Hallo Liste, erstmal vielen Dank für die zahlreichen Tipps, Informationen, Links und Buchempfehlungen. Sandy schrieb:
Taner Ayaydin wrote:
Hallo Liste, hätte eine Frage.
Bin relativ ein Anfänger in Sachen Linux. Ich würde mich nun mit der Serversicherheit gerne beschäftigen. Auf welche Sachen müsste man grundsätzlich achten? Wie könnte ich mich am besten als Newbie in die Sache einarbeiten?
Serversicherheit ist eine Konzeptfrage, das kannst du nicht auf wenige Punkte reduzieren. Ich gehe grundsätzlich davon aus, dass alles, zu dem kein Zugriff notwendig ist, auch direkt nicht möglich sein sollte.
Daneben ist noch die Frage von Denial-of-Service zu klären und die maximale Komplexität der Konfiguration. Wenn nur noch du selbst die Konfiguration verstehst, und das auch erst, nachdem du dich wieder lange Zeit durch alle Details gewühlt hat, dann kommst du schnell zu dem Ergebnis, dass es irgendwo ein Optimum gibt zwischen Komplexität, Aufwand und Transparenz.
Betrachte die Sache am besten schematisch. Ein Serverdienst sollte in Schichten untersucht und den Anforderungen entsprechend abgesichert werden.
Netzwerk: - Alle Services, insbesondere die über das Netzwerk ansprechbaren schließen, die nicht benötigt werden.
Ich müsste mal schauen, welche Dienste über das Netzwerk ansprechbar sind. Wie gehe ich das am besten durch? Ich sollte mir erst einmal Linux Basiswissen aneignen ;) In Plesk kann ich noch einstellen, dass die Plesk Konsole nur über eine bestimmte IP-erreichbar ist. Dann wäre nur der Port für Plesk mal abgesichert. Aber, meine eigene IP ist auch nicht immer dieselbe. Sie fängt mal mit 88 an, mal mit 91.
- Begrenze den das Anbieten des Dienstes auf die benötigten IP-Adressen. Wenn MySQL nur von localhost aus genutzt wird, dann sollte auch kein direkter Zugriff über das Netzwerk erlaubt sein.
Da habe ich mal kurz in Plesk geschaut, ob man das einstellen kann. Nichts. Ich sollte das Plesk echt mal rausschmeißen, so wie es aussieht. An sich brauche ich den Server eh nur für unsere einzige Community. Also, da wären keine Kunden angelegt oder andere Benutzer.
Zugriffsrechte: - Definiere genau, welche User, insbesondere anonymous, auf was zugreifen dürfen. Wenn du es nicht genau weisst, dann verbiete erst einmal alles, räume dann die Zugriffsrechte ein auf Resourcen und warte auf Schreie. (^- ^) Wenn das nicht möglich ist, musst du die Zugriffsrechte für alle Resourcen einzeln durchgehen und konfigurieren. Ziemlich viel Arbeit.
Ich habe hier nur root und ein webx User, der Shell Zugriff braucht und einen FTP-Zugang. Mehr eigentlich nicht.
Verwaltung innerhalb des Dienstes: Danach wird es spezifisch, du musst je nach Applikation schauen, ob Rechte /Einschränkungen sinnvoll gesetzt wurden oder noch konfiguriert werden müssen. Bei Apache etwa würde ich, wenn möglich, den Zugriff auf Admin-Verzeichnisse nur von internen IP-Adressen aus erlauben und für das Internet komplett sperren.
Mit dem Admin-Verzeichnis ist wahrscheinlich eine Adminkonsole von Apache gemeint, um ihn zu verwalten? Grüße Taner -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org