----- On Mar 14, 2016, at 3:17 PM, Bernd Lentes bernd.lentes@helmholtz-muenchen.de wrote:
Hi,
wir haben diverse Webanwendungen. Dynamische Webseiten mit perl, php und Java (Tomcat) in Verbindung mit MySQL- oder Postgres-Datenbanken. Diese sind teilweise vom Internet zugänglich und unter dem Gesichtspunkt der Sicherheit bestenfalls als suboptimal zu bezeichnen. Ich denke über die Absicherung dieser nach. Selbstverständlich installiere ich die Sicherheitspatches für Tomcat und Apache httpd zeitnah.
Zum einen denke ich an AppArmor. Ich habe dies bisher noch nicht genutzt, aber einiges drüber gelesen. Dadurch daß man die Anwendungen mit dem Lernmodus monitoren kann, es teilweise bereits Profile gibt und die Syntax der Konfigurationsdateien auch machbar aussieht, scheint mir die Lösung gar nicht übel und auch stemmbar.
Die andere Idee sind Container für die Webanwendungen. Auch hier habe ich keine praktischen Erfahrungen und bisher nur einiges gelesen. Auch hier scheinen ja die Anwendungen gekapselt zu sein, haben nur beschränkt Zugriff auf z.B. das Dateisystems des hosts, sehen nur ihre eigenen Prozesse ... Außerdem kann man jeder Webanwendung die notwendige Umgebung individuell zur Verfügung stellen, sprich notwendige Bibliotheken, JRE, php- oder perl-Version ...
Was ich mich aber frage: Kann ich, und wenn ja wie, einen "containerisierten" httpd oder tomcat noch ganz normal mit zypper aktualisieren, sprich patches einspielen ? Docker gefällt mir insoweit gut, als das ich hier 2 Fliegen mir einer Klappe schlagen kann: individuelle Umgebung zur Verfügung stellen und Sicherheit durch Kapselung.
Was haltet Ihr für die bessere Lösung ?
Hi, hat sich erledigt. SuSE empfiehlt den Einsatz nur auf SLES12 und aktueller, da wohl Fähigkeiten gebraucht werden , die nur in aktuellen kernel enthalten sind. Wir haben SLES 11 SP4. Dann setzte ich auf AppArmor. Hier gibt's einen ganz netten Webcast (in dem ich u.a. die Info bzgl. SLES 11 erfahren habe): https://www.brighttalk.com/webcast/11477/172633?autoclick=true&utm_source=brighttalk-recommend&utm_campaign=followup&utm_medium=email&utm_content=organic Ich glaub da braucht man einen account. Bernd Helmholtz Zentrum Muenchen Deutsches Forschungszentrum fuer Gesundheit und Umwelt (GmbH) Ingolstaedter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir'in Baerbel Brumme-Bothe Geschaeftsfuehrer: Prof. Dr. Guenther Wess, Dr. Alfons Enhsen, Renate Schlusen (komm.) Registergericht: Amtsgericht Muenchen HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org