Webrechner

Aus Mikiwiki
Version vom 28. Januar 2009, 21:13 Uhr von Michi (Diskussion | Beiträge) (Die Seite wurde neu angelegt: Ein <b>Webrechner</b> (engl. webhost) ist ein mit Webserver-Software ausgerüsteter Rechner, der lokal und in Firmennetzwerken, aber vorwiegend als WWW-Dienst i...)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Ein Webrechner (engl. webhost) ist ein mit Webserver-Software ausgerüsteter Rechner, der lokal und in Firmennetzwerken, aber vorwiegend als WWW-Dienst im Internet eingesetzt wird. Dokumente können somit dem geforderten Zweck lokal, firmenintern und weltweit zur Verfügung gestellt werden.

Webrechner werden fälschlicherweise oft auch als "Webserver" bezeichnet.

Absicherung eines Webrechners

Entfernen nicht notwendiger Dienste

Folgende Typen von Webrechner sind üblich.

Intranet-Webrechner Rechner ohne Internetanbindung, üblicherweise mit einem LAN verbunden.
Privater oder Extranet-Webrechner Rechner mit Internetanbindung, die aber Dienste nur für eine sehr eingeschränkte Benutzerschaft anbieten.
Öffentlicher oder "Opfer"-Webrechner Verschiedenste Webrechner, auf die bekannte und unbekannte Benutzer öffentlich und jederzeit im Internet zugreifen können.

Auf viele Netzwerkdienste kann vermutlich verzichtet werden:

  • File Transfer Protocol / FTP: Öffentliche FTP-Rechner können mit Müll überschwemmt oder als Lager für illegale Software benutzt werden. Solche Rechner sollten daher isoliert werden.
    • FTP-Verzeichnisse sollten in einem eigenen Dateisystem plaziert werden (vielleicht in einer chroot-Umgebung)
    • Bestimmte Privilegien (chmod, overwrite, delete, rename) sollten den Benutzern verweigert werden.
    • Es sollte alles geloggt werden.
  • finger: Das System wird durch das Anbieten von finger ungewollten Aktivitäten zur Informationsbeschaffung ausgesetzt.
  • Network File System / NFS: Für öffentliche Webrechner ist NFS nicht zu empfehlen. Bei Verwendung von NFS auf einem internen Webrechner sollte folgendes befolgt werden:
    • Für Dateisysteme, die exportiert werden sollen, sollte eine eigene Partition erzeugt und die Optionen "nosuid" und "nodev" aktiviert werden.
    • Wenn möglich sollten Dateisystem im Nur-Lese-Modus exportiert werden.
    • Portmapper-Zugriff sollte auf vertrauenswürdige Rechner beschränkt werden. Dazu wird portmapper in die Liste zugelassener Rechner in "/etc/hosts.allow" eingefügt. Danach wird portmapper in "/etc/hosts.deny" eingefügt und "ALL" angegeben.
  • Andere RPC-Dienste: Die RPC-Dienste rpc.usersd (der rusers-server), rpc.walld (der rwall-Server) und rstatd (der Systemstatistik-Daemon) sollten deaktiviert werden, da mit ihrer Hilfe interessante Informationen beschafft und Nachrichten an Benutzer des Netzwerks versandt werden können.
  • R-Dienste: Die R-Dienste (rshd, rlogin, rwhod, rexec) haben auf öffentlichen Webrechnern nichts zu suchen.
  • Andere Dienste

Im Zweifelsfall sollte der Webrechner von Port 0 bis port 65535 gescannt werden. das wird viele (aber nicht alle) laufenden Dienste offenlegen.

Änderungen durch das Deaktivieren von Diensten werden erst nach Neustart von inetd und httpd wirksam.

Mit .htaccess kann eine einfache benutzerbasierte HTTP-Authentifizierung eingerichtet werden.