Frage zur Konfiguration Rootserver - Sicherheit

[andreas_63]

Guten Tag,
jetzt muss ich euch doch einmal mit einer Sicherheitsfrage belästigen.
Das Thema wird ja hier ausführlich behandelt, nur für mich stellen sich doch noch einige Fragen.
Betreibe einen Rootserver mit Suse 9.3. und Plesk 8.1. bei 1und1 und war bis gestern der Meinung, das alles soweit als möglich sicher ist, da dieser Server seit nunmehr 4 Jahren ohne Problem läuft (3 Typo3 Installationen, 2 statische HTML Seiten, alles mit PHP4 MySql) und ich bisher noch keinerlei Problem mit gehacktem Server etc. hatte. Hatte ich nun Glück oder ist die Kiste wirklich so sicher? Bei 1und1 gibt es ja für jeden Rootserver eine externe Firewall, Register Globals sind bei mir off, sonstige "gefährliche" PHP Funktionen sind abgeschaltet und alle Passwörter, ob FTP, SSH und so weiter sind so lang, das man diese per Hand kaum noch eingeben kann.
Warum ich trotzdem grße Bauchschmerzen seit gestern habe:
2 Bekannte, denen ich wirklich vertrauen kann, sind studierte Sysadmins in Sachen Linux. Ich habe sie mal gebeten meine Serverkonfiguration mal anzuschauen, nun beide habe komplett 2 verschieden Meinungen und ich 2 Fragezeichen mehr.
1. Standardkonfiguration Apache User wwwrun Group www
Typo3 läuft unter FTP User (z.B. Besitzer KundeX) Gruppe psacln Rechte 770
Der eine sagt: sicher der andere das Gegenteil

2. Konfiguration Apache User wwwrun Group www
Rechte Besitzer wwwrun Gruppe www Rechte 755
Der eine sagt: sicher der andere das Gegenteil
da es ja heist, das der Systembenutzer am besten überhaupt keine Schreibrechte bekommen soll, nur dann funzt Typo3 ja nicht mehr

3. Konfiguration Apache User www Group psacln
Besitzer KundeX Gruppe psacln Rechte 770
Der eine sagt: sicher der andere das Gegenteil

Tja und nun frage ich euch, wie handhabt Ihr das denn nun, bin ich zu dämlich oder gibt es wie immer mehrer Wege nach Rom?

Wenn schon die Sysadmins verschiedene Meinungen haben?

Ein paar Tipps würden mir schon reichen.

Danke
andreas_63

 

[Superadmin]

Das wichtigste überhaupt, laß Dich nicht von irgendwelchen Leuten irre machen.
Diese Informatikheinis sind auch nicht der Stein der Weisen.
Dein Server läuft, also hast Du bisher nix falsch gemacht.
Lass ihn einfach laufen, was auch immer passiert das passiert sowieso.
Die vergeudete Lebenszeit stundenlang vor dem Rechner zu sitzen und irgendwelche verqueren Sicherheitskonzepte auszuprobieren, die im Endeffekt nur dazu führen das der Server schlechter läuft oder gar nicht mehr.
Wozu?
Sicher Deine Datenbanken regelmäßig, der Rest ist eine Kleinigkeit wenn es mal schief geht und dauert garantiert nicht solange, wie diese ganzen merkwürdigen unausgegorenen und teilweise nicht ungefährlichen "Sicherheitsrezepte" umzusetzen.
Kurz, genieße Dein Leben, es dauert nur eine begrenzte Zeit.

 

[andreas_63]

Danke,
irgendwie hast Du recht.
Absolute Sicherheit gibt es eh nicht gelle.

Ist wohl wirklich so, 3 Stühle, 100 Meinungen.

Schönes WE noch

Gruß

andreas_63

 

[amnesie]

Meine Meinung mal dazu: Es ist gut, wenn du es hinkriegen kannst, daß du für "world" keine Lese- und Schreibrechte vergeben musst. Daher ist die Standard-Config schonmal ganz gut.

Ich würde die Config so lassen, wie sie ist.

 

[andreas_63]

Meine Meinung mal dazu: Es ist gut, wenn du es hinkriegen kannst, daß du für "world" keine Lese- und Schreibrechte vergeben musst. Daher ist die Standard-Config schonmal ganz gut.

Leserechte muss ich vergeben und die Schreibrechte kann ich nur mit Konfiguration 2 entziehen, sonst funzt es nicht.

Danke

 

[Guin]

Das wichtigste überhaupt, laß Dich nicht von irgendwelchen Leuten irre machen.

Okay.

Diese Informatikheinis sind auch nicht der Stein der Weisen.

Kann ich noch gelten lassen.

Dein Server läuft, also hast Du bisher nix falsch gemacht.

Gewagte Hypothese.

Lass ihn einfach laufen, was auch immer passiert das passiert sowieso.

Das ist fahrlaessig. Zumindest, wenn es so ohne Zusatz stehen bleibt.

@andreas_63:
Halte deine Software auf dem Server aktuell. Z.B. ein PHP4.1 ist nichtmehr unbedingt zeitgemaess.
Gegen XSS hilft ModSecurity einigermassen (wenn die dazugehoerigen Regeln passen, gotroot.com ist dafuer eine gute Anlaufstelle)
Gegen Unzulaenglichkeiten von PHP bietet Suhosin ein wenig Schutz.

Wenn jemand ersthaft deinen Server hacken will, gelingt dies bestimmt auch irgendwie. Aber die Muehe macht sich niemand, solange du keine wertvollen Geheimnisse auf dem Server hast, oder sehr bekannt bist.
Die Abwermassnahmen gelten eher den Skriptkiddies und Bot, die zu Hauf das Netz nach anfaelligen Servern durchsuchen.

 

[andreas_63]

Hallo,

Nunja, ich habe z.B. diese Funktionen hier auf disable stehen,

system, shell_exec, show_source, diskfreespace, disk_free_space, proc_open, set_time_limit, link, pfsockopen, popen,

und alles was irgendwie nicht unbedingt benötigt wird, erst gar nicht installiert.
Bin schon von Joomla (viel zu viele Sicherheitsupdates , und das pro Monat) zu Typo3 gewechselt (bedeutend sicherer).
Klar ist mir auch, wenn jemand "rein" will, kommt er rein, nur will ich mir dann keine Vorwürfe machen müssen, das ich zu dämlich bin, einen Server zu warten.
Arbeite auch im Büro inklusive alle Mitarbeiter nur auf Linux Maschinen und denke das ich etwas Überblick habe.
Mit mod_security habe ich mich auch schon befasst, nur traue ich mich noch nicht so richtig, auf einem laufendem System dieses zu installieren.
Da ich aber wohl in 3 Monaten einen zusätzlichen neuen Server benötige, werde ich es da einmal aufsetzen.
Da werde ich mich garantiert hier wieder melden.
Ansonsten werde updates immer sofort von mir manuell eingespielt, ist ja eigentlich auch eine Selbstverständlichkeit.

Gruß

andreas_63

 

[Roger Wilco]

Nunja, ich habe z.B. diese Funktionen hier auf disable stehen

Da fehlen z. B. schonmal exec() und passthru()...

 

[andreas_63]

Da fehlen z. B. schonmal exec() und passthru()...

Richtig, werden leider benötigt, sonst funzt Typo3 nicht,
sonst hätte ich noch mehr auf disable gesetzt.

Bei CM Systemen ist das ja leider immer so eine Sache, man kann diese oben genannten Funkionen durchaus abschalten, aber der Kunde kann dann seine Seite nicht mehr selbst administrieren, um dies zu können hat er eben ein CM System..

Habe auch schon überlegt auf Microsoft Server mit ASP .NET umzusteigen, aber ich glaube, da schieß ich mir erst recht in's Knie.

Ich denke, eine gewisse Grundsicherung ist da, sonst wäre wohl schon längst mal was passiert, MODSECURITY kommt dann auch noch.
Bezüglich PHP: iost es sinnvoll auf PHP 6 zu warten oder ist die aktuelle PHP 5 erstmal ausreichend, vor allen Dingen in bezug auf den Safe Mod und den Register Globals (die stehen auf off bei mir).

Danke

 

[Guin]

Bezüglich PHP: iost es sinnvoll auf PHP 6 zu warten oder ist die aktuelle PHP 5 erstmal ausreichend

Die Frage ist eher, kannst du dann mit php6 umgehen?
Die ganzen "Sicheheitskonzepte" mit safe_mode und open_basedir fallen dort weg und muessen von Webserverseite aus geregelt werden.

Wenn Du die Neuerungen von PHP5 nicht benotigst, kannst du statt 5.2 auch weiterhin 4.4.4 (stable Version zur Zeit des Schreibens) nutzen.

 

[andreas_63]

Die Frage ist eher, kannst du dann mit php6 umgehen?
Die ganzen "Sicheheitskonzepte" mit safe_mode und open_basedir fallen dort weg und muessen von Webserverseite aus geregelt werden.

Wenn Du meinst, da man manuell in einer vhost.conf das eine oder andere regeln kann, dann sage ich ja, denn das mache ich ja schon jetzt.

So, die Familie ruft. gibt doch noch ein Leben außerhalb von Servern etc.

Ich bedanke mich bei euch allen, die mir helfen und geholfen haben.
Werde eure Hilfe sicherlich irgendwann einmal wieder in Anspruch nehmen müssen.

Gruß

andreas_63