Taner Ayaydin wrote:
Hallo Liste, hätte eine Frage.
Bin relativ ein Anfänger in Sachen Linux. Ich würde mich nun mit der Serversicherheit gerne beschäftigen. Auf welche Sachen müsste man grundsätzlich achten? Wie könnte ich mich am besten als Newbie in die Sache einarbeiten?
Serversicherheit ist eine Konzeptfrage, das kannst du nicht auf wenige Punkte reduzieren. Ich gehe grundsätzlich davon aus, dass alles, zu dem kein Zugriff notwendig ist, auch direkt nicht möglich sein sollte. Daneben ist noch die Frage von Denial-of-Service zu klären und die maximale Komplexität der Konfiguration. Wenn nur noch du selbst die Konfiguration verstehst, und das auch erst, nachdem du dich wieder lange Zeit durch alle Details gewühlt hat, dann kommst du schnell zu dem Ergebnis, dass es irgendwo ein Optimum gibt zwischen Komplexität, Aufwand und Transparenz. Betrachte die Sache am besten schematisch. Ein Serverdienst sollte in Schichten untersucht und den Anforderungen entsprechend abgesichert werden. Netzwerk: - Alle Services, insbesondere die über das Netzwerk ansprechbaren schließen, die nicht benötigt werden. - Begrenze den das Anbieten des Dienstes auf die benötigten IP-Adressen. Wenn MySQL nur von localhost aus genutzt wird, dann sollte auch kein direkter Zugriff über das Netzwerk erlaubt sein. Zugriffsrechte: - Definiere genau, welche User, insbesondere anonymous, auf was zugreifen dürfen. Wenn du es nicht genau weisst, dann verbiete erst einmal alles, räume dann die Zugriffsrechte ein auf Resourcen und warte auf Schreie. (^-^) Wenn das nicht möglich ist, musst du die Zugriffsrechte für alle Resourcen einzeln durchgehen und konfigurieren. Ziemlich viel Arbeit. Verwaltung innerhalb des Dienstes: Danach wird es spezifisch, du musst je nach Applikation schauen, ob Rechte /Einschränkungen sinnvoll gesetzt wurden oder noch konfiguriert werden müssen. Bei Apache etwa würde ich, wenn möglich, den Zugriff auf Admin-Verzeichnisse nur von internen IP-Adressen aus erlauben und für das Internet komplett sperren. All das erfordert viel Zeit und Testen, das ist nicht an einem Nachmittag getan. Wenn du mehrere Dienste hast, die auf dem Server laufen für viele Domains und Kunden, wirst du dich vermutlich langsam herantasten müssen. Logkontrolle ist dafür unverzichtbar. Plane die Zeit für die Logkontrolle direkt mit ein. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org