich kann mich nur darauf verlassen, dass die im Rechenzentrum gute Arbeit tun.
Wenn die Leute im Rechenzentrum 'was drauf haben, kannst Du das mit dem privaten HTTP/FTP-Server vergessen. Eine Firewall und "private" Server hinter der Firewall passen nämlich nicht recht zusammen...mit anderen Worten: wer unter diesen Umständen eine Firewall betreibt, verschwendet seine IT-Resourcen! Gruß, Ruben -- Ruben Schattevoy http://www.biochem.mpg.de/~schattev Max-Planck-Institut of Biochemistry mailto:schattev@biochem.mpg.de Am Klopferspitz 18a Voice +49(89)8578-2723 82152 Martinsried/Munich, Germany Fax +49(89)8578-2479 --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo Ruben,
Wenn die Leute im Rechenzentrum 'was drauf haben, kannst Du das mit dem privaten HTTP/FTP-Server vergessen. Eine Firewall und "private" Server hinter der Firewall passen nämlich nicht recht zusammen...mit anderen Worten: wer unter diesen Umständen eine Firewall betreibt, verschwendet seine IT-Resourcen!
da hast du allerdings recht. Nur wie sieht das mit LDAP und dem Apache als Reverse Proxy aus ? Habe selbst noch nicht mit gearbeitet, aber müsste gehen, glaube ich. Auch in der demilitarisierten Zone. cu Mark Walter --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Mark Walter wrote:
Hallo Ruben,
Wenn die Leute im Rechenzentrum 'was drauf haben, kannst Du das mit dem privaten HTTP/FTP-Server vergessen. Eine Firewall und "private" Server hinter der Firewall passen nämlich nicht recht zusammen...mit anderen Worten: wer unter diesen Umständen eine Firewall betreibt, verschwendet seine IT-Resourcen!
da hast du allerdings recht. Nur wie sieht das mit LDAP und dem Apache als Reverse Proxy aus ? Habe selbst noch nicht mit gearbeitet, aber müsste gehen, glaube ich. Auch in der demilitarisierten Zone.
Hallo Walter, Du meinst einen Reverse-HTTP-Proxy in der DMZ und der leitet die Anfragen von außen auf HTTP-Server hinter der Firewall weiter? Aber dieser HTTP-Server ist doch dann nicht unter der Kontrolle des Rechen- zentrums! Wenn auf diesem Rechner irgendwelche netten CGI-Skripte installiert sind oder Servlets oder die NIS/NFS-Benutzerverzeichnisse über den "~user"- Mechanismus exportiert werden - wie es bei SuSE z.B. der Default ist :-( -, werden u.U. ungewollt sämtliche Benutzerseiten aus dem IntRAnet ins IntERnet exportiert. Mit LDAP habe ich noch überhaupt keine Erfahrung - leider... Ruben -- Ruben Schattevoy http://www.biochem.mpg.de/~schattev Max-Planck-Institut of Biochemistry mailto:schattev@biochem.mpg.de Am Klopferspitz 18a Voice +49(89)8578-2723 82152 Martinsried/Munich, Germany Fax +49(89)8578-2479 --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo Leute, gibts eine Möglichkeit Premiere unter Linux zugucken. Das heisst zuentsch* Thanks -- ------------------------------ Pierre Krenzlin Uni-Rechenzentrum Universitaet-Magdeburg Tel. 0391/67 12819 (RTL-1) ------------------------------ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On 12-May-2000 Pierre Krenzlin Tel. 12819 wrote:
Hallo Leute,
gibts eine Möglichkeit Premiere unter Linux zugucken. Das heisst zuentsch*
Du denkst natürlich an eine TV Karte mit CA Modul wie z.B.
http://www.pc-werksverkauf.de/zubehoer/tv-karten.htm und nicht an eine
(illegale) Softwarelösung wie man sie unter http://freetv.tng.de findet.
Ingo
--
----------------------------------
E-Mail: Ingo Kemper
participants (7)
-
jhe@lihas.de -
joachim.hussong@dlr.de -
kemper@klinchem.med.tu-muenchen.de -
kil@bunny.ch -
mwalter@suse.de -
Pierre.Krenzlin@URZ.Uni-Magdeburg.DE -
schattev@biochem.mpg.de