vServer fürs Web - Aufsetzen

T

tomic

New Member
Hallo erstmal,

habe leider kein Thema im Forum gefunden welches meine Fragen beantwortet, deshalb erstelle ich ein neues Thema.

Ich möchte einen Server für folgende Aufgaben aufbauen:

1. 1 x Host System (Debian 5.0.5) 64bit
2. 1 x virtueller Server - DNS Server (Debian 5.0.5) 64bit
3. 1 x virtueller Server - Mail Server (Debian 5.0.5) 64bit
4. 1 x virtueller Server - MySQL Server (Debian 5.0.5) 64bit
5. 1 x virtueller Server - Apache inkl. PHP 5 - Server (Debian 5.0.5) 64bit
2. 1 x virtueller Server - Testserver (Debian 5.0.5) 64bit

Auf dem Server sollen nachher dann ca. 40 Websites laufen die am Tag zusammen um die 25 GB Traffic verursachen und ca. 9.000 Besucher haben.

Nun meine Fragen dazu:
Ich würde es gerne mit Linux vServer umsetzen. Wie würdet Ihr in Bezug auf die obenstehenden VM's die Partitionierung wählen (root, swap, var, tmp usw.)
Durch welche Sicherheitsmechanismen würde man den Server schützen? (Habe bislang nur interne Server aufgesetzt). Sollte ich, da der Server ins Rechenzentrum kommt auch an eine Firewall denken? iptables in einer weiteren VM vielleicht?

Vielen Dank im Voraus

tomiC
 
Zum Absichern:
-Iptables -> können kleineren Schmutz rausfiltern, bei Floods, DDoS und ähnlichem aber machtlos
-Mysql -> dazugehöriges PHP sicher schreiben und nur aufm localhost laufen lassen dazu mod_security beim Apache2
-Mail -> Spammassasin oder ähnliches
-Apache -> mod_security, mod_esasive, mod_redirect
-Testserver -> würde ich im Lan lassen, weil Testsachen oft Sicherheitsschwächen haben und somit nicht unbedingt etwas auf einem Produktiven System was zu suchen haben.

Gibt es einen warum du das Ganze durch vserver trennen willst? Auf diese Weise ensteht dir ja ein erheblicher Mehraufwand.

mod_security ist eine Softwarefirewall für den apache2 und blockt mit den richtigen Regeln schon vieles bevor, es überhaupt zu eine Anfrage an den Apache2 kommt. die Core Rules, oder gotroot Regeln erkennen schon sehr viel, lösen aber a) viele false Positives aus, und erkennen b) auch nicht alle Angriffe. -> Sicherheit ist halt ein fortlaufender Prozess.
 
Last edited by a moderator:
Die Frage bez. der doch recht exotischen Zusammenstellung mit virtuellen Container hab ich auch hier schon gefragt:

vServer fürs Web zusammenstellen

Hallo erstmal, habe leider kein Thema im Forum gefunden welches meine Fragen beantwortet, deshalb erstelle ich ein neues Thema. Ich bin Systemadministrator und möchte einen Server für folgende Aufgaben aufbauen: 1. 1 x Host System (Debian 5.0.5) 64bit 2. 1 x virtueller Server - DNS...
serversupportforum.de

Ich würde es gerne mit Linux vServer umsetzen.
Click to expand...
Wenn schon dann nimm OpenVZ da er gleichzeitig den kleinsten Overhead und eine recht gute Sicherheit bietet. Die Partition wird dann vom Hostsystem durchgereicht (da es durch chroot getrennt wird), der SWAP wird ebenfalls aus Performancegruenden im Host-eigenen SWAP angelegt.

iptables in einer weiteren VM vielleicht
Click to expand...
IPtables-Regeln gehoeren in den Host ;) Der muss ja eh den Traffic (D)NAT'en oder routen

Sollte ich, da der Server ins Rechenzentrum kommt auch an eine Firewall denke
Click to expand...
Sollte ich da mein Haus in der Stadt ist auch an ein Tuerschloss denken?
Da Linux bereits eine Firewall mitliefert sofern nicth explizit deaktiviert (iptables) ist die Antwort klar =)



-Iptables -> können kleineren Schmutz rausfiltern, bei Floods, DDoS und ähnlichem aber machtlos
Click to expand...
Haengt von der Angriffsmethode ab. Hier hatte ich mal eine etwas laengere Antwort desbezueglich verfasst:

Allgemeine Fragen zum Thema DDoS

Hallo Community, ich wollte fragen ob es hier jemanden gibt der auf dem Gebiet DDoS bewandert ist. Daher möchte ich euch ein paar Fragen stellen. Ich bin über jede Antwort froh. Frage 1: Welche Arten von DDoS gibt es und wie unterscheiden sich diese? Frage 2: Was tut ihr als...
serversupportforum.de

Mysql -> dazugehöriges PHP sicher schreiben und nur aufm localhost laufen lassen dazu mod_security beim Apache2
Click to expand...
Bei kritischen Anwendungen kannst du auch eine Datenbank-Firewall einsetzen welche nur "erlaubte" Queries durchlaesst.
SIcherheit im oeffentlichen Programmteil ist aber das A und O
Hier sind die Top10 SIcherheitsloecher in Web-Anwendungen: http://www.heise.de/developer/artik...Web-Application-Security-Project-1028905.html
 
You must log in or register to reply here.
Back
Top