Hallo,
ich habe hier in meinem LAN einen rechner auf dem ubuntu mit apache,php5 und mysql läuft. Nun will ich, dass dieser nur im lan erreichbar ist und nicht über internet.
Dazu habe ich ssh installiert und die üblichen einstellungen vorgenommen (allowrootlogin no, port umgestellt etc..). Apache auf einen anderen port (8080). Mysql mit pw gesichert. Weiter habe ich in hosts.deny ALL und in hosts.allow eine lan ip eingetragen, von der aus ich drauf will, eingetragen

Jetzt wollte ich fragen, ob das reicht, oder muss ich den apache noch weiter sichern?
Ansonsten laufen keine dienste die weitere angriffsfläche bieten. nmap zeigt mir nur den apache port offen (obwohl ssh noch auf 65514 läuft)

freue mich auf anregungen und ideen.
viele grüße

hi!

bevor jeden dienst verstellst leg doch einfach ein iptables-regelwerk an bei dem nur ips aus dem lan erlaubt werden...

hth,
//richard

wie bist Du denn überhaupt an's Internet angebunden?

hallo,
danke für die antworten.
@derRichard: mittlerweile bin ich froh, dass ich nun grundegende sachen hinbekomme, doch an iptables habe ich mich noch nicht rangetraut.
zumal ich nicht sämtlichen tvp traffic abriegeln möchte. mit firefox würde ich auf dieser kiste schon gerne weiter surfen..

@marce:der server ist hinter einem dsl speedport(*.*.2.1) und linksys router (*.*.2.2).gateway ist speedport. als verbindung habe ich dsl200.

gruß

dann sollte der Server doch eh schon vom Internet getrennt sein. Jeder Router, den ich kenne, hat dafür eine entsprechende Firewall am Board.

klar im prinzip sollte der router seinen teil machen. und trotzdem habe ich auf einem anderen rechner in diesem netzwerk mir letztens einen trojaner eingefangen, deshalb bin ich darauf bedacht selbst zu schauen, dass der server nicht für jedes sript kiddie erreichbar ist.
die frage ist, inwieweit hosts.deny mich hier schützt gegen anfragen von aussen..(reicht das evtl. schon, ohne iptables?)

gruß

Wenn die Firewall des Routers dicht ist ist sie dicht. Da kommt, solange Du nichts freigeschalten hast auch keiner durch.

Trojaner kommen durchs surfen - das ist aber dann ein Problem, welches Du anderweitig lösen musst, da hilft keine Firewall.

Ansonsten: Zusätzlich kannst Du ssh noch sagen, es soll nur Anfragen von bestimmten IP-Adressen oder einem bestimmten Netz annehmen, ebenso MySQL und dem Apachen. Einen Sicherheitsgewinn sehe ich darin nicht. Wenn jemand es schafft, die Firewall des Routers zu knacken ist er im Netz und damit im freigeschalteten IP-Bereich. Wenn er über einen Trojaner Kontroller über deinen Rechner erlangt - ebenso.

Dagegen hilft nur Brain 2.7 in Verbindung mit Patches und Updates.

ok verstehe. dann sollte das soweit passen.
es ist auch nicht so, dass ich auf dem server sensible daten hätte.
ich will das ding nur nicht als spamschleuder vergewaltigt sehen ;-)

danke vielmals für eure hilfe !!!