Hallo Liste, hallo Sandy,=20
erstmal sorry wegen meiner sp=E4ten Antwort und vielen Dank f=FCr die = Antworten und Tipps.=20
Zur Sicherheitsl=FCcke: Wichtig war es, dass unsere Leichtsinnigkeit = sich nicht all zu gravierend ausgewirkt hat, da wir zurzeit eigentlich nur = unsere Community auf diesem Server testen.=20
Ideal w=E4re es nat=FCrlich, wenn wir auf einen Managedserver zugreifen = k=F6nnten. Dies geht aber leider nicht, da wir zwar selten, aber zwingen = Root-Rechte br=E4uchten.=20 Zudem habe ich bisher nie die Zeit gefunden, mich in die Materie einzuarbeiten, wobei wir auf alle F=E4lle professionelle Hilfe bzw. Dienstleistung in Anspruch nehmen sollten / m=FCssten.=20
Im Groben und Ganzen muss eigentlich nur unsere Community auf diesem = Server laufen. (Geschrieben in Java. mySQL Datenbank. Im Einsatz unter Tomcat, verkn=FCpft mit dem Apache) Zus=E4tzlich m=FCssten wir noch einen User/Kunden anlegen, da wir in die Community von einer Fremdfirma Spiele integriert haben. Diese Spiele = sollten einen eigenen Account mit eventuellem Shell-Zugang erhalten.
Installiert hatten wir auf dem Server bisher nur FTP, um t=E4glich per = Crontab von einem anderen Server XML-Dateien downzuloaden. Ansonsten hatten wir = noch Portsentry drauf. Versucht hatten wir noch modsecurity bzw. apache2-mod_security2-2.0.0.rc.2-8.3.x86 draufzumachen, ist aber = vermutlich an dem 64 Bit-System gescheitert.=20
Zu den fremden Dateien, bzw. zur L=FCcke selbst. Ich glaube nicht, ob = das ganze nun mit der Confix-L=FCcke zusammenh=E4ngt, da wir kein Confix im = Einsatz haben und nie hatten, sondern Plesk. D=FCrfte aber dasselbe sein :-)
Mittlerweile habe ich den Server initalisiert. Suse 10.1 in Verbindung = mit Plesk 8.1. Die n=E4chsten Schritte werden wohl sein, dass ich SuSe und = Plesk immer am laufen halte. Unter YAST d=FCrfte das wohl das kleinere Problem = sein, diese Dinger upzudaten. Firewall an sich ist bei uns auch nicht aktiv.=20
*** Das solltest Du ändern.... ****
Den Zugriff auf Plesk w=FCrde ich zwar gerne auf eine IP begrenzen, = leider =E4ndert sich aber meine IP sp=E4testens alle 24 Stunden. Ein IP-Bereich = w=E4re dann wohl nicht mehr so sinnvoll.=20
Ich verstehe nicht so ganz, wozu Plesk hier gebraucht wird. Um es abzusichern, könntest Du - ssl mit Client Zertifikat verwenden - einen ssh Tunnel (ebenfalls mit client cert) einsetzen - openssl verwenden. In den letzten beiden Fällen bräuchte Plesk nicht mehr auf einen Internet Port hören
Was ich noch pr=FCfen m=FCsste, ob unsere Datenbank extern ansprechbar = ist. Falls ja, m=FCsste ich das irgendwie unterbinden bzw. abschalten.=20
Wie sieht es eigentlich aus, wenn man den Server mit Anfragen = bombardiert. Sei es der Apache oder sonst etwas. Genauso, wenn jemand versucht, Shell-Zugang, bzw. Sonstige Zug=E4nge / Passw=F6rter zu knacken.=20
ich setze bei mir ein modifiziertes pam_abl ein: wenn jemand alle 3 Sekunden ein neues ssh Passwort präsentiert, wird das ab dem dritten Versuch direkt ignoriert. Du kannst auch den root Zugang sperren, d.h. ein Angreifer müsste sowohl einen gültigen User als auch ein Passwort erraten.
Was ich =FCberhaupt nicht erw=E4hnt habe. Welche gravierenden Fehler = k=F6nnte man in die Community-Scripte aus versehen einbauen, um die Serversicherheit = zu gef=E4hrden? Hier kenne ich zwar XSS-Angriffe und SQL-Injections, dies = d=FCrfte aber noch lange nicht alles sein...
PHP Sicherheit: wenn Deine Skripte z.B. kein fopen("http://...","r") machen, kannst Du das auch verbieten
F=FCr Eure Bem=FChungen bedanke ich mich im Voraus und w=FCrde mich = =FCber Tipps und zahlreiche Hilfestellungen freuen.=20
Gr=FC=DFe aus Stuttgart Taney =20
Wolfgang -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org