nicht angemeldet
Server sicher machen
Hi,
ich möchte demnächst mit meinem Internet-Auftritt online gehen und muss nun unseren Server "sicher machen". Wir haben einen root-Server bei dem wir für alles mehr oder weniger selbst verantwortlich sind. Da ich vom Thema Server-Sicherheit noch nicht wirklich viel Ahnung habe suche ich nun entsprechende Quellen im Netz. Was muss man alles beachten um sich z.B. gegen Hackerangriffe zu schützen ect.
Dabei interessiert mich u.a. folgende Sache besonders:
Nur unter bestimmten Umständen werden den Usern meiner Seite bestimmte Links zu weiterführenden Seiten angeboten. Wie kann ich verhindern, dass sich diese Seiten manuell über die Angabe des kompletten Links in der Adresszeile des Browsers öffnen lassen?
Gruss,
Koontz
-
Hi,
ich möchte demnächst mit meinem Internet-Auftritt online gehen und muss nun unseren Server "sicher machen".
Sicherheit ist kein Ziel, sondern ein Weg. Der Zustand "Server ist sicher" existiert nicht. Du musst bei allem, was Du tust, *immer* die Sicherheit bedenken - und auch bei allem, was Du _nicht_ tust.
Nur unter bestimmten Umständen werden den Usern meiner Seite bestimmte Links zu weiterführenden Seiten angeboten. Wie kann ich verhindern, dass sich diese Seiten manuell über die Angabe des kompletten Links in der Adresszeile des Browsers öffnen lassen?
Es existiert kein Unterschied zwischen dem einen und dem anderen Request. Daher existiert auch kein Weg, den einen zu erlauben, den anderen jedoch nicht.
Cheatah
--
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes-
Nur unter bestimmten Umständen werden den Usern meiner Seite bestimmte Links zu weiterführenden Seiten angeboten. Wie kann ich verhindern, dass sich diese Seiten manuell über die Angabe des kompletten Links in der Adresszeile des Browsers öffnen lassen?
Ein passwort geschütztes Verzeichnis, wo der Zugriff mittels Script (PHP, ASP) per Link weitergegeben wird sollte verhindern das man einfach per url auf die seiten zugreifen kann
Netghost
-
Hi,
Ein passwort geschütztes Verzeichnis, wo der Zugriff mittels Script (PHP, ASP) per Link weitergegeben wird sollte verhindern das man einfach per url auf die seiten zugreifen kann
nein. Dadurch wird ein unauthentifizierter Zugriff verhindert, jedoch keiner über URL-Eingabe/Bookmark/etc. anstatt eines bestimmten Linkklicks.
Cheatah
--
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes-
Vielen Dank für Eure zahlreichen Antworten. Bei dem Link-Problem erscheint mit die Lösung, für alle Skripts die Authentifizierungsfunktion nochmal separat einzubinden, als die beste. Ist zwar nochmal ein gehöriger Aufwand, aber immer noch besser als ein unsicheres System.
Gruss,
Koontz
-
-
-
Moin,
Der Zustand "Server ist sicher" existiert nicht.
man Knippex ;-)
Es existiert kein Unterschied zwischen dem einen und dem anderen Request. Daher existiert auch kein Weg, den einen zu erlauben, den anderen jedoch nicht.
Ack, so nicht. Der Königsweg wäre natürlich die Authorisierungsinformationen die zur Ausgabe des Links führten auch bei dem Ziel des Links verfügbar zu machen.
Ein ekliger Würgaround wäre eine Art Ticket-System: Das Skript das die Links ausgibt, generiert eine Zufallszahl die als Ticket zum Folgen des Links berechtigt. Diese Zahl speichert es zusammen mit der Uhrzeit (damit die Tickets nur eine bestimmte Gültigkeit haben) auf dem Server. Das Ziel kann dann anhand des Tickets bestimmen ob es den Request durchlassen soll (und entwertet das Ticket danach).
--
Henryk Plötz
Grüße aus Berlin
~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~-
Hi,
Der Zustand "Server ist sicher" existiert nicht.
man Knippex ;-)bringt nichts. Kein Programm der Welt kann gegen die Tatsache ankommen, dass 100%ige Sicherheit völlige Utopie ist.
Ein ekliger Würgaround wäre eine Art Ticket-System:
Nennen wir es ruhig Session-Management ;-) Eklig bleibt es trotzdem - und verhindert nicht, dass die URL aus dem Kontext gerissen wird. Zumindest kurzzeitig behält sie ihre Gültigkeit, unabhängig von der Art des Aufrufes. Auch hier sind Automatisierungen möglich.
Cheatah
--
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes-
Moin,
Der Zustand "Server ist sicher" existiert nicht.
man Knippex ;-)bringt nichts. Kein Programm der Welt kann gegen die Tatsache ankommen, dass 100%ige Sicherheit völlige Utopie ist.
--
Henryk Plötz
Grüße aus Berlin
~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~-
Hi,
man Knippex ;-)
bringt nichts. [...]
http://www.knipex.de/ SCNRargl :-)
Cheatah
--
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes
-
-
-
-
-
Hi!
ich möchte demnächst mit meinem Internet-Auftritt online gehen und muss nun unseren Server "sicher machen". Wir haben einen root-Server bei dem wir für alles mehr oder weniger selbst verantwortlich sind. Da ich vom Thema Server-Sicherheit noch nicht wirklich viel Ahnung habe suche ich nun entsprechende Quellen im Netz. Was muss man alles beachten um sich z.B. gegen Hackerangriffe zu schützen ect.
Also allgemein würde ich dafür sorgen, dass wirklich nur das installiert ist was Ihr braucht, also vor allem keine Programme mit offenen Ports laufen die Ihr nicht braucht.
Und Du solltest die Möglichkeiten des Betriebssystems nutzen um Sicherheitspatches schnellst möglich einzuspielen, und Dich selbst dies bezüglich auf dem laufenden halten um wenn nötig selbst Patches einspielen zu können.
Dann solltest Du die Rechte möglichst sparsam vergeben, kein User soll mehr könenn als er braucht.
Und Scripte in Webseiten sollten sicher sein, nicht irgendwelche Dateien per Variable per include einbinden, register-globals off...(bei PHP)
Außerdem solltest Du ständig ein Auge auf Logfiles haben um möglichst zeitnah zu bemerken wenn was nicht stimmt.
Und verwende kein Telnet, kein FTP, sondern SSH+SCP oder SFTP.Sicherheit ist ein recht komplexes Thema, oft gibt es zu den Betriebssystemen "Securiy-Guides"... die Du Dir ansehen solltest, für RedHat Linux gibt es z.B. das:
http://www.redhat.com/docs/manuals/linux/RHL-9-Manual/security-guide/
http://www.redhat.com/docs/manuals/linux/RHL-9-Manual/admin-primer/Ist als Grundlage sicher nicht verkehrt zu lesen. Und auch der Featured Artikel von CK ist sehr lesenswert: http://aktuell.de.selfhtml.org/artikel/server/self/index.htm
Viele Grüße
Andreas