• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Serverzugriff kontrollieren

savenius

savenius

Member
Hallo,

für meinen Lamp Server möchte ich die Zugriffe auf verschiedene Dienste kontrollieren.

Zum Beispiel owncloud von WAN aus erreichbar, aber den Zugriff für MySQL Server nur im LAN möglich machen. Geht dies überhaupt? Über meine Firewall kann ich ja nur die Ports freigeben oder freischalten. Die gehen ja aber nur über einen bestimmten Port. Über das Protokoll geht es ja auch nicht. :???:

Kann man das evtl. über einen Proxy Server umsetzen?

Gruß
 
gehrke

gehrke

Administrator
Teammitglied
Du könntest die Firewall anweisen, Zugriffe 'von aussen' lediglich auf Port 443 zuzulassen, womit https für den WebServer von ownCloud zulässig wird.
Eine weitere Regel für Port 3306 (mysql) nur für LAN ist ebenfalls denkbar.

Im Spezialfall mysql kannst Du die Datenbank selbst auch noch mal sehr fein auf Datenbankebene konfigurieren, wer von welcher IP auf welche Datenbank-Ressource zugreifen darf. AFAIK geht das runter bis auf einzelne Spalten von Tabellen.

Für einen handelsüblichen WebServer wie z.B. Apache kann man ebenfalls über die eigene Konfiguration noch vieles in Sachen Zugriffssteuerung- und Kontrolle konfigurieren, beispielsweise eine Authentifizierung.

Und vermutlich bietet ownCloud obendrauf auch noch mal etwas tiefer gehendes an, aber ich kenne das Tool nicht.
 
OP
savenius

savenius

Member
Hallo gehrte,

danke für Deine Tipps. Hab da ein paar gute Anregungen dadurch bekommen :D . Vor allem mit der Möglichkeit der Zugriffsteuerung und Authentifizierung von Apache. Da muss ich mich mal rein fuchsen ;) , denn wenn ich z.B. auf dem Server Owncloud, Ampache, Linux Dash oder phpMyAdmin drauf ist, möchte ich den Zugriff steuern.

Danke jedenfalls.
 
S

spoensche

Moderator
Teammitglied
Wenn du MySQL auf der 127.0.0.1 laufen lässt, wie es per default auch der Fall ist, dann ist MySQL von aussen nicht erreichbar. Zwecks Apache Absicherung solltest du mod_security konfigurieren.
 
gehrke

gehrke

Administrator
Teammitglied
spoensche schrieb:
Zwecks Apache Absicherung solltest du mod_security konfigurieren.
Zum Vergrößern anklicken....
mod_security?!?
Ok, gar keine schlechte Wahl. Aber ob das nicht eher für Fortgeschrittene sinnvoll ist, zumal man ja auch noch einen passenden Regelsatz braucht? Mein erster Kontakt zum CRS (OWASP) war ein ziemliches Schockerlebnis, und ich kannte zumindest mal die zu schützende Web-Application recht genau...
 
S

spoensche

Moderator
Teammitglied
gehrke schrieb:
Mein erster Kontakt zum CRS (OWASP) war ein ziemliches Schockerlebnis, und ich kannte zumindest mal die zu schützende Web-Application recht genau...
Zum Vergrößern anklicken....

In wie fern ein Schockerlebnis?

savenius schrieb:
mod_security hört sich gut an, vor allem weil es auf Anwendungsebene arbeitet. Aber wie ich mal kurz nachgelesen habe, ist das eine herausfordende Aufgabe für mich.
Zum Vergrößern anklicken....

Herausforderungen sind doch gut und zum bewältigen da. ;)
 
gehrke

gehrke

Administrator
Teammitglied
spoensche schrieb:
gehrke schrieb:
Mein erster Kontakt zum CRS (OWASP) war ein ziemliches Schockerlebnis, und ich kannte zumindest mal die zu schützende Web-Application recht genau...
Zum Vergrößern anklicken....
In wie fern ein Schockerlebnis?
Zum Vergrößern anklicken....
Mal ganz abgesehen davon, dass das ganze Thema 'Angriffstechniken auf Web-Applications' durchaus eine Wissenschaft für sich ist: Die Syntax von mod_security ist auf den ersten Blick alles andere als intuitiv, das CRS ist extrem umfangreich und mächtig und es braucht einige Zeit, die Logs auszuwerten und zu lernen, die echten von den unechten Angriffen zu unterscheiden. Und letzter Punkt ist eine Sisyphus-Aufgabe, damit wird man eigentlich nie fertig (jedenfalls, wenn man eine produktive Website betreibt, die User-Eingaben verarbeitet).
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben