Re: OT: Sicherer Webserver - Bitte wie?

Hallo.

On Mon, May 09, 2005 at 01:45:10PM +0200, Bernd wrote:
> Sorry fürs OT, aber ich nehme mal an das könnte mehrere interessieren.
>
> Auf meinem kleinen, feinen, privaten Webserver hab ich neben meiner
> Homepage auch die einiger Kollegen bzw von Vereinen, bei denen ich
> Mitglied bin gehostet. Funktionierte immer ganz gut, aber nachdem ich
> mir vor kurzem mal genauer angeschaut habe was die Leute so aufführen
> kann ich nicht mehr ruhig schlafen :-)
>
> Von alten bzw riskanten phpBB Installationen über User die in PHP
> vogelwild Files includen dass man ohne weiteres auch
> auf ../../../../etc/xxx zugreifen kann bis zu Bekannten die Typo3
> installieren (wollten) ist alles dabei.
>
> Ich muss auch gestehen, dass ich nie wirklich viel Wert auf
> Einstellungen wie register_globals, safe_mode, ... in PHP gelegt habe,
> aber angesichts den aktuellen Umständen muss ich das wohl zukünfitg tun.
>
> Gibt es außer den Einstellungen in PHP weitere Dinge die ich beachten
> muss? Ein Apache chroot bringt mir in diesen Fällen nicht viel oder?
> Kann ich User irgendwie in ihr jeweiliges home einsperren damit zB eine
> fehlerhafte phpBB Installation nur sie selbst betrifft, nicht aber
> andere?

Nun, Du solltest hier trennen - ein bischen zumindest.

Das eine - und sicher das wichtigere - ist die Sicherheit des Systems an
sich. Das heißt, der Apache läuft brav unter einem eigenen User (www
oder wie der auch heißen mag), dieser User sollte keinerlei sonstige
Zugriffsrechte auf dem System haben (keine Shell, keinen schreibenden
Zugang zu den Konfigurationsdaten etc.). Dann kann es zwar im Extremfall
noch immer Lüccken geben, womit jemand Dinge auf dem System ausführen
kann, aber die Gefahr ist weitgehend minimiert.

Das andere ist die Sicherheit der Webpräsenzen. Hier hast Du ja ein paar
wichtige Dinge bereits angesprochen, wie zum Beispiel den safe_mode und
register_globals bei PHP.

Du kannst jetzt noch anfangen, mit suPHP (in den ports) und suEXEC (teil
von Apache) verschiedene Präsenzen unter verschiedenen User-IDs
auszuführen, so daß selbst, wenn eine unsichere Seite gehackt wird, dies
zunächst einmal nichts sonst betrifft.

Genügende Resourcen vorausgesetzt, kannst Du natürlich für jeden User
einen echten eigenen Apache unter seiner user ID laufen lassen und wenn
Du das ganze noch weiter sichern willst, dann kriegt jede Präsenz ihr
eigenes Jail. Dann brauchst Du ggf. noch einen Squid oder einen als
Proxy agierenden Apache, der die verschiedenen internen Apaches dann
wieder unter einer IP namebased zusammenführt.

Grundsätzlich solltest Du versuchen, Deine Benutzer für das Thema zu
sensibilisieren und ggf. mit Konsequenzen drohen, falls dort nicht in
einem zumutbaren Rahmen auf den Einsatz aktueller/ungefährdeter
Versionen geachtet wird.

- Olli

-- 
| Oliver Brandmueller | Offenbacher Str. 1  | Germany       D-14197 Berlin |
| Fon +49-172-3130856 | Fax +49-172-3145027 | WWW:   http://the.addict.de/ |
|               Ich bin das Internet. Sowahr ich Gott helfe.               |
| Eine gewerbliche Nutzung aller enthaltenen Adressen ist nicht gestattet! |
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message