Christian Wermelinger: Zugriff auf lokales Dateisystem

Beitrag lesen

Hallo Sven

Erst einmal vielen Dank für die konstruktive Antwort! In diesem Zusammenhang sind bei mir weitere Fragen aufgetaucht:

Du meinst, du willst "Nessus" neuimplementieren? Da hast du dir ja ganz schön was vorgenommen. Meinst du nicht, es wäre einfacher, einfach an Nessus anzudocken?

Nessus wäre schon nen guter Ansatz. Wobei der Funktionsumfang eigentlich viel zu gross ist. Zudem ist Nessus eine Client-Server Lösung. Oder wird client-seitig nur das Interface zur Verfügung gestellt und sämtliche Scan-Operationen durch den Server ausgeführt? Nessus käme für mich in Frage wenn es möglich wäre auf den Client zu verzichten und stattdessen ein Webinterface dafür zu schreiben. Zudem sollten nur die Module verwendet werden die ich auch wirklich benötige. Weist du darüber vielleicht detailierter Bescheid?

Andererseits: Was steht denn interessantes in der Config drin, was man nicht durch Online-Testen des Webservers auch herausfinden kann? Die Versionsnummer beispielsweise steht nicht drin.

Den Gedanken mit der Config habe ich mir gemacht da gewisse Einstellungen des Servers nicht sehr vorteilhaft sind. Wenn man Zugriff auf die Config hätte könnte man relative einfachen überprüfen wie der Server konfiguriert wurde, welche Module installiert sind etc. Auf der anderen Seite bin ich mir schon bewusst dass ein Remote-Zugriff auf die Config natürlich auch grosses Sicherheitsloch darstellen kann. Du schreibst von Online-Testen des Webservers. Wie stelle ich das denn genau an? Komme ich wirklich an all die Informationen wie offene Ports, Server-Version, Inhalt des öffentlich zugänglichen Verzeichnisses (htdocs) etc.? Habe im Moment keine Idee wie ich das anstellen sollte. Wenn z.B. auf dem Server ein CGI-Script abläuft kann ich ja sehr viele Umgebungsvariablen auslesen. Doch habe ich darauf auch Zugriff wenn ich 'von aussen' komme? Eher nicht, oder?

Wobei wir zuerst zu der Frage kommen: Warum sollte jemand dir vertrauen? Wer ist so blöde und gibt dir außer der öffentlich für alle erreichbaren URL noch weitergehende Zugangsdaten für SEIN System?

Vertrauen ist so eine Sache da muss ich dir Recht geben. Zudem kann es durchaus möglich sein, dass die Benutzer nicht einmal über die Zugangsdaten verfügen. Ich verwerfe den Gedanken, mir irgendwie Vollzugriff auf das System zu verschaffen wohl definitiv und beschränke mich auf das Scannen 'von aussen', wenn ich dann endlich einen Ansatz gefunden habe wie ich das realisieren könnte.

Bin weiterhin für jede Hilfestellung äusserst dankbar!

Gruss
Chris