Schrift
Start · Board · Webprogrammierung mit Perl · Perl/CGI
[thread]759[/thread]

Fehler im Code oder auf dem Webserver? (Seite 3)



<< |< 1 2 3 >| >> 23 Einträge, 3 Seiten
morph
 2006-06-28 08:43
#8098 #8098
User since
2007-12-06
79 Artikel
BenutzerIn
[Homepage] [default_avatar]
[quote=ximi,27.06.2006, 09:54]Hallo,

[...] Confixx auf Plesk 8 [...][/quote]
Hi,

das Thema hat sich zwar schon erledigt, wie ich gelesen habe, und was ich hier zum Besten gebe ist komplett OT. Aber hier ist die Rede von Confixx und Plesk. Deshalb gehe ich davon aus, dass Du einen dedizierten Server (RootServer) oder einen vServer hast. Und das Thema brennt mir Bissl auf der Seele.

An einem Root solltest Du Dich über PuTTY per SSH an Deinem Server anmelden können. Dann hast Du auch Zugriff auf Dein komplettes System. Die Logdateien findest Du dann unter /var/log.
Code: (dl )
1
2
3
4
5
6
7
8
/var/log/syslog
/var/log/auth.log
/var/log/daemon.log
/var/log/apache/access.log
/var/log/apache/error.log
# Im Falle von apache2
/var/log/apache2/access.log
/var/log/apache2/error.log


Ein Sicherheits-Tipp noch, von denen ich so viele parat hätte. Aber damit kann man Bücher füllen, oder wie ich Geld verdienen. ;)

Es darf nicht möglich sein, dass root sich am Server per SSH anmeldet. Deshalb sollte ein regulärer Benutzer eingerichtet werden, dessen Name, sowie Passwort nicht so leicht zu erraten ist. Ich habe jeden Tag UserTests und RootBruteforces an meinem Server. Man meldet sich also per PuTTY unter diesem Benutzer an, und wechselt bei Bedarf dann mit "su root" zum Benutzer Root. Eine sicherheitsrelvante Begleiterscheinung ist nun, dass Du 2 Passwörter wissen musst, um Root-Zugriff zu bekommen.

Neuen Benutzer und Gruppe anlegen:
Code: (dl )
1
2
host:/root# groupadd -g 6666 benutzername
host:/root# useradd -u 6666 -g 6666 -d /home/benutzername -s /bin/bash benutzername


Die GID, bzw UID (6666) kannst Du frei wählen. Solltest halt in den Dateien /etc/group und /etc/passwd mal nachschauen, welche Nummern schon vergeben sind. Erfahrungsgemäß sollten aber 1000 bis 65533 noch frei sein. 65534 ist in der Regel der Benutzer nobody (unter Windows wäre das gast), root hat die ID 0.

Bitte dringend darauf achten, dass Du erst den regulären Benutzer anlegst und testest dass der sich am System auch anmelden kann, da Du Dich sonst gar nicht mehr am Server einloggen kannst!!!

Einstellung für den SSH Server:
Datei: /etc/ssh/sshd_config
Editor: nano (Für Neulinge recht easy zu handeln, ich nehme den vi)
Code: (dl )
1
2
PermitRootLogin no
AllowUsers benutzername


Man könnte auch noch den Server-Port ändern, aber das wäre wie mit Bazookas auf Spatzen geschossen. Wenn ein Produktiv-Server schnell sein soll, dann darf man ihm das ICMP nicht komplett verbieten, da er sonst mit Internet-Routern nicht mehr richtig kommunizieren kann. Das eignet sich also nur für Rechner an privaten Anschlüssen. Der Nachteil ist jedoch, dass man den Server dann noch portscannen kann. Beispielsweise über einen NULL-Ping, über den ich herausfinden könnte an welchen Ports Anwendungen laufen. Und dass ein RootServer KEINEN sshd laufen hat, habe ich noch nie erlebt.

Danach den SSH Server neu starten:
Code: (dl )
/etc/init.d/ssh restart


Du solltest Dich in jedem Falle mit Deinem Betriebssystem auseinandersetzen. Confixx oder Plesk reichen da bei weitem nicht aus. Wenn den Server jemand crackt und ihn für böse Zwecke einsetzt, wird Dein Anbieter alles auf DICH abschieben. Das kann mitunter sehr teuer werden.

Dringend über Firewall, bzw. Paketfilter mit Connection-Tracking nachdenken. Schlagwort "iptables". Du hast 'nen Webserver? Möchtest den vielleicht produktiv einsetzen? Dann auch nach "tcp_syncookies", bzw. Kernel Flags suchen.

Aso, damit ich's nicht vergesse. Hier noch eine gutes Forum, in dem Du oftmals sehr schnell Hilfe bekommst. Aber sei ein Bissl vorsichtig, mit den Fragen, die Du stellst. Betreiber von Rootservern, die sich mit Linux überhaupt nicht auskennen sind verpöhnt und es kann sein, dass jemand sich aufgefordert sieht Deinen Server zu Attackieren. Verwende erst mal die Suchfunktion oder Google. Meist wirst Du durch die Suche schon die Lösung Deines Problems finden.

linuxforen.de
:: Dringend lesen ::

Have A Lot Of Fun.

-uw

EDIT: Ach diese blöden Tippfehler. :-\\n\n

<!--EDIT|TbHoCne|1151480025-->
ximi
 2006-06-28 15:25
#8099 #8099
User since
2006-06-21
12 Artikel
BenutzerIn
[Homepage] [default_avatar]
Ouh ich danke dir sehr für deine Bemühung :)... aber auf meinen Server lässt sich garnicht per SSH zugreifen. Also da ich von so etwas relativ wenig ahnung habe und das einzige ist was ich drauf installieren kann sind Spieleserver und ähnliches. Somit hab ich meinem Hoster gesagt er solle bitte meinen Server so einstellen das es nicht unbedingt einfach ist dort drauf zu kommen... und als ich mal Linux in die Finger kriegte hab ich es mal mit SSH versucht und mein Hoster meinte, mein Server würde das zurück weisen.

Naja... und genausowenig konnte ich eben mein Syste, von Confixx auf Plesk umstellen ^^... aber per SSH komm ich immernoch nicht drauf ^^... Hoster meinte Sicherheitsrisiko!

Gruß
ximi
morph
 2006-06-28 15:50
#8100 #8100
User since
2007-12-06
79 Artikel
BenutzerIn
[Homepage] [default_avatar]
[quote=ximi,28.06.2006, 13:25]Hoster meinte Sicherheitsrisiko![/quote]
Meine Rede. Es ist schön zu lesen, dass es doch noch Hoster mit dem entsprechenden Sicherheitsempfinden gibt.

-uw
<< |< 1 2 3 >| >> 23 Einträge, 3 Seiten



View all threads created 2006-06-22 14:50.