Re: OT: Sicherer Webserver - Bitte wie?

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Tue, 17 May 2005 15:27:56 +0200 (CEST)

Bernd <bernd(at)mynet.at> wrote:
> Auf meinem kleinen, feinen, privaten Webserver hab ich neben meiner
> Homepage auch die einiger Kollegen bzw von Vereinen, bei denen ich
> Mitglied bin gehostet. Funktionierte immer ganz gut, aber nachdem ich
> mir vor kurzem mal genauer angeschaut habe was die Leute so aufführen
> kann ich nicht mehr ruhig schlafen :-)
>
> Von alten bzw riskanten phpBB Installationen über User die in PHP
> [...]

Also, »Sicherer Webserver« (wie Du im SUbject schreibst)
und PHP schließen sich schonmal gegenseitig aus.

Du solltest die einzelne Web-User unbedingt in separate
Jails packen. Das ist das _Mindeste_ was Du tun solltest.
(Aufwendig ist das übrigens nicht; ich mach's auf meinem
privaten Webserver ebenso.)

Davon abgesehen würde ich empfehlen, das PHP-Modul im
Apache abzuschalten. Ich kann mir nicht vorstellen, daß
jemand für eine private Homepage zwingend (und mit sinn-
vollem Einsatz) PHP benötigt und dabei noch genau weiß,
was er tut. Wenn sich wer beschwert, drück ihm einen
HTML-Editor in die Hand und sag ihm, er soll gefälligst
richtige Webseiten schreiben. ;-)

> Gibt es außer den Einstellungen in PHP weitere Dinge die ich beachten
> muss? Ein Apache chroot bringt mir in diesen Fällen nicht viel oder?

Wenn schon, dann Jails (eins pro Benutzer), um im Fall der
Fälle den Schaden zu begrenzen. Chroot genügt nicht.

> Kann ich User irgendwie in ihr jeweiliges home einsperren damit zB eine
> fehlerhafte phpBB Installation nur sie selbst betrifft, nicht aber
> andere?

Genau das ist ja der Sinn eines Jails.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"Documentation is like sex; when it's good, it's very, very good,
and when it's bad, it's better than nothing."
        -- Dick Brandon
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Tue 17 May 2005 - 15:29:35 CEST

search this site