Hello,

Hi.

1.  Haben andere Zugriff auf den Server, außer über HTTP?
Nein.
2.  Dürfen per Form oder auch per ftp use. Uploads auf den Server vorgenommen werden, z.B. Bilder?
Ja.
3.  Wo liegen die Daten? -> Außerhalb der Document Root lagern!
/var/www

Möglichst außerhalb der Document Root ablegen. Wenn das nicht geht, weil die Biolder direkt per HTTP zugänglich sein sollen, für das entsprechende Verzeichnis die Engine Off schalten, damit nicht aus Versehen Scripte geparst werden. Beim Upload mittels getimagesize() prüfen, ob es wirklich  Bilder sind.

4.  Wurden die Usernamen und Passworte vernünftig gewählt und überhaupt gesetzt?
Ja, alle 8 stellig a-zA-Z0-9
5.  Wurde für den Zugriff auf die Datenbank per Scripten ein eigener User mit eingeschränkten
    Rechten angelegt?
hm nee, also es gibt den user www-data und postgres, beides Superuser aber mit dickem Passwort.
6.  Wurden auf dem Host alle Dienste ausgeschaltet, die nicht benötigt werden?
Wie überprüfe ich das bei Debian und wie stelle ich diese ggf. aus, woher weiß ich welche Dienste ich brauche??
7.  Findet der administrative Umgang mit dem Server über SSH statt?
Ja, FTP ist garnicht installiert. (SSH2)
8.  Sind eMail-Konten per SASL und SSL geschützt?
SMTP Server is noch keiner installiert. Wenn dann wären sie per SSl verschlüsselt weil ich nicht weiß was SASL ist (google ich gleich nach)
9.  Wurde kontrolliert, ob die verwendeten Softwareversionen auf irgendeiner Bugliste stehen?
Nein, wo kann ich das machen?
    Bsp. war da bei einer Distribution (Debian) ein Fall mit kaputter Verschlüsselung,
Ich nutze Debian Lenny welches mir von Hetzner zur verfügung gestellt wurde,
    die Löcher ins Sicherheitskonzept gerissen hat.

10. ... fortzusetzen
    Sonst noch was?

Da fehlt bestimmt noch die Hälfte

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg