Hallo, ich möchte für einen geschlossenen Personenkreis einen kleinen Webserver einrichten (angemietet ist ein 1blu-vServer unlimited) auf dem ein paar Informationen von diesem Personenkreis für die Allgemeinheit angegeben werden, die meisten Sachen jedoch nur nach Anmeldung für diesen geschlossenen Personenkreis. Weiterhin soll darauf phpBB als Diskussionsforum laufen, sowie die Möglichkeit gegeben werden einige kleine Dateien zum Herunterladen anzubieten, da denke ich an ftp. Gibt es da ein paar "Starter-Links" die Ihr mit empfehlen könnt? Literatur zu php sowie Apache habe ich zu Hause. Das System, was 1blu da anbietet ist ein OpenSuse 10.1, ich glaube mit Plesk. Wichtig ist mir vor allem die Sicherheit vorm Übernehmen als Bot-Rechner sowie auch die Vertraulichkeit der Daten (ist aber nix hochgeheimes oder persönliches, und auch nix kriminelles!) das meiste wird nach der Diskussion eh veröffentlicht. -- Niemand käme auf die Idee, Tinte mit Tinte abzuwaschen nur Blut soll immer wieder mit Blut abgewaschen werden. -- Ebner-Eschenbach Grüsse aussem Pott! - Uli -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Ulrich Walter schrieb:
Hallo,
ich möchte für einen geschlossenen Personenkreis einen kleinen Webserver einrichten (angemietet ist ein 1blu-vServer unlimited) auf dem ein paar Informationen von diesem Personenkreis für die Allgemeinheit angegeben werden, die meisten Sachen jedoch nur nach Anmeldung für diesen geschlossenen Personenkreis. Weiterhin soll darauf phpBB als Diskussionsforum laufen, sowie die Möglichkeit gegeben werden einige kleine Dateien zum Herunterladen anzubieten, da denke ich an ftp.
Gibt es da ein paar "Starter-Links" die Ihr mit empfehlen könnt? Literatur zu php sowie Apache habe ich zu Hause. Das System, was 1blu da anbietet ist ein OpenSuse 10.1, ich glaube mit Plesk.
Wichtig ist mir vor allem die Sicherheit vorm Übernehmen als Bot-Rechner sowie auch die Vertraulichkeit der Daten (ist aber nix hochgeheimes oder persönliches, und auch nix kriminelles!) das meiste wird nach der Diskussion eh veröffentlicht.
Äh worauf willst du hinaus? Was willst du wissen ich versteh deine Frage nicht so ganz. Wenn du ein Server mit SuSE undP Plesk hast brauchst du doch nur noch eine Page. Die FTP Zugänge Richtest du über Plesk ein und Fertig. Für das Forum legst du eine DB an, was auch über Plesk gehen sollte. Und wenn du nicht weiß wie das mit so ner Homepage geht dann guck dir mal http://www.joomla.de/ an. Ist eine schöne Vorlage wenn was umfassendes brauch aber keine Lust hat es selber zu machen ;). Worauf ich hier nur achten würde ist das ganze immer aktuell zu halten da es immer wieder Sicherheitslücken gibt. Ist in letzter Zeit eben ziemlich gekannt geworden. Was die Sicherheit des Servers angeht kann man bei solchen Hostern eigentlich nur Updates einspielen und bisschen was ander Firewall anpassen. Aber da es sich denke ich mal um einen V-Server handelt hast du leider keinen Einfluss auf die Komplette Maschine, was das mit der Sicherheit wieder so ein bisschen schwierig macht :). mfg Tim -- ******************************************************* Tim Macholl ScienLab electronic systems GmbH Lise-Meitner-Allee 27 D-44801 Bochum Phone: +49(0)234-41 75 78-0 Fax: +49(0)234-41 75 78-10 www.scienlab.de ******************************************************* Amtsgericht Bochum 14 HRB 7272 Geschäftsführer: Dr.-Ing. Christoph Dörlemann, Dr.-Ing. Peter Muß, Dr.-Ing. Michael Schugt, Dr.-Ing. Roger Uhlenbrock ******************************************************* The information contained in this email is intended solely for the addressee. Access to this email by anyone else is unauthorized. If you are not the intended recipient, any form of disclosure, reproduction, distribution or any action taken or refrained from in reliance on it, is prohibited and may be unlawful. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Guten Tag Ulrich Walter, am Mittwoch, 29. August 2007 um 21:54 schrieben Sie:
Hallo,
ich möchte für einen geschlossenen Personenkreis einen kleinen Webserver einrichten (angemietet ist ein 1blu-vServer unlimited) auf dem ein paar Informationen von diesem Personenkreis für die Allgemeinheit angegeben werden, die meisten Sachen jedoch nur nach Anmeldung für diesen geschlossenen Personenkreis. Weiterhin soll darauf phpBB als Diskussionsforum laufen, sowie die Möglichkeit gegeben werden einige kleine Dateien zum Herunterladen anzubieten, da denke ich an ftp.
Gibt es da ein paar "Starter-Links" die Ihr mit empfehlen könnt? Literatur zu php sowie Apache habe ich zu Hause. Das System, was 1blu da anbietet ist ein OpenSuse 10.1, ich glaube mit Plesk.
Wichtig ist mir vor allem die Sicherheit vorm Übernehmen als Bot-Rechner sowie auch die Vertraulichkeit der Daten (ist aber nix hochgeheimes oder persönliches, und auch nix kriminelles!) das meiste wird nach der Diskussion eh veröffentlicht.
hm, also ich weiß nicht was genau du vorhast, aber unter plesk kansnt du ja auch PW-geschützte verzeichnisse erstellen, wo nur leute rein kommen, die eben dieses PW kennen. Oder du machst das mit ner forensoftware und setzt einen bereich auch wiederum mit einem PW geschützt ein. In bezug auf die Sicherheit würde ich aber die "üblichen" vorsichtsmaßnahmen treffen : ssh entweder mit key oder mit keyboard, root aus, port verlegen etc. aber das mit dem ftp würde ich mir noch mal überdenken. wenn du keine großen files transportieren willst, würde ich darauf verzichten. Also forumsoftware würde ich auch evtl auf phpbb verzichten, das soll wohl auch anfällig sein. es gibt da ja wohl noch das yabb2. Das läuft mit perl. Habe da auch den Vserver und bin soweit damit auch zufrieden. Preis/Leistung stimmen soweit überein.
Grüsse aussem Pott! - Uli
-- Mit freundlichen Grüßen Sebastian Gödecke mailto:simpsonetti@googlemail.com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
In bezug auf die Sicherheit würde ich aber die "üblichen" vorsichtsmaßnahmen treffen : *******; port verlegen etc.
das is wohl eher security by obscurity... gruß tom -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Donnerstag, 30. August 2007 12:19 schrieb i.anfrage:
In bezug auf die Sicherheit würde ich aber die "üblichen" vorsichtsmaßnahmen treffen : *******; port verlegen etc.
das is wohl eher security by obscurity...
Nein, das schützt primär mal davor, dass die Ports durch die Standard-Portscanner und -Tools gleich gescannt und angegriffen werden und ist von daher gar nicht so sinnbefreit... Grüße Philipp -- Dumme Gedanken hat jeder, nur der Kluge verschweigt sie. ###signature by fortune### -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Philipp Zacharias schrieb:
Am Donnerstag, 30. August 2007 12:19 schrieb i.anfrage:
In bezug auf die Sicherheit würde ich aber die "üblichen" vorsichtsmaßnahmen treffen : *******; port verlegen etc.
das is wohl eher security by obscurity...
Nein, das schützt primär mal davor, dass die Ports durch die Standard-Portscanner und -Tools gleich gescannt und angegriffen werden und ist von daher gar nicht so sinnbefreit...
Grüße Philipp
glaub mal ruhig weiter dran! Ich mein... die "Guten" .. die bieten dir das vielleicht so an...aber welche von den "Bösen" beschränkt denn seine Scans auf die Standardports? ..und das bissel Mehrarbeit.. das macht doch dein Rechner so nebenbei... wozu gibts denn sonst Toolkits für automatisierte Angriffe ? Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, 31.08.2007 08:30,, Fred Ockert wrote::
Philipp Zacharias schrieb:
Am Donnerstag, 30. August 2007 12:19 schrieb i.anfrage:
In bezug auf die Sicherheit würde ich aber die "üblichen" vorsichtsmaßnahmen treffen : *******; port verlegen etc.
das is wohl eher security by obscurity...
Nein, das schützt primär mal davor, dass die Ports durch die Standard-Portscanner und -Tools gleich gescannt und angegriffen werden und ist von daher gar nicht so sinnbefreit...
Grüße Philipp
glaub mal ruhig weiter dran!
Nee, das stimmt schon. Meine Logdateien wachsen dutlich langsamer wenn auf Port 22 nichts lauscht sondern der sshd von aussen über einen Port im Bereich der frei verfügbaren hohen Nummern benutzt wird. Allerdings sehe ich selber das nicht als Sicherheitsmassnahme, sondern als Mittel weniger Logeinträge analysieren zu müssen.
Ich mein... die "Guten" .. die bieten dir das vielleicht so an...aber welche von den "Bösen" beschränkt denn seine Scans auf die Standardports?
So ziemlich alles was man als Skrippkiddie-Arbeit betrachten kann. Die machen mir allerdings sowieso weniger Sorge... man muss sich schon im Klaren darüber sein dass richtig ernstgemeinte, gezielte Angriffe alle Ports abklappern. Aber mit einem mini-IDS, das z.B. loggt wenn viele Zugriffe auf hohe Ports erfolgen, kann man die (hoffentlich) bemerken und dann was unternehmen.
..und das bissel Mehrarbeit.. das macht doch dein Rechner so nebenbei... wozu gibts denn sonst Toolkits für automatisierte Angriffe ?
Solange aber genug Rechner auf den Standard-Ports angreifbar sind machen sich die Leute, die möglichst effizient möglichst viele Zombies brauchen, eben nicht die Mühe alle Ports abklappern. Ds macht nämlich kein Rechner, der Ziele sucht so ganz nebenbei. 60-100 mal so viele Verbindungsversuche brauchen nämlich massig Zeit und Ressourcen. Arno
Fred
-- Arno Lehmann IT-Service Lehmann www.its-lehmann.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Freitag, 31. August 2007 schrieb Arno Lehmann:
So ziemlich alles was man als Skrippkiddie-Arbeit betrachten kann. Die machen mir allerdings sowieso weniger Sorge... man muss sich schon im Klaren darüber sein dass richtig ernstgemeinte, gezielte Angriffe alle Ports abklappern. Aber mit einem mini-IDS, das z.B. loggt wenn viele Zugriffe auf hohe Ports erfolgen, kann man die (hoffentlich) bemerken und dann was unternehmen.
was für ein _einfaches_ Tool gibt's denn um einzelne Ports zu beobachten, die man nach aussen freigeschalten hat? Danke und Bye Jürgen -- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de Internet-Telefonie: www.skype.com Benutzer: juergen.vollmer
Am Freitag, 31. August 2007 08:49 schrieb Arno Lehmann:
Aber mit einem mini-IDS, das z.B. loggt wenn viele Zugriffe auf hohe Ports erfolgen, kann man die (hoffentlich) bemerken und dann was unternehmen.
nur wenn der angreifer zeitdruck hat ;-) ansonsten schick ich dir alle paar stunden ein "päckchen" das wird dein ids dann recht wenig jucken ;-) gruß tom -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, 31.08.2007 09:56,, i.anfrage wrote::
Am Freitag, 31. August 2007 08:49 schrieb Arno Lehmann:
Aber mit einem mini-IDS, das z.B. loggt wenn viele Zugriffe auf hohe Ports erfolgen, kann man die (hoffentlich) bemerken und dann was unternehmen.
nur wenn der angreifer zeitdruck hat ;-) ansonsten schick ich dir alle paar stunden ein "päckchen" das wird dein ids dann recht wenig jucken ;-)
Darf ich nochmal auf den Kontext des von dir zitierten Satzes hinweisen:
So ziemlich alles was man als Skrippkiddie-Arbeit betrachten kann. Die machen mir allerdings sowieso weniger Sorge... man muss sich schon im Klaren darüber sein dass richtig ernstgemeinte, gezielte Angriffe alle Ports abklappern. Aber mit einem mini-IDS, das z.B. loggt wenn viele Zugriffe auf hohe Ports erfolgen, kann man die (hoffentlich) bemerken und dann was unternehmen.
..und das bissel Mehrarbeit.. das macht doch dein Rechner so nebenbei... wozu gibts denn sonst Toolkits für automatisierte Angriffe ?
Solange aber genug Rechner auf den Standard-Ports angreifbar sind machen sich die Leute, die möglichst effizient möglichst viele Zombies brauchen, eben nicht die Mühe alle Ports abklappern. Ds macht nämlich kein Rechner, der Ziele sucht so ganz nebenbei. 60-100 mal so viele Verbindungsversuche brauchen nämlich massig Zeit und Ressourcen.
Was du skizzierst ist definitiv was anderes als das was (bei mir) meistens einläuft und geht über den Scriptkiddie-Ansatz hinaus und ist ebenso auch nicht die Methode schnell viele Zombies zu erzeugen. Das wäre ein gezielter Angriff, den ein solches mini-IDS wie's mir bei meiner Mail vorschwebte ebenfalls bemerken könnte. Und wenn mini meinen Ansprüchen nicht reicht nehm' ich eben Maxi :-) Wie auch immer: Das ursprüngliche Problem, nämlich mit Bordmitteln und geringem Aufwand ein System sicherer zu bekommen ist das Verlegen auf hohe Ports durchaus sinnvoll, denn es kommen definitiv weniger bemerkenswerte Verbindungen rein. Zumindest in den Umgebungen die ich kenne. Arno -- Arno Lehmann IT-Service Lehmann www.its-lehmann.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Aber mit einem mini-IDS, das z.B. loggt wenn viele Zugriffe auf hohe Ports erfolgen, kann man die (hoffentlich) bemerken und dann was unternehmen.
das kann auch dazu führen, daß du aus dem logauswerten nicht mehr rauskommst, da man z.b. mit nmap ´ne menge an "decoy" host angeben kann, sprich der scann hat auf einmal n source adressen und es macht sicherlich viel spaß den richtigen angreifer da raus zu finden ;-) gruß tom -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
In bezug auf die Sicherheit würde ich aber die "üblichen" vorsichtsmaßnahmen treffen : *******; port verlegen etc.
das is wohl eher security by obscurity...
Nein, das schützt primär mal davor, dass die Ports durch die Standard-Portscanner und -Tools gleich gescannt und angegriffen werden und ist von daher gar nicht so sinnbefreit...
Grüße Philipp
sorry philipp, wenn ich dir widerspreche, aber das schützt keines falls vor nem portscanner, der scannt nämlich den port-range den ich ihm vorgebe. und der nächste schritt ist herauszubekommen, was hinter dem offenen port läuft. z.b. wenn du deinen ssh port auf port xy verlegst sagt dir dann ein einfacher telnet <dst> xy trotzdem, daß dort ssh version * läuft. das hat nichts mit security zu tun. damit kannst du also allerhöchstens die amöben-angreifer fernhalten, aber ob die was mit nen portscanner anfangen können gälte es zu erforschen ;-) da ist´s wohl besser man macht´s gleich richtig und setzt die maschine (+ drum herum!) ordentlich auf, nach state of the art, als mit so "westentaschen-tricks" sein gewissen beruhigen zu wollen. den nur port verlegen bringt´s ja nicht, man muß dennoch all die anderen schritte, die notwendig sind die maschine abzusichern, folgen lassen..... gruß tom -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Tom, Am Freitag, 31. August 2007 09:53 schrieb i.anfrage:
In bezug auf die Sicherheit würde ich aber die "üblichen" vorsichtsmaßnahmen treffen : *******; port verlegen etc.
das is wohl eher security by obscurity...
Nein, das schützt primär mal davor, dass die Ports durch die Standard-Portscanner und -Tools gleich gescannt und angegriffen werden und ist von daher gar nicht so sinnbefreit...
Grüße Philipp
sorry philipp, wenn ich dir widerspreche, aber das schützt keines falls vor nem portscanner, der scannt nämlich den port-range den ich ihm vorgebe. und der nächste schritt ist herauszubekommen,
jep, vor einem ernstgemeinten Angriff mit kompletter Portrange schützt das natürlich nicht. Aber davor, dass jemand im Vorbeigehen mal die Standardports abklappert und dann eben feststellen muss, dass dort nichts läuft, schon. Wenn ein Cracker es darauf abgesehen hat möglichst viele Maschinen unter seine Gewalt zu bringen (okay, dann wird er sich eh auf Windosen beschränken), dann wird er wohl nicht auf jeder die komplette Range scannen. [...]
damit kannst du also allerhöchstens die amöben-angreifer fernhalten, aber ob die was mit nen portscanner anfangen können gälte es zu erforschen ;-) da ist´s wohl besser man macht´s gleich richtig und setzt die maschine (+ drum herum!) ordentlich auf, nach state of the art,
Das ist selbstverständlich und niemand hat geschrieben, dass Ulrich sich auf's Verändern der Ports beschränken soll!
als mit so "westentaschen-tricks" sein gewissen beruhigen zu wollen. den nur port verlegen bringt´s ja nicht, man muß dennoch all die anderen schritte, die notwendig sind die maschine abzusichern, folgen lassen.....
Ich hab lediglich Dir widersprochen, dass das Verlegen der Ports security by obsecurity sein soll. Wenn's vor den Scans auf den Standardports schützt, schützt's immerhin schon mal vor was und schadet ja auch nicht. Von daher: Warum Ports nicht verlegen UND sämtliche zusätliche Sicherheitsmaßnahmen ergreifen statt nur zusätzliche Sicherheitsmaßnahmen ergreifen? Das Verlegen der Ports - halte ich selbst für sinnvoll - halten Computerfachzeitschriften (ct, ix) für sinnvoll - halten einige der Fachbücher und Artikel, die ich bisher gelesen habe, für sinnvoll... Grüße Philipp PS: Deine Shift-Tasten klemmen... -- Arbeit: die ewige Last, ohne die alle übrigen Lasten unerträglich würden. -- Klaus Mann ###signature by fortune### -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
hi philipp,
Das Verlegen der Ports - halte ich selbst für sinnvoll - halten Computerfachzeitschriften (ct, ix) für sinnvoll - halten einige der Fachbücher und Artikel, die ich bisher gelesen habe, für sinnvoll...
jeder hat ein recht auf seine meinung, daß ist der segen der demokratie ;-) und das sagt erstmal nix über den sinn an sich, sondern nur was über die literatur aus ;-). aber scherz beiseite, sowohl in den security fachbüchern, die ich gelesen habe und auch bei den diversen zertifizierungen bzgl. security die ich durch hab, (was eben auch nix über den sinn an sich was aussagt ;-) )hält man sich mit ports verlegen da einfach nicht auf, weil´ s nix bringt ausser makulatur. die, welche du damit täuschen kannst, sind keine gefahr, und jene welche eine gefahr darstellen, kannst du so billig nicht täuschen. gut, vielleicht könntest du sie langweilen und würdest sie dadurch evtl. abhalten, weil se dich als no-challenge-target betrachten. ;-) eine diskussion darüber ist müssig und für die, welche hier hilfe suchen, m.e. kaum sinnvoll.
Grüße Philipp
PS: Deine Shift-Tasten klemmen...
isch abe gar keine shift tasten ;-) grüßle tom -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (8)
-
Arno Lehmann
-
Dr. Jürgen Vollmer
-
Fred Ockert
-
i.anfrage
-
Philipp Zacharias
-
Sebastian Gödecke
-
Tim Macholl
-
Ulrich Walter