Webrechner: Unterschied zwischen den Versionen

Aus Mikiwiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: Ein <b>Webrechner</b> (engl. webhost) ist ein mit Webserver-Software ausgerüsteter Rechner, der lokal und in Firmennetzwerken, aber vorwiegend als WWW-Dienst i...)
 
 
(2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
Ein <b>Webrechner</b> (engl. webhost) ist ein mit [[Webserver]]-Software ausgerüsteter [[Rechner]], der lokal und in Firmennetzwerken, aber vorwiegend als WWW-Dienst im Internet eingesetzt wird. Dokumente können somit dem geforderten Zweck lokal, firmenintern und weltweit zur Verfügung gestellt werden.
Ein <b>Webrechner</b> (engl. webhost) ist ein mit [[Webserver]]-Software ausgerüsteter [[Rechner]], der lokal und in Firmennetzwerken, aber vorwiegend als WWW-Dienst im Internet eingesetzt wird. Dokumente können somit dem geforderten Zweck lokal, firmenintern und weltweit zur Verfügung gestellt werden.


Webrechner werden fälschlicherweise oft auch als "Webserver" bezeichnet.
Webrechner werden unter missverständlicher Verwendungsweise des Begriffes [[Server]] oft auch als "Webserver" bezeichnet.


== Absicherung eines Webrechners ==
Folgende Typen von Webrechnern sind üblich.
 
=== Entfernen nicht notwendiger Dienste ===
 
Folgende Typen von Webrechner sind üblich.


{| class=wikitable width=100%
{| class=wikitable width=100%
Zeile 17: Zeile 13:
|}
|}


Auf viele Netzwerkdienste kann vermutlich verzichtet werden:
== Absicherung eines Webrechners ==
* <b>[[File Transfer Protocol]] / FTP:</b> Öffentliche FTP-Rechner können mit Müll überschwemmt oder als Lager für illegale Software benutzt werden. Solche Rechner sollten daher isoliert werden.
 
** FTP-Verzeichnisse sollten in einem eigenen Dateisystem plaziert werden (vielleicht in einer [[chroot]]-Umgebung)
=== Entfernen nicht notwendiger Netzwerkdienste ===
** Bestimmte Privilegien ([[chmod]], overwrite, delete, rename) sollten den Benutzern verweigert werden.
 
** Es sollte alles geloggt werden.
Auf viele [[Netzwerkdienste]] kann vermutlich verzichtet werden:
* <b>finger:</b> Das System wird durch das Anbieten von finger ungewollten Aktivitäten zur Informationsbeschaffung ausgesetzt.
 
* <b>[[Network File System]] / NFS:</b> Für öffentliche Webrechner ist NFS nicht zu empfehlen. Bei Verwendung von NFS auf einem internen Webrechner sollte folgendes befolgt werden:
{| class=wiki
** Für Dateisysteme, die exportiert werden sollen, sollte eine eigene Partition erzeugt und die Optionen "nosuid" und "nodev" aktiviert werden.
| <b>[[File Transfer Protocol]] / FTP</b> || Öffentliche FTP-Rechner können mit Müll überschwemmt oder als Lager für illegale Software benutzt werden. Solche Rechner sollten daher isoliert werden.
** Wenn möglich sollten Dateisystem im Nur-Lese-Modus exportiert werden.
* FTP-Verzeichnisse sollten in einem eigenen Dateisystem plaziert werden (vielleicht in einer [[chroot]]-Umgebung)
** Portmapper-Zugriff sollte auf vertrauenswürdige Rechner beschränkt werden. Dazu wird portmapper in die Liste zugelassener Rechner in "/etc/hosts.allow" eingefügt. Danach wird portmapper in "/etc/hosts.deny" eingefügt und "ALL" angegeben.
* Bestimmte Privilegien ([[chmod]], overwrite, delete, rename) sollten den Benutzern verweigert werden.
* <b>Andere RPC-Dienste:</b> Die RPC-Dienste rpc.usersd (der rusers-server), rpc.walld (der rwall-Server) und rstatd (der Systemstatistik-Daemon) sollten deaktiviert werden, da mit ihrer Hilfe interessante Informationen beschafft und Nachrichten an Benutzer des Netzwerks versandt werden können.
* Es sollte alles geloggt werden.
* <b>R-Dienste:</b> Die R-Dienste (rshd, rlogin, rwhod, rexec) haben auf öffentlichen Webrechnern nichts zu suchen.
|-
* <b>Andere Dienste</b>
| <b>finger</b> || Der Rechner wird durch das Anbieten von finger ungewollten Aktivitäten zur Informationsbeschaffung ausgesetzt.
|-
| <b>[[Network File System]] / NFS</b> || Für öffentliche Webrechner ist NFS nicht zu empfehlen. Bei Verwendung von NFS auf einem internen Webrechner sollte folgendes befolgt werden:
* Für Dateisysteme, die exportiert werden sollen, sollte eine eigene Partition erzeugt und die Optionen "nosuid" und "nodev" aktiviert werden.
* Wenn möglich sollten Dateisystem im Nur-Lese-Modus exportiert werden.
* Portmapper-Zugriff sollte auf vertrauenswürdige Rechner beschränkt werden. Dazu wird portmapper in die Liste zugelassener Rechner in "/etc/hosts.allow" eingefügt. Danach wird portmapper in "/etc/hosts.deny" eingefügt und "ALL" angegeben.
|-
| <b>Andere RPC-Dienste</b> || Die RPC-Dienste "rpc.usersd" (der rusers-server), "rpc.walld" (der rwall-Server) und "rstatd" (der Systemstatistik-Daemon) sollten deaktiviert werden, da mit ihrer Hilfe interessante Informationen beschafft und Nachrichten an Benutzer des Rechnernetzes versandt werden können.
|-
| <b>R-Dienste</b> || Die R-Dienste (rshd, rlogin, rwhod, rexec) haben auf öffentlichen Webrechnern nichts zu suchen.
|-
| <b>Weitere Dienste</b> ||
|}


Im Zweifelsfall sollte der Webrechner von Port 0 bis port 65535 gescannt werden. das wird viele (aber nicht alle) laufenden Dienste offenlegen.
Im Zweifelsfall sollte der Webrechner von Port 0 bis 65535 gescannt werden. Das wird viele (aber nicht alle) laufenden Dienste offenlegen.


Änderungen durch das Deaktivieren von Diensten werden erst nach Neustart von [[inetd]] und [[httpd]] wirksam.
Änderungen durch das Deaktivieren von Diensten werden erst nach Neustart von [[inetd]] und [[httpd]] wirksam.

Aktuelle Version vom 9. August 2009, 19:41 Uhr

Ein Webrechner (engl. webhost) ist ein mit Webserver-Software ausgerüsteter Rechner, der lokal und in Firmennetzwerken, aber vorwiegend als WWW-Dienst im Internet eingesetzt wird. Dokumente können somit dem geforderten Zweck lokal, firmenintern und weltweit zur Verfügung gestellt werden.

Webrechner werden unter missverständlicher Verwendungsweise des Begriffes Server oft auch als "Webserver" bezeichnet.

Folgende Typen von Webrechnern sind üblich.

Intranet-Webrechner Rechner ohne Internetanbindung, üblicherweise mit einem LAN verbunden.
Privater oder Extranet-Webrechner Rechner mit Internetanbindung, die aber Dienste nur für eine sehr eingeschränkte Benutzerschaft anbieten.
Öffentlicher oder "Opfer"-Webrechner Verschiedenste Webrechner, auf die bekannte und unbekannte Benutzer öffentlich und jederzeit im Internet zugreifen können.

Absicherung eines Webrechners

Entfernen nicht notwendiger Netzwerkdienste

Auf viele Netzwerkdienste kann vermutlich verzichtet werden:

File Transfer Protocol / FTP Öffentliche FTP-Rechner können mit Müll überschwemmt oder als Lager für illegale Software benutzt werden. Solche Rechner sollten daher isoliert werden.
  • FTP-Verzeichnisse sollten in einem eigenen Dateisystem plaziert werden (vielleicht in einer chroot-Umgebung)
  • Bestimmte Privilegien (chmod, overwrite, delete, rename) sollten den Benutzern verweigert werden.
  • Es sollte alles geloggt werden.
finger Der Rechner wird durch das Anbieten von finger ungewollten Aktivitäten zur Informationsbeschaffung ausgesetzt.
Network File System / NFS Für öffentliche Webrechner ist NFS nicht zu empfehlen. Bei Verwendung von NFS auf einem internen Webrechner sollte folgendes befolgt werden:
  • Für Dateisysteme, die exportiert werden sollen, sollte eine eigene Partition erzeugt und die Optionen "nosuid" und "nodev" aktiviert werden.
  • Wenn möglich sollten Dateisystem im Nur-Lese-Modus exportiert werden.
  • Portmapper-Zugriff sollte auf vertrauenswürdige Rechner beschränkt werden. Dazu wird portmapper in die Liste zugelassener Rechner in "/etc/hosts.allow" eingefügt. Danach wird portmapper in "/etc/hosts.deny" eingefügt und "ALL" angegeben.
Andere RPC-Dienste Die RPC-Dienste "rpc.usersd" (der rusers-server), "rpc.walld" (der rwall-Server) und "rstatd" (der Systemstatistik-Daemon) sollten deaktiviert werden, da mit ihrer Hilfe interessante Informationen beschafft und Nachrichten an Benutzer des Rechnernetzes versandt werden können.
R-Dienste Die R-Dienste (rshd, rlogin, rwhod, rexec) haben auf öffentlichen Webrechnern nichts zu suchen.
Weitere Dienste

Im Zweifelsfall sollte der Webrechner von Port 0 bis 65535 gescannt werden. Das wird viele (aber nicht alle) laufenden Dienste offenlegen.

Änderungen durch das Deaktivieren von Diensten werden erst nach Neustart von inetd und httpd wirksam.

Mit .htaccess kann eine einfache benutzerbasierte HTTP-Authentifizierung eingerichtet werden.