Webrechner: Unterschied zwischen den Versionen
Michi (Diskussion | Beiträge) (Die Seite wurde neu angelegt: Ein <b>Webrechner</b> (engl. webhost) ist ein mit Webserver-Software ausgerüsteter Rechner, der lokal und in Firmennetzwerken, aber vorwiegend als WWW-Dienst i...) |
Michi (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
Zeile 1: | Zeile 1: | ||
Ein <b>Webrechner</b> (engl. webhost) ist ein mit [[Webserver]]-Software ausgerüsteter [[Rechner]], der lokal und in Firmennetzwerken, aber vorwiegend als WWW-Dienst im Internet eingesetzt wird. Dokumente können somit dem geforderten Zweck lokal, firmenintern und weltweit zur Verfügung gestellt werden. | Ein <b>Webrechner</b> (engl. webhost) ist ein mit [[Webserver]]-Software ausgerüsteter [[Rechner]], der lokal und in Firmennetzwerken, aber vorwiegend als WWW-Dienst im Internet eingesetzt wird. Dokumente können somit dem geforderten Zweck lokal, firmenintern und weltweit zur Verfügung gestellt werden. | ||
Webrechner werden | Webrechner werden unter missverständlicher Verwendungsweise des Begriffes [[Server]] oft auch als "Webserver" bezeichnet. | ||
Folgende Typen von Webrechnern sind üblich. | |||
Folgende Typen von | |||
{| class=wikitable width=100% | {| class=wikitable width=100% | ||
Zeile 16: | Zeile 12: | ||
| <b>Öffentlicher oder "Opfer"-Webrechner</b> || Verschiedenste Webrechner, auf die bekannte und unbekannte Benutzer öffentlich und jederzeit im Internet zugreifen können. | | <b>Öffentlicher oder "Opfer"-Webrechner</b> || Verschiedenste Webrechner, auf die bekannte und unbekannte Benutzer öffentlich und jederzeit im Internet zugreifen können. | ||
|} | |} | ||
== Absicherung eines Webrechners == | |||
=== Entfernen nicht notwendiger Dienste === | |||
Auf viele Netzwerkdienste kann vermutlich verzichtet werden: | Auf viele Netzwerkdienste kann vermutlich verzichtet werden: |
Version vom 28. Januar 2009, 21:15 Uhr
Ein Webrechner (engl. webhost) ist ein mit Webserver-Software ausgerüsteter Rechner, der lokal und in Firmennetzwerken, aber vorwiegend als WWW-Dienst im Internet eingesetzt wird. Dokumente können somit dem geforderten Zweck lokal, firmenintern und weltweit zur Verfügung gestellt werden.
Webrechner werden unter missverständlicher Verwendungsweise des Begriffes Server oft auch als "Webserver" bezeichnet.
Folgende Typen von Webrechnern sind üblich.
Intranet-Webrechner | Rechner ohne Internetanbindung, üblicherweise mit einem LAN verbunden. |
Privater oder Extranet-Webrechner | Rechner mit Internetanbindung, die aber Dienste nur für eine sehr eingeschränkte Benutzerschaft anbieten. |
Öffentlicher oder "Opfer"-Webrechner | Verschiedenste Webrechner, auf die bekannte und unbekannte Benutzer öffentlich und jederzeit im Internet zugreifen können. |
Absicherung eines Webrechners
Entfernen nicht notwendiger Dienste
Auf viele Netzwerkdienste kann vermutlich verzichtet werden:
- File Transfer Protocol / FTP: Öffentliche FTP-Rechner können mit Müll überschwemmt oder als Lager für illegale Software benutzt werden. Solche Rechner sollten daher isoliert werden.
- finger: Das System wird durch das Anbieten von finger ungewollten Aktivitäten zur Informationsbeschaffung ausgesetzt.
- Network File System / NFS: Für öffentliche Webrechner ist NFS nicht zu empfehlen. Bei Verwendung von NFS auf einem internen Webrechner sollte folgendes befolgt werden:
- Für Dateisysteme, die exportiert werden sollen, sollte eine eigene Partition erzeugt und die Optionen "nosuid" und "nodev" aktiviert werden.
- Wenn möglich sollten Dateisystem im Nur-Lese-Modus exportiert werden.
- Portmapper-Zugriff sollte auf vertrauenswürdige Rechner beschränkt werden. Dazu wird portmapper in die Liste zugelassener Rechner in "/etc/hosts.allow" eingefügt. Danach wird portmapper in "/etc/hosts.deny" eingefügt und "ALL" angegeben.
- Andere RPC-Dienste: Die RPC-Dienste rpc.usersd (der rusers-server), rpc.walld (der rwall-Server) und rstatd (der Systemstatistik-Daemon) sollten deaktiviert werden, da mit ihrer Hilfe interessante Informationen beschafft und Nachrichten an Benutzer des Netzwerks versandt werden können.
- R-Dienste: Die R-Dienste (rshd, rlogin, rwhod, rexec) haben auf öffentlichen Webrechnern nichts zu suchen.
- Andere Dienste
Im Zweifelsfall sollte der Webrechner von Port 0 bis port 65535 gescannt werden. das wird viele (aber nicht alle) laufenden Dienste offenlegen.
Änderungen durch das Deaktivieren von Diensten werden erst nach Neustart von inetd und httpd wirksam.
Mit .htaccess kann eine einfache benutzerbasierte HTTP-Authentifizierung eingerichtet werden.