Re: OT: Sicherer Webserver - Bitte wie?

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Tue, 17 May 2005 15:27:56 +0200 (CEST)



Bernd <bernd(at)mynet.at> wrote:


 > Auf meinem kleinen, feinen, privaten Webserver hab ich neben meiner


 > Homepage auch die einiger Kollegen bzw von Vereinen, bei denen ich


 > Mitglied bin gehostet. Funktionierte immer ganz gut, aber nachdem ich


 > mir vor kurzem mal genauer angeschaut habe was die Leute so aufführen


 > kann ich nicht mehr ruhig schlafen :-)


 > 


 > Von alten bzw riskanten phpBB Installationen über User die in PHP


 > [...]



Also, »Sicherer Webserver« (wie Du im SUbject schreibst)


und PHP schließen sich schonmal gegenseitig aus.



Du solltest die einzelne Web-User unbedingt in separate


Jails packen.  Das ist das _Mindeste_ was Du tun solltest.


(Aufwendig ist das übrigens nicht; ich mach's auf meinem


privaten Webserver ebenso.)



Davon abgesehen würde ich empfehlen, das PHP-Modul im


Apache abzuschalten.  Ich kann mir nicht vorstellen, daß


jemand für eine private Homepage zwingend (und mit sinn-


vollem Einsatz) PHP benötigt und dabei noch genau weiß,


was er tut.  Wenn sich wer beschwert, drück ihm einen


HTML-Editor in die Hand und sag ihm, er soll gefälligst


richtige Webseiten schreiben.  ;-)



 > Gibt es außer den Einstellungen in PHP weitere Dinge die ich beachten


 > muss? Ein Apache chroot bringt mir in diesen Fällen nicht viel oder?



Wenn schon, dann Jails (eins pro Benutzer), um im Fall der


Fälle den Schaden zu begrenzen.  Chroot genügt nicht.



 > Kann ich User irgendwie in ihr jeweiliges home einsperren damit zB eine


 > fehlerhafte phpBB Installation nur sie selbst betrifft, nicht aber


 > andere?



Genau das ist ja der Sinn eines Jails.



Gruß


   Olli



-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"Documentation is like sex; when it's good, it's very, very good,
and when it's bad, it's better than nothing."
        -- Dick Brandon
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Tue 17 May 2005 - 15:29:35 CEST













search this site