Taner Ayaydin wrote:
Netzwerk: - Alle Services, insbesondere die über das Netzwerk ansprechbaren schließen, die nicht benötigt werden.
Ich müsste mal schauen, welche Dienste über das Netzwerk ansprechbar sind. Wie gehe ich das am besten durch? Ich sollte mir erst einmal Linux Basiswissen aneignen ;) In Plesk kann ich noch einstellen, dass die Plesk Konsole nur über eine bestimmte IP-erreichbar ist. Dann wäre nur der Port für Plesk mal abgesichert. Aber, meine eigene IP ist auch nicht immer dieselbe. Sie fängt mal mit 88 an, mal mit 91.
Auf der Serverkonsole kannst du mit "netstat" nachsehen, welche Ports offen sind und auf welche IPs sie gebunden sind. Schau dir einfach mal die Ausgabe von "netstat -antp" an. Das zeigt dir bestehende TCP-Verbindungen und lauschende TCP-Ports an. Die zweite Sichtweise ist die von extern. Nimm dazu ein Werkzeug wie nmap und taste deinen Server mal von außen ab. Auch von außerhalb deines eigenen Netzes aus dem Internet. Manche Dienste willst du nicht ins Internet anbieten. Dann beende jeden Dienst, der nicht benötigt wird. Suse z.B. hat als Standard NFS und Portmap aktiv. Wenn du keine Laufwerke über NFS anbietest oder mountest, dann sollten diese nicht laufen.
- Begrenze den das Anbieten des Dienstes auf die benötigten IP-Adressen. Wenn MySQL nur von localhost aus genutzt wird, dann sollte auch kein direkter Zugriff über das Netzwerk erlaubt sein.
Da habe ich mal kurz in Plesk geschaut, ob man das einstellen kann. Nichts. Ich sollte das Plesk echt mal rausschmeißen, so wie es aussieht. An sich brauche ich den Server eh nur für unsere einzige Community. Also, da wären keine Kunden angelegt oder andere Benutzer.
Solche Einstellungen wirst du wohl nur auf der Konsole machen können. Vergesse auf keinen Fall, deine Änderungen zu dokumentieren! Später suchst du dir einen Wolf ab, welche der Änderungen die Konfiguration gebrochen hat. Es hilft auch, die Konfigurationsdateien vor einer Änderung in ein Backup-Verzeichnis zu kopieren. cp /etc/my.cnf /etc/backup/my.cnf_2007-03-04 Schreibe kleine Kommentare zu den Änderungen, damit du später weisst, warum du daran gefummelt hast. Wenn du das konsequent machst, sparst du am Ende Zeit, weil du für die Fehlerbehebung weniger Zeit brauchst.
Zugriffsrechte: - Definiere genau, welche User, insbesondere anonymous, auf was zugreifen dürfen. Wenn du es nicht genau weisst, dann verbiete erst einmal alles, räume dann die Zugriffsrechte ein auf Resourcen und warte auf Schreie. (^- ^) Wenn das nicht möglich ist, musst du die Zugriffsrechte für alle Resourcen einzeln durchgehen und konfigurieren. Ziemlich viel Arbeit.
Ich habe hier nur root und ein webx User, der Shell Zugriff braucht und einen FTP-Zugang. Mehr eigentlich nicht.
Mein FTP ist so konfiguriert, dass root nicht sich über FTP einloggen kann und nur explizit freigegebene User auf FTP zugreifen können.
Verwaltung innerhalb des Dienstes: Danach wird es spezifisch, du musst je nach Applikation schauen, ob Rechte /Einschränkungen sinnvoll gesetzt wurden oder noch konfiguriert werden müssen. Bei Apache etwa würde ich, wenn möglich, den Zugriff auf Admin-Verzeichnisse nur von internen IP-Adressen aus erlauben und für das Internet komplett sperren.
Mit dem Admin-Verzeichnis ist wahrscheinlich eine Adminkonsole von Apache gemeint, um ihn zu verwalten?
Nö, damit sind administrative Verzeichnisse der installierten Seiten/Programme gemeint. Auf das Unterverzeichnis ./phpmyadmin darf nur der Adminrechner zugreifen, niemand sonst. Genauso auch für die Konfigverzeichnisse von Squirrelmail und anderen Applikationen oder interne Webseiten wie meine Mailserver-Statistiken. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org