ThomasChr
Active Member
Hallo Forum,
ich hab schon den einen oder anderen Server in Betrieb und wollte mal eure Meinung wissen.
Fangen wir mit dem ketzerischen an:
Meiner Meinung nach ist ein Server sicher wenn
a) seine nach außen offenen Dienste aktuell sind (SSH, MAIL, WEB...), und
b) alle Anmeldedaten für diese Dienste (FTP-Zugänge, SSH-Zugänge, ...) starke Passwörter aufweisen.
So einfach.
Was meiner Meinung nach heutzutage das Hauptproblem ist (und da hilft kein Fail2Ban, PortKnock und SSH-KeyAuthentifizierung): PHP und Co.
Die beiden oberen Punkte a) + b) kann ich relativ einfach sicherstellen. Nur überblicken welche PHP-Software welche Lücken hat halte ich für fast unmöglich.
Letzendlich bedeutet eine kleine Lücke in irgendeiner Zeile PHP-Code schon das jemand den Server mit einem Mailingscript als Spamschleuder verwendet.
Sicherlich sollten entsprechende Linux-Rechte und open_basedir() den Ausbruch aus der Webumgebung verhindern - aber die Spamschleuder hab ich trotzdem.
Und das aktuell halten aller PHP-Softwareprodukte (die teilweise evtl. von Kunden installiert werden) ist nicht machbar.
Man könnte jetzt allerhöchstens noch den Mailserver so konfigurieren dass er nicht gleich zur Spamschleuder wird wenn irgendwo ein Spam-PHP Script um die Ecke kommt..., oder?
Eigentlich wollt ich nur die Bestätigung dass sowas wir Portknocking und Key-Authentifizierung vom SSH am Spam-Problem vorbei geht.
Und wenn die SSH Passwörter stark sind braucht man imho das drumrum nicht.
Sehe ich das sooo falsch ?
Thomas
ich hab schon den einen oder anderen Server in Betrieb und wollte mal eure Meinung wissen.
Fangen wir mit dem ketzerischen an:
Meiner Meinung nach ist ein Server sicher wenn
a) seine nach außen offenen Dienste aktuell sind (SSH, MAIL, WEB...), und
b) alle Anmeldedaten für diese Dienste (FTP-Zugänge, SSH-Zugänge, ...) starke Passwörter aufweisen.
So einfach.
Was meiner Meinung nach heutzutage das Hauptproblem ist (und da hilft kein Fail2Ban, PortKnock und SSH-KeyAuthentifizierung): PHP und Co.
Die beiden oberen Punkte a) + b) kann ich relativ einfach sicherstellen. Nur überblicken welche PHP-Software welche Lücken hat halte ich für fast unmöglich.
Letzendlich bedeutet eine kleine Lücke in irgendeiner Zeile PHP-Code schon das jemand den Server mit einem Mailingscript als Spamschleuder verwendet.
Sicherlich sollten entsprechende Linux-Rechte und open_basedir() den Ausbruch aus der Webumgebung verhindern - aber die Spamschleuder hab ich trotzdem.
Und das aktuell halten aller PHP-Softwareprodukte (die teilweise evtl. von Kunden installiert werden) ist nicht machbar.
Man könnte jetzt allerhöchstens noch den Mailserver so konfigurieren dass er nicht gleich zur Spamschleuder wird wenn irgendwo ein Spam-PHP Script um die Ecke kommt..., oder?
Eigentlich wollt ich nur die Bestätigung dass sowas wir Portknocking und Key-Authentifizierung vom SSH am Spam-Problem vorbei geht.
Und wenn die SSH Passwörter stark sind braucht man imho das drumrum nicht.
Sehe ich das sooo falsch ?
Thomas