nicht angemeldet
Apache - Sicherheitscheck?
N'Abend Forum,
ich habe da seit einer Weile einen LAMP (Linux-Apache-MySQL-PHP und natürlich auch Perl, sonst ausser Sendmail und SSH nix) laufen, an welchem ich nach einer erfolgreichen Attacke (grrr...) das ganze Zeugs gepatched habe. Wie kann ich nun zuverlässig feststellen, dass der (wieder? noch?) sicher ist. Ich frage hier nicht nach irgendwelchen dubiosen Hacker-Tools oder deren Webseiten, sondern nach einer seriösen Möglichkeit, meinen Webserver zu überprüfen (lassen).
Weiss da einer bescheid? Ich arbeite schon ziemlich lange (auch) mit Linux, behaupte dabei, mich relativ gut auszukennen. In Sachen Sicherheit habe ich aber grossen Nachholbedarf, da bin ich eine ziemliche Banane.
Danke erstmal und schönen Abend
claudio
-
Moin!
ich habe da seit einer Weile einen LAMP (Linux-Apache-MySQL-PHP und natürlich auch Perl, sonst ausser Sendmail und SSH nix) laufen, an welchem ich nach einer erfolgreichen Attacke (grrr...) das ganze Zeugs gepatched habe. Wie kann ich nun zuverlässig feststellen, dass der (wieder? noch?) sicher ist. Ich frage hier nicht nach irgendwelchen dubiosen Hacker-Tools oder deren Webseiten, sondern nach einer seriösen Möglichkeit, meinen Webserver zu überprüfen (lassen).
Eine gute Methode, sich gegen Angriffe zu wappnen, ist, immer die aktuellste Version zu installieren - zumindest dann, wenn bei der verwendeten Version eine Sicherheitslücke festgestellt wird.
Um sich über Sicherheitslücken der verwendeten Software zu informieren, bzw. über neue Releases, sollte man sich bei der entsprechenden Mailing-Liste angemeldet haben, um immer auf dem Laufenden zu sein.
Ansonsten ist bei deiner Installation lediglich Sendmail zu bemängeln. Diese Software hat eine so lange Liste an Bugs (auch sicherheitsrelevanten), dass man sie eigentlich nicht guten Gewissens einsetzen kann. Ich empfehle, einen alternativen MTA einzusetzen. Persönlich benutze ich qmail. Der Autor behauptet von seiner Software, dass sie keine Sicherheitslücken hat, und bietet jedem, der einen entsprechenden Bug findet, sogar eine Belohnung. Nur hat die wohl noch nie jemand abgefordert.
- Sven Rautenberg
--
"Bei einer Geschichte gibt es immer vier Seiten: Deine Seite, ihre Seite, die Wahrheit und das, was wirklich passiert ist." (Rousseau)-
Hallo Sven!
Ansonsten ist bei deiner Installation lediglich Sendmail zu bemängeln. Diese Software hat eine so lange Liste an Bugs (auch sicherheitsrelevanten), dass man sie eigentlich nicht guten Gewissens einsetzen kann. Ich empfehle, einen alternativen MTA einzusetzen. Persönlich benutze ich qmail. Der Autor behauptet von seiner Software, dass sie keine Sicherheitslücken hat, und bietet jedem, der einen entsprechenden Bug findet, sogar eine Belohnung. Nur hat die wohl noch nie jemand abgefordert.
Was hälst Du von postfix? Das habe ich nämlich drauf und gute Erfahrungen geamcht, da viel einfacher als Sendmail und gleichzeitig genauso einfach wie sendmail in Programmen wie PHP zu nutzen.
Grüße
Andreas -
N'Abend,
erstmal 'Tschuldigung für den Typo in der Emailadresse von vorhin.
Eine gute Methode, sich gegen Angriffe zu wappnen, ist, immer die aktuellste Version zu installieren - zumindest dann, wenn bei der verwendeten Version eine Sicherheitslücke festgestellt wird.
Hab' ich mir vorgenommen, von jetzt an so zu machen. Eine schlechte Erfahrung reicht mir.
Um sich über Sicherheitslücken der verwendeten Software zu informieren, bzw. über neue Releases, sollte man sich bei der entsprechenden Mailing-Liste angemeldet haben, um immer auf dem Laufenden zu sein.
Ziehe ich ernsthaft in Erwägung, danke.
Zu Sendmail: hast recht, das brauche ich eigentlich gar nicht auf dem Rechner (würde heissen: weg damit). Zum Glück kann ich sagen, dass ich den ganzen Webkram, auch den ganzen Mailkram, sowie den Fileserver auf dezidierten Kisten laufen habe, sonst wäre der Schaden viel grösser gewesen. Das E-Werk freut's ;-) Und bis jetzt konnte ich Skripte, z.B. Formmailer für Bestellung, immer davon überzeugen, meinen eigentlichen MTA zu benutzen. Früher hatte ich das unsägliche Matt's Formmail Script für das Bestellformular missbraucht, aber da hatte ich auch Probleme mit (eben z.B. dem Mailen selbst). Soll ja dem Vernehmen nach ja ein Einfallstor für SPAMmer sein.
Trotzdem würde es mich interessieren, ob nicht irgendwo im grossen weiten Internet ein 'seriöser' Hacker seine Dienste anbietet, im Sinne von "ich teste Ihren Webserver". Die 'unseriösen' sehe ich täglich in den error_logs. Man kann sich ja auch online die Firewall oder die SPAM-Sicherheit seines SMTP Servers testen lassen. Warum nicht auch WWW Server?
BTW Danke für die Tipps.
Schönen Abend
claudio
-
Hallo!
Trotzdem würde es mich interessieren, ob nicht irgendwo im grossen weiten Internet ein 'seriöser' Hacker seine Dienste anbietet, im Sinne von "ich teste Ihren Webserver".
Das einzige was mir da vielleicht einfiele ist http://www.heise.de/ix/itssecure/
Kostet Geld, und in 2 Stufen, testen IMHO die komplette Internet-Anbindung auf Sicherheitslücken. Kosten meines Wissens Geld, die 2. Stufe noch nichtmal so wenig, aber wie es sich anhört machen die das dann aber auch vernünftig - soweit das eben geht.
Vielleicht hilft es Dir ja!
Grüße
Andreas-
'Abend,
Das einzige was mir da vielleicht einfiele ist http://www.heise.de/ix/itssecure/
Werd' ich mir 'mal ansehen. Danke!
Gruss
claudio
-
-
-
-
Hi claudio,
Wie kann ich nun zuverlässig feststellen, dass der (wieder? noch?) sicher ist.
Sicherheit ist kein Zustand, sondern ein fortlaufender Prozeß.
Denn Sicherheitslücken, die heute noch unbekannt sind, existieren dennoch - und warten darauf, entdeckt zu werden. Wenn Du Pech hast, dann zuerst von den Bösen.
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.-
N'Abend Michael,
Denn Sicherheitslücken, die heute noch unbekannt sind, existieren dennoch - und warten darauf, entdeckt zu werden. Wenn Du Pech hast, dann zuerst von den Bösen.
In dem Sinne hast Du Recht, ich werde mir deshalb den Tipp von Sven (Mailinglisten) _sehr_ zu Herzen nehmen.
Gruesse
claudio
-