Hello,

Ich habe mir einen Server aufgesetzt mit Apache, php, postgresql und würde gerne wissen was gemacht werden muss, damit dieser sicher ist.

1. php.ini richtig konfigurieren
2. httpd.conf richtig konfigurieren
3. postgresql richtig konfigurieren
4. Die Skripte vor XSS und SQL Injections schützen

1.  Haben andere Zugriff auf den Server, außer über HTTP?
2.  Dürfen per Form oder auch per ftp use. Uploads auf den Server vorgenommen werden, z.B. Bilder?
3.  Wo liegen die Daten? -> Außerhalb der Document Root lagern!
4.  Wurden die Usernamen und Passworte vernünftig gewählt und überhaupt gesetzt?
5.  Wurde für den Zugriff auf die Datenbank per Scripten ein eigener User mit eingeschränkten
    Rechten angelegt?
6.  Wurden auf dem Host alle Dienste ausgeschaltet, die nicht benötigt werden?
7.  Findet der administrative Umgang mit dem Server über SSH statt?
8.  Sind eMail-Konten per SASL und SSL geschützt?
9.  Wurde kontrolliert, ob die verwendeten Softwareversionen auf irgendeiner Bugliste stehen?
    Bsp. war da bei einer Distribution (Debian) ein Fall mit kaputter Verschlüsselung,
    die Löcher ins Sicherheitskonzept gerissen hat.

10. ... fortzusetzen

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg