Webrechner

Aus Mikiwiki
Wechseln zu: Navigation, Suche

Ein Webrechner (engl. webhost) ist ein mit Webserver-Software ausgerüsteter Rechner, der lokal und in Firmennetzwerken, aber vorwiegend als WWW-Dienst im Internet eingesetzt wird. Dokumente können somit dem geforderten Zweck lokal, firmenintern und weltweit zur Verfügung gestellt werden.

Webrechner werden unter missverständlicher Verwendungsweise des Begriffes Server oft auch als "Webserver" bezeichnet.

Folgende Typen von Webrechnern sind üblich.

Intranet-Webrechner Rechner ohne Internetanbindung, üblicherweise mit einem LAN verbunden.
Privater oder Extranet-Webrechner Rechner mit Internetanbindung, die aber Dienste nur für eine sehr eingeschränkte Benutzerschaft anbieten.
Öffentlicher oder "Opfer"-Webrechner Verschiedenste Webrechner, auf die bekannte und unbekannte Benutzer öffentlich und jederzeit im Internet zugreifen können.

Absicherung eines Webrechners

Entfernen nicht notwendiger Netzwerkdienste

Auf viele Netzwerkdienste kann vermutlich verzichtet werden:

File Transfer Protocol / FTP Öffentliche FTP-Rechner können mit Müll überschwemmt oder als Lager für illegale Software benutzt werden. Solche Rechner sollten daher isoliert werden.
  • FTP-Verzeichnisse sollten in einem eigenen Dateisystem plaziert werden (vielleicht in einer chroot-Umgebung)
  • Bestimmte Privilegien (chmod, overwrite, delete, rename) sollten den Benutzern verweigert werden.
  • Es sollte alles geloggt werden.
finger Der Rechner wird durch das Anbieten von finger ungewollten Aktivitäten zur Informationsbeschaffung ausgesetzt.
Network File System / NFS Für öffentliche Webrechner ist NFS nicht zu empfehlen. Bei Verwendung von NFS auf einem internen Webrechner sollte folgendes befolgt werden:
  • Für Dateisysteme, die exportiert werden sollen, sollte eine eigene Partition erzeugt und die Optionen "nosuid" und "nodev" aktiviert werden.
  • Wenn möglich sollten Dateisystem im Nur-Lese-Modus exportiert werden.
  • Portmapper-Zugriff sollte auf vertrauenswürdige Rechner beschränkt werden. Dazu wird portmapper in die Liste zugelassener Rechner in "/etc/hosts.allow" eingefügt. Danach wird portmapper in "/etc/hosts.deny" eingefügt und "ALL" angegeben.
Andere RPC-Dienste Die RPC-Dienste "rpc.usersd" (der rusers-server), "rpc.walld" (der rwall-Server) und "rstatd" (der Systemstatistik-Daemon) sollten deaktiviert werden, da mit ihrer Hilfe interessante Informationen beschafft und Nachrichten an Benutzer des Rechnernetzes versandt werden können.
R-Dienste Die R-Dienste (rshd, rlogin, rwhod, rexec) haben auf öffentlichen Webrechnern nichts zu suchen.
Weitere Dienste

Im Zweifelsfall sollte der Webrechner von Port 0 bis 65535 gescannt werden. Das wird viele (aber nicht alle) laufenden Dienste offenlegen.

Änderungen durch das Deaktivieren von Diensten werden erst nach Neustart von inetd und httpd wirksam.

Mit .htaccess kann eine einfache benutzerbasierte HTTP-Authentifizierung eingerichtet werden.

Von «http://mikiwiki.org/mikiwiki/index.php?title=Webrechner&oldid=16718»