![]() ![]() ![]() |
Online Suche im Handbuch | ![]() |
Viele Distributionen bieten bereits von Hause aus eine LAMP Installation an. Allen gemeinsam ist, daß man diese niemals im Internet als Server verwenden sollte. Der Apache Server alleine ist in der Minimalkonfiguration sehr sicher und sozusagen bullet proof. Problematisch wird es bei CGI-BIN´s und Datenbank-Modulen. Im Firewall Handbuch http://www.little-idiot.de/firewall/ sind Möglichkeiten beschrieben, wie man z.B. PERL CGI_BIN´s so programmieren kann, daß diese recht sicher sind. PERL bietet im sog. Taint Modus eine hohe Sicherheit, sodaß Angreifer keine Befehle in das System einschleusen können. Beim Einsatz von PHP 3/4 muß ich jedoch sagen, daß es kaum Sicherungsmöglichkeiten gibt. Der einzige Ausweg ist eine CHROOT() Umgebung, wo quasi das oberste Verzeichnis, welches ein User erreichen kann, z.B. /home/www/ ist. Auf Verzeichnisse anderer User oder sogar auf das Verzeichnis /etc/ hat ein Angreifer dann keine Zugriffsmöglichkeit mehr.
Man kann so eine quasi vom Rest des Servers gekapselte Benutzerumgebung schaffen, aus der auf gewiefte Angreifer nicht mehr entkommen können. Falls in dieser Umgebung dann der Apache und MySQL Server läuft, dann kann ein Angreifer zwar den Betrieb stören, jedoch bleiben die Log-Dateien in /var/log/ für ihn unerreichbar. Er läuft in Gefahr, entdeckt zu werden und verabschiedet sich schon deswegen von bösen Absichten.
Leider enthält keines der Handbücher über PHP, PERL oder den Apache WWW-Server Lösungsmöglichkeiten. Im Firewall Handbuch ist ausführlich ein Skript beschrieben, wie man eine CHROOT() Umgebung aufbaut. Hierzu gibt es jedoch einiges bei der Installation zu beachten:
Unser größtes Problem ist nun, Den Apache-Server, den MySQL Server, PHP und die wichtigsten Routinen unterhalb des Verzeichnisses /home/www/ ohne irgendwelche Superuser-Rechte zu installieren.
![]() ![]() ![]() |
Online Suche im Handbuch | ![]() |