Egen WebServer

[SanSan]

Tenkte sette opp egen WebServer

 

Hvor sikkert er dette?

 

Er det stor riskio å ha det, tenker på hacking, virus om noen kan få tilgang til andre filer på pc, kræsje maskinen min osv

 

Har ikke mulighet til å ha servern på egen maskin akkurat nå

[BlueEAGLE]

I utgangspunktet så må du regne med at en server med standardoppsett i all hovedsak gir alle full tilgang til alt. Det er en sannehet med veldig mange modifikasjoner, men det er en god plass å begynne.

 

Det neste spørsmålet er om du skal sette opp en egen server (maskinvare) og gi tilgang på din egen nettlinje. Hvis du skal det så må du begynne med å velge operativsystem. Før du velger operativsystem så har du tre-fire bøker å lese om sikkerhetsrisikoer på forskjellige platformer (Windows, BDS, Linux sov.). Når du har valgt operativsystem så må du velge netttjener. Her har du et par bøker til å lese, men Apache og IIS (hvis du velger Windows) er de største tjenerene. Når du har valgt tjenere så må du velge hvilke tilleggstjenester som skal være tilgjengelig. Skriptspråk som PHP, Ruby, Perl, ASP osv har alle risikomomenter tilknyttet seg. Når du har valgt det så må du se på innholdssystem. PHPNuke, PHPBB, Wordpress og hva pokker annet som har kommet siden jeg drev med dette er alle ting som har ulike sikkerhetsproblemer. En person beskrev Wordpress som "an unauthenticated remote shell that also features a blogging system".

 

Dette er ikke noe for nybegynnere og sikkerhetskopier av all data som skapes er et must for før eller siden så vil noen vandalisere enten nettsidene eller hele serveren.

[blackbrrd]

Det var nå litt å dra på angående defaultene. Hvis du installerer f.eks CentOS, så kjører den i utgangspunktet SELinux og du må eksplisitt gi tilgang til hver minste ting. Som igjen gjør at det første mange tutorialer foreslår er å skru av SELinux som nok ikke er like smart.

[siDDis]

Nå er det heller ikkje ofte sikkerheitsfeil av den alvorlege typen i verken Apache, IIS eller NginX. Det fleste sikkertheitsfeila ligger i applikasjonen som køyre bak webserveren.

[BlueEAGLE]

Nå er det heller ikkje ofte sikkerheitsfeil av den alvorlege typen i verken Apache, IIS eller NginX. Det fleste sikkertheitsfeila ligger i applikasjonen som køyre bak webserveren.

Poteito, tomato. En standardkonfigurert apache-server lar deg liste opp mappeinnhold og sist jeg installerte PHP på en server så gikk den gladelig utenfor document root for å hente filer.

[siDDis]

Det kalles brukarfeil, og er noko du aldri kan sikre deg mot.

 

Dessuten så er ikkje standard Apache oppsett usikkert, eller lar deg liste opp mappeinnhald.utanfor spesifisert område.

[BlueEAGLE]

Det kalles brukarfeil, og er noko du aldri kan sikre deg mot.

 

Dessuten så er ikkje standard Apache oppsett usikkert, eller lar deg liste opp mappeinnhald.utanfor spesifisert område.

Det er som å si at biler i seg selv er helt trygge. Det er en grunn til at man har så strenge krav til førerkort, for selv om de i seg selv er trygge så er det lett for de som ikke vet hva de driver med å gjøre stor skade både på seg selv og andre.

[siDDis]

Ein bil og ein webserver samanlikning er noko heilt anna. Det blir som å beskytte webserveren din mot ein bombe som den neppe vil overleve uansett.

[Terrasque]

Støtter siDDis her. En webserver har som oftest et ganske sikkert standard oppsett, og de populære serverene har ekstremt liten sjangs for seriøse sikkerhetsfeil.

 

Når det er sagt, så kan man lett lage store hull i systemet når man endrer konfigurasjonen. Men som oftest så er problemet med appene som kjører bak webserveren. Og PHP er desverre et språk det er ganske lett å gjøre sikkerhetsfeil i.

[BlueEAGLE]

Selv om spørsmålet som blir stilt er hvorvidt Apache eller IIS er sikkert eller ikke, så er det ikke det trådstarter lurer på. Han vil publisere ting mot internett og har aldri gjort noe som likner på dette før. Da er ikke hovedproblemstillingen hvor sikker Apache er når <sett inn innholdssystem her> er full i hull.

 

Hvis du ikke forstår sikkerhetsaspektene og de største angrepsvektorene som eksisterer på internett så har du heller ikke mulighet til å unngå dem. Hvis du ikke forstår teknologien bak så blir det fort vanskelig å sikre noe som helst.

[siDDis]

TS har ikkje sagt noko om det han skal putte bak webserveren, og enn så lenge det er eit mysterium så kan me ikkje gi eit betre svar.

 

Men er det bare statiske html filer, så er han rimeleg trygg.

[Bolson]

Anerkjente publiseringsløsninger er heller ikke fulle av hull. Men her som alle andre steder handler det mye om alltid å være oppdatert, samt ikke ukritisk installere alt mulig rart.

 

Man trenger heller ikke å forstå alt for å sikre seg godt, man kan komme langt med sunt vett og noe forsiktighet. De som vedlikeholder og overvåker Apache, IIS, WordPress, TYPO3 med mere jobber kontinuerlig for at alt skal være så sikker som mulig, og holder man programvaren oppdatert og ikke manipulerer særlig med standardinnstillinger er man jevnt over svært trygg.

[BlueEAGLE]

TS har ikkje sagt noko om det han skal putte bak webserveren, og enn så lenge det er eit mysterium så kan me ikkje gi eit betre svar.

 

Men er det bare statiske html filer, så er han rimeleg trygg.

Tror du virkelig at det er tilfelle? Han skal sette opp en webserver, men ikke legge noe inn på den? o.0

 

Det er slike råd som lager tråder som denne

 

_{Edit: Skriveleif}

Endret 5. april 2013 av BlueEAGLE

[siDDis]

Då kan han spør om det i ein anna tråd. I denne tråden spør han spesifikt om webservere og ikkje webapplikasjonar.

[kaffebryggare]

Tror du virkelig at det er tilfelle? Han skal sette opp en webserver, men ikke legge noe inn på den? o.0

Det er slike råd som lager tråder som denne

 

Les posten hans en gang til. Det var absolutt ikke det han sa.

Endret 5. april 2013 av Benny

[BlueEAGLE]

Les posten hans en gang til. Det var absolutt ikke det han sa.

 

Då kan han spør om det i ein anna tråd. I denne tråden spør han spesifikt om webservere og ikkje webapplikasjonar.

My point still stands. Det å misforstå med, selv om det til tider er moro, kan være skadelig.

[SanSan]

oisann her var det mange spennende bidrag.. skal lese gjennom dem...

 

det jeg skal bruke web serveren til er å ha et par hjemmesider.. så da trenger jeg feks apache, php, mysql (noe mer?)

 

Det jeg er redd for er at mappene på maskinen ellers skal tømmes eller at andre på noen måte skal kunne ødelegge maskinen/operativsystemet ved hacking osv

 

Regner med å ha back up på selve innholdet av hjemmesidene... men er jo redd for tilganger til maskinen ellers, utenfra, og at noe skal bli ødelagt, bakdører osv, siden maskinen vil bli brukt ellers som vanlig pc med innhold

 

det optimale er jo sikkert å en server på egen maskin men det har jeg ikke mulighet til akkurat nå...

Endret 5. april 2013 av SanSan

[Bolson]

Du har ikke tenkt på å leie webhotell eller VPS. For normale hjemmesider holder det i bøtter og spann med webhotell til noen hundrelapper i året eller en VPS til noen tusenlapper. Med webhotell trenger du knapt å tenke på sikkerheten, de mer seriøse aktørene ivaretar og overvåker den for deg.

 

Og du bør først tenke på hvordan du skal lage nettsidene, skal du lage de som statiske nettsider, skal du bruke en publiseringsløsning (WordPress, Joomla, Drupal, TYPO3) og så tenkte på hosting etterpå. Mange webhotell har alt installert det du trenger, og det finnes ferdige installeringsscript for ulike løsninger. Utvikle egne publiseringsløsninger fra bunnen av er kun interessant om det har noen hensikt med læringen (utdanning, framtidig karriere etc), faktisk vil jeg fraråde det pga spørsmål knyttet til sikkerhet.

[Sverre26]

Web10.nu

Webhotell til 15 kr i måndten