Server-Sicherheit (was: Re: Software zur Auswertung von Linux Log files)
Florian Lohoff
flo at rfc822.org
Mi Apr 5 09:49:20 CEST 2006
On Wed, Apr 05, 2006 at 09:35:54AM +0200, Connectnet wrote:
> >>- Bei webservern -> Plugins minimieren, kein php oder user supplied cgis
> Aber dann werde ich keine User mehr haben. :-(
> >> moeglichst im DocumentRoot nur statischen content.
> >>- Daemons die chrooted laufen koennen auch im chroot laufen lassen
> >>- Daemons die privilegien droppen koennen dieses auch configurieren
> >>- Moeglichst wenig inbound write connections d.h. rsync inbound, scp,
> >> sendfile oder ftp store. Lieber via trigger dann pollen.
> Ist das nicht mal ein Thema für einen Abend - Absicherung von Webservern
> live mit praktischem Beispiel?
> Danke allen für die vielen Anregungen!!
Das problem mit dem ganzen PHP und cgi krams ist das die user irgendein
tollen Ph0rum installieren und es fuer alle ewigkeiten vergessen. User
supplied software die von aussen zugaenglich ist ist per definition ein
einfallstor.
Wenn das ganze hinter eine https server mit authentisierung ist koennen
die machen was sie wollen. Aber die exploits der gaenigen wikis und php
foren die via google gefunden wurden spricht schon baende.
Flo
PS: Kannst du bitte mal deinen Absender korrigieren. Kein Realname im
Absender wird im allgemeinen im Netz als unhoeflich angesehen.
--
Florian Lohoff flo at rfc822.org +49-171-2280134
Heisenberg may have been here.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : nicht verfügbar
Dateityp : application/pgp-signature
Dateigröße : 189 bytes
Beschreibung: Digital signature
URL : http://lug-owl.de/pipermail/lugrav/attachments/20060405/2442ff63/attachment.pgp