XAMPP-Sicherheitseinstellungen
pixxma
- webserver
Nabend,
auch nach der Lektüre des Abschnitts „Die Frage nach der Sicherheit“ auf der XAMPP-Homepage (http://www.apachefriends.org/de/xampp-windows.html) und der Lektüre eines XAMPP-Artikels aus der c’t (http://www.heise.de/ct/artikel/Von-Hausmannskost-zum-Galadiner-291604.html) bin ich mir noch nicht sicher: muss man die Sicherheitseinstellungen (= zwei Passwörter für XAMPP/Apache und MySQL/phpMyAdmin) nur vornehmen, wenn man den XAMPP als echten Server für den Produktiveinsatz benutzen möchte (wofür er ja eigentlich nicht gedacht ist) – oder sollte man auch bei Benutzung des XAMPP als bloßes Testsystem mit Passwörtern arbeiten, sofern der PC mit dem Internet verbunden ist (was ja der Regelfall ist)?
Zweite Frage dazu: unter http://coding-community.com/Thread-xampp-sicherheitseinstellungen ist zu lesen, dass beim XAMPP die WebDAV-Funktionalität ebenfalls gesichert sein sollte (durch Auskommentieren oder Änderung des Standard-Passwortes). Auch hier die Frage: nur bei Gebrauch des XAMPP als Produktivsystem oder auch bei Gebrauch als Testsystem?
Gibt es weitere Sicherheitseinstellungen beim XAMPP zu beachten?
MfG
pixxma
Hi!
muss man die Sicherheitseinstellungen (= zwei Passwörter für XAMPP/Apache und MySQL/phpMyAdmin) nur vornehmen, wenn man den XAMPP als echten Server für den Produktiveinsatz benutzen möchte (wofür er ja eigentlich nicht gedacht ist) – oder sollte man auch bei Benutzung des XAMPP als bloßes Testsystem mit Passwörtern arbeiten, sofern der PC mit dem Internet verbunden ist (was ja der Regelfall ist)?
Wie wichtig sind dir die Daten, die mit dem System abgerufen oder bearbeitet werden können? Welcher Art ist die Verbindung mit dem Internet? Sind Webserver und DBMS öffentlich erreichbar?
Zweite Frage dazu: unter http://coding-community.com/Thread-xampp-sicherheitseinstellungen ist zu lesen, dass beim XAMPP die WebDAV-Funktionalität ebenfalls gesichert sein sollte (durch Auskommentieren oder Änderung des Standard-Passwortes). Auch hier die Frage: nur bei Gebrauch des XAMPP als Produktivsystem oder auch bei Gebrauch als Testsystem?
Brauchst du WebDAV oder willst du es nicht lieber komplett deaktivieren? Wenn du es benötigst, wären auch dazu die obigen Fragen zu beantworten.
Gibt es weitere Sicherheitseinstellungen beim XAMPP zu beachten?
Was ist denn alles aktiviert? Sag mir aber nicht nur, das wäre eine Standardinstallation. Versuch herauszufinden, was da alles drin ist, und wozu das gut ist.
Lo!
Hallo,
Wie wichtig sind dir die Daten, die mit dem System abgerufen oder bearbeitet werden können? Welcher Art ist die Verbindung mit dem Internet? Sind Webserver und DBMS öffentlich erreichbar?
Na, an die Daten soll natürlich keiner rankommen können. Verbindung: DSL über Modemrouter (wozu die Frage?). - Und die letzte Frage ist ja eigentlich die, die ich selbst gestellt habe: ich will ja, dass sie NICHT öffentlich erreichbar sind.
Brauchst du WebDAV oder willst du es nicht lieber komplett deaktivieren? Wenn du es benötigst, wären auch dazu die obigen Fragen zu beantworten.
Ich brauche nur den Apachen und MySQL/phpMyAdmin. Nur weiß ich eben nicht, ob es ausreicht, alle anderen Sachen einfach deaktiviert zu lassen. Meine Kenntnisse im Bereich Sicherheit reichen nicht soweit aus. Ich weiß nur, dass man ziemlich vorsichtig sein sollte, wenn man auf dem Privat-PC einen Webserver zu Testzwecken installiert.
Was ist denn alles aktiviert? Sag mir aber nicht nur, das wäre eine Standardinstallation. Versuch herauszufinden, was da alles drin ist, und wozu das gut ist.
Wie gesagt: ich müßte nur Apache + MySQL/phpMyAdmin aktivieren. Ansonsten ist das da alles drin im XAMPP-Paket: Apache, MySQL, PHP + PEAR, Perl, mod_php, mod_perl, mod_ssl, OpenSSL, phpMyAdmin, Webalizer, Mercury Mail Transport System for Win32, Ming, FileZilla FTP Server, mcrypt, eAccelerator, SQLite, WebDAV.
MfG
pixxma
Hi!
Wie wichtig sind dir die Daten, die mit dem System abgerufen oder bearbeitet werden können? Welcher Art ist die Verbindung mit dem Internet? Sind Webserver und DBMS öffentlich erreichbar?
Na, an die Daten soll natürlich keiner rankommen können. Verbindung: DSL über Modemrouter (wozu die Frage?). - Und die letzte Frage ist ja eigentlich die, die ich selbst gestellt habe: ich will ja, dass sie NICHT öffentlich erreichbar sind.
Um mit der letzten Frage anzufangen: Ich fragte nicht, was du _willst_, sondern was _ist_. Hast du den Router so konfiguriert, dass er Verbindungen von außen auf den Webserver und/oder an MySQL leitet? Wenn nicht, wie soll man dann die Daten abgreifen können? Da bleibt im Prinzip nur ein Zugriff von innen. Bist du der alleinige Nutzer in deinem Netzwerk? Hast du WLAN, über das jemand kommen könnte?
Brauchst du WebDAV oder willst du es nicht lieber komplett deaktivieren? Wenn du es benötigst, wären auch dazu die obigen Fragen zu beantworten.
Ich brauche nur den Apachen und MySQL/phpMyAdmin. Nur weiß ich eben nicht, ob es ausreicht, alle anderen Sachen einfach deaktiviert zu lassen.
Eine Empfehlung kann ich dir erst dann geben, wenn ich deine Bedürfnisse kenne. WebDAV kannst du also deaktivieren. In der httpd.conf die LoadModule-Zeilen mit dav_... auszukommentieren sollte reichen.
Meine Kenntnisse im Bereich Sicherheit reichen nicht soweit aus. Ich weiß nur, dass man ziemlich vorsichtig sein sollte, wenn man auf dem Privat-PC einen Webserver zu Testzwecken installiert.
Das Wissen nützt nur nicht viel. Du musst wissen, was für Wege vorhanden sind und wie man sie ausnutzen kann, damit du einigermaßen die Angst durch Souveränität ersetzen kannst.
Was ist denn alles aktiviert? Sag mir aber nicht nur, das wäre eine Standardinstallation. Versuch herauszufinden, was da alles drin ist, und wozu das gut ist.
Wie gesagt: ich müßte nur Apache + MySQL/phpMyAdmin aktivieren.
Das ist dann also das, was aktiviert bleiben muss. MySQL kann über zwei Wege erreicht werden, der eine ist TCP/IP, der andere ist über Socket. Socket ist unkritisch, weil das nur auf dem selben Rechner läuft (ob das in Windows überhaupt verfügbar ist, weiß ich grad nicht). Bleibt TCP/IP. Wenn nur das PHP mit MySQL kommunizieren soll, kannst du letzterem in dessen Konfigurationsdatei (Abschnitt [mysqld]) die bind-address auf 127.0.0.1 stellen. MySQL lauscht dann nur noch dort und Verbindungen gehen nur über localhost (oder alles, was auf diese IP-Adresse auflöst). Auch den Apachen kannst du auf den localhost einschränken, wenn du nur von diesem Rechner aus zugreifen willst. Dazu wäre die Listen-Direktive auf 127.0.0.1:80 zu setzen. Allerdings musst du alle Konfigurationsdateien danach durchsuchen. Vermutlich ist auch noch SSL konfiguriert, was du auch deaktivieren kannst, wenn du kein HTTPS machen willst (LoadModule ssl_... auskommentieren).
Ansonsten ist das da alles drin im XAMPP-Paket: Apache, MySQL, PHP + PEAR, Perl, mod_php, mod_perl, mod_ssl, OpenSSL, phpMyAdmin, Webalizer, Mercury Mail Transport System for Win32, Ming, FileZilla FTP Server, mcrypt, eAccelerator, SQLite, WebDAV.
Alles ausschalten, was du nicht benötigst. Perl? Weg damit. Willst du mit PHP Mails versenden? Nein? Dann den Mercury deaktivieren. Einen FTP-Server? Wolltest du auch nicht haben. (FTP- und Mail-Server sind eigenständig, kein Apache-Modul.) WebDAV hatten wir ja schon. Der Rest ist für Verbindungen nicht relevant.
Lo!