V-Server mit Linux: wie am besten absichern?

[kronos]

Hallo,

ich bin in dem Thema Virtual Server noch neu und hätte da ein paar Fragen.
Aktuell hab ich mir den "V-Server Linux Level 1" von Strato mal angesehen, da ich denke dass dieser für meine Bedürfnisse ausreichen würde.

Was ich gerne machen möchte:
Auf dem Server soll z.B. git, owncloud und xwiki installiert werden. Für letzteres benötige ich eine JRE, sollte ja prinzipiell installierbar sein auf dem Server.
Ausserdem werden später irgendwann auch Kundenprojekte (Webseiten) darauf laufen, wo auch deren Domain angebunden wird.
git, ownlcoud, xwiki und die Kundenprojekte sollten alle unter verschiedenen Domains (Subdomains) erreichbar sein.

Meine Frage daher:
Ist es möglich, alle Verzeichnisse für git, ownlcoud etc. so abzusichern, dass im Worstcase (Hackerangriff einer Webseite eines Kundenprojektes durch eine Sicherheitslücke im CMS), kein Hacker oder ein bösartiges PHP-Script von Kundenprojekt A nicht auf Kundenprojekt B und auch nicht auf git oder owncloud etc. zugreifen kann?
Wie löst man sowas?

Danke und viele Grüße,
Tobi

 

[marce]

die "Lösung" hängt ein wenig von Deinem Paranoia-Level und von Deinen Kentnissen ab.

Wenn Du 100% sicherstellen willst, daß von A nicht auf B zugegriffen kann bleibt Dir nichts anderes übrig, als A und B physikalisch zu trennen (also auf ded. Server zu verteilen)

Andere Lösungen wären Chroots, Container, Abbildung über Dateirechte, ... - kommt halt immer drauf an.

... und noch der übliche Warnhinweis: Administration eines Server bedingt Zeit und KnowHow. Beides sollte man haben, _bevor_ man sich einen Server zuelegt, der offen im Internet herumhängt.

 

[kronos]

Naja, es sollten halt nicht alle Kundenprojekte oder git/owncloud betroffen sein, falls in einem Kundenprojekt ein Schadcode eingeschleust wird...

Sowas könnte ich dann quasi absichern wenn ich z.b. für jedes Verzeichnis einen eigenen User anlegen würde und diesen dann dem jeweiligen Verzeichnis als chown zuweise?

Habt ihr gute Anlaufstellen, wo ich mich reinlesen kann?

 

[Deleted member 11740]

Ein gewisse Trennung erreicht man z.B. dadurch, wenn man z.B. anstatt mod_php fgcgi für PHP einsetzt:

http://christophfischer.com/linux/12-apache/47-apache-server-mit-php-fastcgi-und-debian-50-lenny

Die Trennung der User erhöht die Sicherheit.

 

[elias5000]

Meine Empfehlung zu Kundenprojekten ist folgende:
Wenn du kein Hoster bist, hoste die Kundenprojekte nicht auf deiner Infrastruktur.

Besorge separate Infrastruktur je Kunde/Projekt die auf das Projekt abgestimmt ist. Das kann dann "einfacher" Webspace sein, ein (managed) Root oder mehrere HA-Cluster mit Geo-Loadbalancing - wie es gerade gebraucht wird.


Was genau ist die Dienstleistung, für die deine Kunden zahlen sollen? Das Erstellen der Projekte und ggf. Inhalte oder das Hosting derselben?

Das bestimmt auch maßgeblich, ob du das selber hostest, Hosting weiterverkaufst oder den Kunden das Hosting selber besorgen lässt und es ihm dann nur noch dort installierst.

 

[elias5000]

Ach ja, was ich total vergessen habe: Niemals nicht Enwicklungs-Umgebungen und Produktiv-Systeme mischen. Die mögliche Ersparnis steht in keinem Verhältnis zum Risiko.