Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Mach deinen Gentoo {mysql, web, etc.} Server sicher - Doku
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Deutsche Dokumentation
View previous topic :: View next topic  
Author Message
STiGMaTa_ch
Veteran
Veteran


Joined: 28 Dec 2004
Posts: 1686
Location: Rüti ZH / Schweiz

PostPosted: Thu Nov 23, 2006 10:55 am    Post subject: Mach deinen Gentoo {mysql, web, etc.} Server sicher - Doku Reply with quote

*edit - Think4UrS11* Sammeltopf zu Mach deinen Gentoo {mysql, web, etc.} Server sicher Thread

bitte den Diskussionsteil dort abhandeln; dieser Thread sollte rein für die eigentliche Wissenssammlung genutzt werden


Apache spezifisches

  • Zum schützen des Apache Servers hat poOoch einen Link zum CIS Apache Benchmark for Unix beigetragen. Obwohl sich "Benchmark" nach Vergleichstest zwischen verschiedenen Apache Versionen anhört ist das ein Dokument welches viele Informationen zur "sicheren" Konfiguration bietet. Unter dem angegebenen Link einfach Click Here to Download Them anwählen und danach das Formular vollständig ausfüllen sowie die gewünschten PDF Dateien auswählen. (Dokument(e) in Englisch!)
  • mkr ist der Meinung, dass mod_security für Apache Installationen sehr wichtig ist. Sein Link zeigt auf, wie man mittels Gentoo mod_Security installiert und konfiguriert. Im O'Reilly Network habe ich einen Artikel (englisch!) gefunden, welcher kurz erklärt wie mod_security funktioniert. Kurz zusammengefasst ist mod_security eine "Web Application Firewall" und kann den Server vor z.B. SQL Injection und anderen Missbrauch schützen.
  • Knieper hat einen interessanten (englischen) Artikel bei IBM gefunden welcher aufzeigt wie man mittels mod_proxy seinen Apache sicherer machen kann. Mit mod_proxy kann man, unter anderem, einen Apache betreiben, welcher Anfragen an andere Server weiterleiten und deren Antworten wieder zurück an den Client schicken kann. Dies hat den Vorteil, dass mehrere Apache Instanzen unter verschiedenen Benutzerkennungen laufen gelassen werden können, wodurch eine Instanz nicht auf die Daten der anderen Instanz zugreifen kann.


Emails in Webseiten schützen


PHP spezifisches

  • Psy' hat einen etwas betagteren, jedoch trotzdem sehr interessanten Artikellink beigetragen der sich mit der Thematik des absicherns von PHP befasst. Der Artikel zeigt z.B. wie man mittels php einen "Verzeichnisbrowser" basteln und dabei in den Umgebungen anderer Benutzer stöbern kann aber auch, wie man PHP Scripts ein wenig sicherer macht.
  • Slick hat auf einen Artikel aufmerksam gemacht, welcher sich mit dem Schutz von PHP Scripten befasst. Nebst einem Abriss über Cross Site Scripting und SQL Injection behandelt der Heise Artikel auch die Absicherung von PHP.


Rechtliche Aspekte

  • Betreiber eines Webschops sollten sich die folgenden Empfehlungen des Bundesverbandes für Digitale Wirtschaft anschauen um sich vor Abmahnungen zu schützen (Gilt vornehmlich für Deutsche Staatsangehörige).


Webformulare schützen
  • Bei Verwendung einfacher Scripts für z.B. Gästebücher kann ein Spammer die GET/POST Befehle des Browsers einfach simulieren und das Gästebuch zumüllen. Eine Art dagegen anzugehen ist die Verwendung von Captchas. Zu diesem Thema hat Slick auf seiner Website einige nüzliche Informationen und Besipielscripts zusammengetragen.
  • Ob Captchas wirklich der Weisheit letzter Schluss sind ist umstritten. Slick hat sich darüber ebenfalls einige Gedanken gemacht. Und in diesem Artikel (englisch) wird aufgezeigt wie man mittels Pornografie Captchas umgehen kann.
  • Hat man selber mittels PHP ein Feedback Formular erstellt sollte man sich vor E-Mail-Header-Injection schützen.
  • In diesem Artikel wird erklärt was der Unterschied in der Verwendung von GET oder POST bei Formularen ist und welches für die eigenen Zwecke besser geeignet ist.
  • Slick hat zwei weitere Links beigesteuert, welche zum einen aufzeigen wie man Mailformulare auf Webseiten absichern kann und zum anderen wie man sein Webformular vor SQL-Injections schützt


Stand: 22.02.2007
History:
22.02.2007 - PHP absichern und aufzeigen der Gefahren (danke slick)
10.12.2006 - Absichern von PHP Multiuser Umgebungen (danke Psy')
07.12.2006 - Apache mittels mod_proxy sicherer machen (danke Knieper)
01.12.2006 - Mailformular absichern, Webformular vor SQL Injection schützen (danke slick)
25.11.2006 - mod_security Informationen hinzugefügt (danke mkr)
24.11.2206 - Apache Benchmark hinzugefügt (danke poOoch)
23.11.2006 - Erstveröffentlichung + Rechtliche Aspekte hinzugefügt

_________________
Ich bin Schuldknappe. Das bedeutet ich bin immer an allem Schuld. Und das nicht zu knapp! | Der alltägliche Familienwahnsinn auf meinem BLOG
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Deutsche Dokumentation All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum