Apache: Ordner zum Hochladen von Dateien - Sicherheit ?
Hi, wir müssen auf einem Apache Webserver eine Möglichkeit zum Hochladen von Daten anbieten. Die betr. Webseite ist nur mit Authentifizierung zugänglich. Gibt es da aus Sicherheitsaspekten noch etwas anderes zu beachten ? Bernd -- Bernd Lentes Systemadministration Institut für Entwicklungsgenetik HelmholtzZentrum münchen bernd.lentes@helmholtz-muenchen.de phone: +49 89 3187 1241 fax: +49 89 3187 3826 http://www.helmholtz-muenchen.de/idg Der Kopf ist rund, damit die Gedanken die Richtung ändern können Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 04.04.2011 16:14, schrieb Lentes, Bernd:
Hi,
wir müssen auf einem Apache Webserver eine Möglichkeit zum Hochladen von Daten anbieten. Die betr. Webseite ist nur mit Authentifizierung zugänglich. Gibt es da aus Sicherheitsaspekten noch etwas anderes zu beachten ?
SSL -- ae | Andreas Ernst | IT Spektrum Postfach 5, 65612 Beselich Schupbacher Str. 32, 65614 Beselich, Germany Tel: +49-6484-91002 Fax: +49-6484-91003 ae@ae-online.de | www.ae-online.de www.parcelchecker.de | www.tachyon-online.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Andreas Ernst schrieb:
Hi,
wir müssen auf einem Apache Webserver eine Möglichkeit zum Hochladen von Daten anbieten. Die betr. Webseite ist nur mit Authentifizierung zugänglich. Gibt es da aus Sicherheitsaspekten noch etwas anderes zu beachten ?
SSL
Würden wir gerne benutzen, geht aber in Zusammenarbeit mit unseren namensbasierenden vhosts nicht. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hi, Am 04.04.2011 17:52, schrieb Lentes, Bernd: > Andreas Ernst schrieb: > >>> Hi, >>> >>> wir müssen auf einem Apache Webserver eine Möglichkeit zum >> Hochladen von Daten anbieten. Die betr. Webseite ist nur mit >> Authentifizierung zugänglich. Gibt es da aus >> Sicherheitsaspekten noch etwas anderes zu beachten ? >> >> SSL >> > Würden wir gerne benutzen, geht aber in Zusammenarbeit mit unseren namensbasierenden vhosts nicht. Nana, wer wird denn sagen geht nicht. - Ein ssl cert mit z.B. https://ssl.example.org + Rewrite: http:/vhost.domain.de/xyz -> https://ssl.example.org/xyz und schon geht das mit ssl und div. vhosts. > Bernd > > Helmholtz Zentrum München > Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) > Ingolstädter Landstr. 1 > 85764 Neuherberg > www.helmholtz-muenchen.de > Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe > Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum > Registergericht: Amtsgericht München HRB 6466 > USt-IdNr: DE 129521671 Cheers -- Christian --------------------------------------------------- Der ultimative shop für Sportbekleidung und Zubehör http://www.sc24.de --------------------------------------------------- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 04.04.2011 16:14, schrieb Lentes, Bernd:
Hi,
wir müssen auf einem Apache Webserver eine Möglichkeit zum Hochladen von Daten anbieten. Die betr. Webseite ist nur mit Authentifizierung zugänglich. Gibt es da aus Sicherheitsaspekten noch etwas anderes zu beachten ?
- sichere Namen und Kennwörter - eine zentrale Benutzerverwaltung - dürfen alle User alles sehen bzw abgreifen (Datenschutz, ggf. auch Mitarbeiterrechte) - Zugriff nur auf bestimmte IPs / IP-Kreise eingrenzen - Logins nach definierten Auffälligkeiten blocken - Ist jemand verantwortlich und in der Lage (fachlich umd vom Zeitansatz) das System technisch auf einem sicheren Stand zu halten Gruß Ralf Prengel Manager Customer Care Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49 231 97575 904 Fax +49 231 97575 257 Mobil +49 151 10831 157 EMail Ralf.Prengel@comline.de www.comline.de Vorstand Stephan Schilling, Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 Für die Erstellung unserer Dokumente benutzen wir die Produkte aus dem Microsoft Office 2007 Paket. Sollte sich ein Anhang in der Mail befinden, der mit einer älteren Office Version nicht geöffnet werden kann, installieren Sie bitte das Compatibility Pack für Office 2007. http://www.microsoft.com/downloads/details.aspx?FamilyID=941b3470-3ae9-4aee-8f43-c6bb74cd1466&DisplayLang=de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Ralf Prengel schrieb:
- sichere Namen und Kennwörter - eine zentrale Benutzerverwaltung
wo ist da der Sicherheitsgewinn gg. eingetragenen Usern ins .htaccess bzw. /etc/apache2/httpd.conf ?
- dürfen alle User alles sehen bzw abgreifen (Datenschutz, ggf. auch Mitarbeiterrechte) - Zugriff nur auf bestimmte IPs / IP-Kreise eingrenzen
Das ist eine Idee, muss ich nur genau wissen, wer unsere externen Partner sind.
- Logins nach definierten Auffälligkeiten blocken
Wie kann ich das im apache machen ? Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 04.04.2011 17:56, Lentes, Bernd wrote:
Ralf Prengel schrieb:
- sichere Namen und Kennwörter - eine zentrale Benutzerverwaltung
wo ist da der Sicherheitsgewinn gg. eingetragenen Usern ins .htaccess bzw. /etc/apache2/httpd.conf ?
- zentrael Policies greifen bei der Kennwortvergabe etc. - alte Logins können zentral entsorgt werden Das Thema zentrale User hatten wird aber ja schon vor einigen Tagen ;-)
- dürfen alle User alles sehen bzw abgreifen (Datenschutz, ggf. auch Mitarbeiterrechte) - Zugriff nur auf bestimmte IPs / IP-Kreise eingrenzen
Das ist eine Idee, muss ich nur genau wissen, wer unsere externen Partner sind.
Das riecht nach Problemen. Klär das vorher schriftlich klein klein im Detail.
- Logins nach definierten Auffälligkeiten blocken
Wie kann ich das im apache machen ?
fail2ban? Kann das nicht auch gegen den apache laufen?
Bernd
Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Ralf Prengel schrieb:
- Logins nach definierten Auffälligkeiten blocken
Wie kann ich das im apache machen ?
fail2ban? Kann das nicht auch gegen den apache laufen?
die engl. Wikipedia sagt: "The standard configuration ships with filters for Apache, Lighttpd, sshd, vsftpd, qmail, Postfix and Courier Mail Server. Filters are defined by Python regexes, which may be conveniently customized by an administrator familiar with regular expressions." Scheint so. Das guck ich mir mal an. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Sorry, aber ich möchte einen anderen Vorgang vorschlagen: Du hast geschrieben, dass SSL nicht möglich sei. Dann befürchte ich, dass Username und Passwort unverschlüsselt zu Deinem Server übertragen werden. Das wäre dann der worst case. Statt auf diese Art und Weise die Sicherheitsdaten geradezu zu veröffentlichen, würde ich auf anonymous-ftp zurückgreifen, wo jeder etwas schreiben darf, aber nicht mehr lesend darauf zugreifen darf. Nicht einmal lesend auf den Verzeichnisinhalt. Und anschließend muss eine darauf angepasst Routine die Daten ordentlich wegräumen. Wenn dabei Sicherheitskriterien eingehalten werden müssen, dann sind die Dateien vorher beim externen Partner mit gpg zu unterschreiben und zu verschlüsseln. Weiterverarbeitet werden nur Dateien, deren Unterschrift geprüft werden konnte. Just my 0,02 EUR. Gruß Jan P.S.: Sorry noch für die versehentliche PM. Am 04.04.2011 17:56, schrieb Lentes, Bernd:
Ralf Prengel schrieb:
- sichere Namen und Kennwörter - eine zentrale Benutzerverwaltung
wo ist da der Sicherheitsgewinn gg. eingetragenen Usern ins
.htaccess bzw. /etc/apache2/httpd.conf ?
- dürfen alle User alles sehen bzw abgreifen (Datenschutz,
ggf. auch
Mitarbeiterrechte) - Zugriff nur auf bestimmte IPs / IP-Kreise eingrenzen
Das ist eine Idee, muss ich nur genau wissen, wer unsere externen Partner sind.
- Logins nach definierten Auffälligkeiten blocken
Wie kann ich das im apache machen ?
Bernd
Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Jan Handwerker schrieb:
aber ich möchte einen anderen Vorgang vorschlagen: Du hast geschrieben, dass SSL nicht möglich sei. Dann befürchte ich, dass Username und Passwort unverschlüsselt zu Deinem Server übertragen werden. Das wäre dann der worst case.
Statt auf diese Art und Weise die Sicherheitsdaten geradezu zu veröffentlichen, würde ich auf anonymous-ftp zurückgreifen, wo jeder etwas schreiben darf, aber nicht mehr lesend darauf zugreifen darf. Nicht einmal lesend auf den Verzeichnisinhalt. Und anschließend muss eine darauf angepasst Routine die Daten ordentlich wegräumen.
Wenn dabei Sicherheitskriterien eingehalten werden müssen, dann sind die Dateien vorher beim externen Partner mit gpg zu unterschreiben und zu verschlüsseln. Weiterverarbeitet werden nur Dateien, deren Unterschrift geprüft werden konnte.
Aber bei anonymous ftp kann *jeder* schreiben, oder ? Aber wäre ftp mit login nicht ein Sicherheitsgewinn wg. des chroots ? Da kommt dann kein Böser aus dem chroot raus. Dass die externen die Daten mit gpg signieren ist für die glaube ich zu kompliziert. Ginge ftp über SSL ? Kämen die Browser damit klar ? Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 05.04.2011 12:37, schrieb Lentes, Bernd:
Aber bei anonymous ftp kann *jeder* schreiben, oder ? Aber wäre ftp mit login nicht ein Sicherheitsgewinn wg. des chroots ? Da kommt dann kein Böser aus dem chroot raus. Dass die externen die Daten mit gpg signieren ist für die glaube ich zu kompliziert. Ginge ftp über SSL ? Kämen die Browser damit klar ?
Ganz ehrlich ohne dir zu nahe treten zu wollen, lass das sein. Dein Know-how reicht nicht aus. Ich blocke hier auch regelmäßig Themen weil mir klar ist wo meine Grenzen sind und welche Verantwortung ist definitiv nicht übernehmen will. Wenn was schief geht wird man dich ans Kreuz nageln und alle sind froh das du blöd genug warst dir den Job ans Bein zu binden. Gruß Ralf Prengel Manager Customer Care Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49 231 97575 904 Fax +49 231 97575 257 Mobil +49 151 10831 157 EMail Ralf.Prengel@comline.de www.comline.de Vorstand Stephan Schilling, Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 Für die Erstellung unserer Dokumente benutzen wir die Produkte aus dem Microsoft Office 2007 Paket. Sollte sich ein Anhang in der Mail befinden, der mit einer älteren Office Version nicht geöffnet werden kann, installieren Sie bitte das Compatibility Pack für Office 2007. http://www.microsoft.com/downloads/details.aspx?FamilyID=941b3470-3ae9-4aee-8f43-c6bb74cd1466&DisplayLang=de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Ralf Prengel schrieb:
Ganz ehrlich ohne dir zu nahe treten zu wollen,
lass das sein. Dein Know-how reicht nicht aus.
??? Wofür reicht mein Know-How konkret nicht aus ? Für einen vsftp aufzusetzen ? Oder wäre das in Verbindung mit SSL sehr kompliziert ? Geht das überhaupt ?
Ich blocke hier auch regelmäßig Themen weil mir klar ist wo meine Grenzen sind und welche Verantwortung ist definitiv nicht übernehmen will. Wenn was schief geht wird man dich ans Kreuz nageln und alle sind froh das du blöd genug warst dir den Job ans Bein zu binden.
Ich kann mir das leider nicht aussuchen. Es ist mein Job, hier systemtechnisch Anforderungen und Wünsche unserer Wissenschaftler umzusetzen. Ich habe auch keine Angst, an's Kreuz genagelt zu werden. Ich denke, jeder SysAdmin muss auch mal Dienste nach außen freigeben. Wenn ich das generell blocken wollte, hätte ich mir besser einen anderen Job gesucht. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Ginge ftp über SSL ? Kämen die Browser damit klar ?
http://de.wikipedia.org/wiki/FTP_%C3%BCber_SSL ist da sehr eindeutig. FTP über SSL geht, leider kann das kein aktueller Browser. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Bernd, nachdem ich mir bei Ralfs Antwort einen gegrient habe, hier meine kurze Anmerkung zu Deinen Rückfragen: Am 05.04.2011 12:37, schrieb Lentes, Bernd:
Aber bei anonymous ftp kann *jeder* schreiben, oder ?
So what? Das ist gerade der Trick. Jeder kann schreiben. Jeden Quatsch. Niemand (von außen) kann's lesen. Mittels einer Personal Firewall z.B. wäre es noch möglich, nur bestimmte IP-Adressen zuzulassen, die schreiben können. Aber das ist nicht wichtig. Letztlich bleibt die Frage: Aus welchem Interesse sollte jemand dort etwas ablegen? Es hat ja keine Auswirkungen! Bevor Du die Pakete weiter verarbeitest, überprüfst Du, ob sie richtig signiert sind. Wenn nicht, dann ab damit nach /dev/null.
Aber wäre ftp mit login nicht ein Sicherheitsgewinn wg. des chroots ?
Ein Login in ftp ist eine Veröffentlichung von Username und Passwort. Und genau das ist das Problem. Wenn Du scp oder sftp verwendest, ist das Problem wieder weg. Aber ftp und telnet transportieren die Daten im Klartext durchs Netz. Das ist so klug wie eine PIN, die auf der EC-Karte steht.
Da kommt dann kein Böser aus dem chroot raus.
Erstens halte ich das für ein Gerücht. Die Erde ist eine Scheibe. Schweine fliegen. Atomenergie ist sicher und eine chroot-Umgebung kann nicht geknackt werden. Zweitens geht es darum gar nicht. Denn spätestens wenn ein DAU für die ftp-Verbindung sein auch am eigenen Rechner für das Login verwendete Passwort einsetzt, wirkt sich das negativ aus.
Dass die externen die Daten mit gpg signieren ist für die glaube ich zu kompliziert.
Automatisiere es ihnen. Vielleicht sogar mit einem gpg-Schlüsselpaar ohne Passwort (das geht, auch wenn sich gpg aus gutem Grund mit Händen und Füßen dagegen wehrt). Einfach ein Skript basteln, das die Daten in einem Verzeichnis mit gpg signiert und dann verschickt. Lässt sich in jedem Betriebssystem automatisieren.
Ginge ftp über SSL ? Kämen die Browser damit klar ?
Keine Ahnung. Ich arbeite nicht mit SSL. Gruß Jan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Jan Handwerker schrieb:
nachdem ich mir bei Ralfs Antwort einen gegrient habe
Wieso ?
So what? Das ist gerade der Trick. Jeder kann schreiben. Jeden Quatsch. Niemand (von außen) kann's lesen. Mittels einer Personal Firewall z.B. wäre es noch möglich, nur bestimmte IP-Adressen zuzulassen, die schreiben können. Aber das ist nicht wichtig.
Letztlich bleibt die Frage: Aus welchem Interesse sollte jemand dort etwas ablegen? Es hat ja keine Auswirkungen!
Aber es könnte jemand das Verzeichnis/Partition zumüllen ?
Ein Login in ftp ist eine Veröffentlichung von Username und Passwort. Und genau das ist das Problem. Wenn Du scp oder sftp verwendest, ist das Problem wieder weg. Aber ftp und telnet transportieren die Daten im Klartext durchs Netz. Das ist so klug wie eine PIN, die auf der EC-Karte steht.
Das ist schon klar.
Da kommt dann kein Böser aus dem chroot raus.
Erstens halte ich das für ein Gerücht. Die Erde ist eine Scheibe. Schweine fliegen. Atomenergie ist sicher und eine chroot-Umgebung kann nicht geknackt werden.
Vielleicht ist ein chroot knackbar. Aber es ist sicherlich ein Sicherheitsgewinn.
Zweitens geht es darum gar nicht. Denn spätestens wenn ein DAU für die ftp-Verbindung sein auch am eigenen Rechner für das Login verwendete Passwort einsetzt, wirkt sich das negativ aus.
Darauf habe ich keinen Einfluß.
Dass die externen die Daten mit gpg signieren ist für die glaube ich zu kompliziert.
Automatisiere es ihnen. Vielleicht sogar mit einem gpg-Schlüsselpaar ohne Passwort (das geht, auch wenn sich gpg aus gutem Grund mit Händen und Füßen dagegen wehrt). Einfach ein Skript basteln, das die Daten in einem Verzeichnis mit gpg signiert und dann verschickt.
Das sind Externe, ich habe keinen Zugriff auf deren PC's.
Ginge ftp über SSL ? Kämen die Browser damit klar ?
Siehe mein Posting von Di., 17:02 Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 07.04.2011 15:02, schrieb Lentes, Bernd:
Vielleicht ist ein chroot knackbar. Aber es ist sicherlich ein Sicherheitsgewinn.
http://de.wikipedia.org/wiki/Chroot Unter Linux wird chroot nicht als Sicherheitsfeature angesehen, und ein Weg für den root-Benutzer, eine chroot-Umgebung zu verlassen, ist sogar in der chroot(2)-Manpage dokumentiert. Aber ich gebe dir Recht das es die Hürde erst einmal deutlich höher legt. Wenn du mit chroot arbeites schau dir die Tools an mit denen man die Umgebungen automatisiert erzeugen kann. Gruß Ralf Prengel Manager Customer Care Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49 231 97575 904 Fax +49 231 97575 257 Mobil +49 151 10831 157 EMail Ralf.Prengel@comline.de www.comline.de Vorstand Stephan Schilling, Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 Für die Erstellung unserer Dokumente benutzen wir die Produkte aus dem Microsoft Office 2007 Paket. Sollte sich ein Anhang in der Mail befinden, der mit einer älteren Office Version nicht geöffnet werden kann, installieren Sie bitte das Compatibility Pack für Office 2007. http://www.microsoft.com/downloads/details.aspx?FamilyID=941b3470-3ae9-4aee-8f43-c6bb74cd1466&DisplayLang=de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Thu, April 7, 2011 12:00 pm, Jan Handwerker wrote:
Ein Login in ftp ist eine Veröffentlichung von Username und Passwort. Und genau das ist das Problem. Wenn Du scp oder sftp verwendest, ist das Problem wieder weg. Aber ftp und telnet transportieren die Daten im Klartext durchs Netz. Das ist so klug wie eine PIN, die auf der EC-Karte steht.
Entschuldigt, falls ich hier so reinplatze, aber wurde eigentlich Apache in Verbindung mit WebDAV schon angesprochen? Falls ja und es wurde bereits ausgeschlossen, dann vergeßt bitte, dass ich was gesagt habe ;) Grüße, Christian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag 04 April 2011 16:14:16 schrieb Lentes, Bernd:
Hi,
wir müssen auf einem Apache Webserver eine Möglichkeit zum Hochladen von Daten anbieten. Die betr. Webseite ist nur mit Authentifizierung zugänglich. Gibt es da aus Sicherheitsaspekten noch etwas anderes zu beachten ?
ggf. prüfen, ob Dateinhalt ok (siehe file-Kommando over vergelichbares in PHP), z.B. nur Bilder oder so ggf. Grösse der Datei beschränken ggf. sicherstellen, dass die Datei nicht wieder heruntergeladen werden darf, bzw. Zugang beschränken. Jürgen -- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de Internet-Telefonie: www.skype.com Benutzer: juergen.vollmer ------------------------------------------------------------------------------- Diese EMail ist elektronisch mittels GPG / PGP signiert. Diese elektronische Unterschrift ist in einem EMail-Anhang enthalten. Leider kann die Signatur ohne die Installation entsprechender Programme weder geprüft noch angezeigt werden. Mehr dazu unter: http://www.gnupg.org oder auch http://www.pgpi.org -------------------------------------------------------------------------------
participants (8)
-
Andreas Ernst
-
Christian
-
Christian Brabandt
-
Dr. Juergen Vollmer
-
Jan Handwerker
-
Lentes, Bernd
-
Ralf Prengel
-
Ralf Prengel