Sicherere Webserver...

[filou]

Hallo,

ich habe da mal ein paar allgemein Fragen:

Es geht um einen Server der Dienste auf Port 443/80 anbieten soll. Zudem läuft auf diesem Rechner ne MySQL und noch weitere Dienste. Die gehosteten Webseiten sind dynamisch und benutzen PHP/MySQL.

Dieser Rechner soll über eine HardwareFW ans Internet (feste IP) gehen. Die FW sperrt alle Ports, bis auf 443/80/22.

Jetzt ist die Frage aufgekommen, ob es nicht sinnvoller ist, einen zweiten Rechner zu installieren, der nur den Apache nach außen hin anbietet. Also nur die Ports 443/80. Dieser soll dann eine Verbindung zum Server mit der MySQL herstellen. Vor diesem soll dann die FW gestellt werden.

Ich frag' mich - ist das nicht gehoppst wie gesprungen ob ich nun den Rechner mit allen möglichen Diensten ans Internet bringe, oder nur den Apache auslagere ??
Im Falle eines Einbruches kann der Angreifer doch auch vom APache Rechner auf den MySQL Server kommen, odr nicht ?

mfg

[Svenny]

Mal ehrlich, ich hab ca 30 Server im Rechenzentrum stehen, alle nciht die geringste art von firewall drauf, halt nur aktuelle software und sicherheitspatches, und nur die sachen die man auch braucht.

wozu ne firewall die alle ports sperrt, wenn da eh nichts drauf hört ?

[filou]

Hallo,

naja, vorwiegend geht es mir um die Sicherheit der Daten in der SQL. Da dort Personenbezogne Daten gespeichert werden sollen.
Deshalb is es nicht so schlimm wenn mir jemand nen Apache hackt - was nicht vorkommt, hoffentlich. Wenn aber jemand auf die Daten scharf ist, diese evtl. verkauft...etc..könnte das nicht so nett sein.

mfg

[stefaan]

Servus!

Wenn der Apache einen defekt hat, dann kommt derjenige auch an die Passwörter für den SQL Server aus den PHP-Scripts...

Grüße, Stefan

[Standbye]

hmm
lass die hw firewall und den 2. rechner weg -> würd ich nur nehmen wenn du die last auf 2 server verteilen willst (größere projekte)

Firewall -> da auf dem server nur ein apache erreichbar sein wird, würd ich vorher alle anderen programme de ports aufmachen deaktivieren und deinstallieren -> dann hast du keine offenen ports auser 80/443 mehr <-- kannst di also ne firewall schenken da die ports ja eh von der firewall zugänglich gemacht werden.
Und wo kein port -> da kein angriff

Zu mysql -> kann auch lokal auf dem gleichen rechner laufen -> mysql config fire -> skip networking hilft -> mysql server ist von ausen nicht mehr erreichbar .. geht nur noch lokal!

[cane]

Eine Firewall ist schon sinnvoll, da zum Beispiel korrupte Pakete geblockt werden.

Sinnvoll wäre auch ein Kernelpatch a la Openwall / Pax der viele Buffer Overflows verhindert...

Zusätzlich Tripwire, um Konfigurationsdateien und Binaries auf Änderungen zu überprüfen und chkrootkit um das System auf eingespielte Rootkits zu überprüfen.

mfg
cane

[Standbye]

wenn schon dabei bist
/usr RO mounten

/tmp noexec nosuid mounten <-- hebelt die meisten script kiddies aus


als kernel patch empfehl ich grsecurity der is ziemlich gut (www.grsecurity.com)