Ich fände es darüber hinaus interessant, wenn ein Hosting-Anbieter seinen Kunden eine zumindest rudimentäre Liste zur Hand gibt, um gehostete Server (dediziert/VSERVER) abzusichern.
Aus eigener Erfahrung weiß ich, dass Benutzer/Kunden durchaus gewillt sind, auf Empfehlungen zu hören, wenn man ihnen diese in einer leicht zugreifbaren und verständlichen Form zur Verfügung stellt. Da z.B. VSERVER ohnehin mit einem Grundpaket an Software-Paketen wie PHP kommt, wäre es doch für beide Seiten vorteilhaft, wenn man den Kunden über wenigstens die wichtigsten (sicherheitsrelevanten) Einstellungen informiert. Auch andere Kunden (wie ich!
) haben Vorteile davon, wenn die Hosting-"Nachbarn" halbwegs abgesicherte Server verwenden.
Als Beispiel:
- "Wir empfehlen Ihnen aus Sicherheitsgründen bei der Verwendung von PHP die Aktivierung des sog. safe_mode und die Deaktivierung von register_globals. Siehe Artikel XYZ."
- "Aus Sicherheitsgründen empfehlen wir für PHP-basierte Forumsoftware nicht den Einsatz von phpBB, sondern stattdessen <VBulletin, IPB, SMF,...>""
Oder auch:
- "Sie sind dafür verantwortlich, die auf Ihrem Server eingesetzte Software zu aktualisieren und abzusichern. Hinweis für VSERVER SUSE Kunden: Es gibt ein bekanntes Problem mit VSERVER SUSE 9.0 und der Verwendung des Yast Online Updates (YOU)..."
Wenn laut mbroemme ca. 70% der bei S4Y aufgetretenen DoS-Attacken auf phpBB-Exploits oder andere PHP-Schwachstellen zurückzuführen sind, so hätten IMHO doch beide Seiten einen definitiven Vorteil von einer solch simplen Maßnahme.
Selbst wenn ein Kunde diese Ratschläge bewusst oder unbewusst beim ersten DoS-Vorfall nicht befolgt hat, kann man ihn seitens S4Y wenigstens danach auf die o.g. Informationen hinweisen. Von sinnvollen Default-Einstellungen ganz zu schweigen (nicht, dass es in diesem Bereich nicht schon welche gibt).
