Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Apache abschotten

Alles rund um die Systemverwaltung, die Administration und Konfiguration Eures Linuxsystems

Moderator: Moderatoren

Antworten
Benutzeravatar
Kurt M
Hacker
Hacker
Beiträge: 407
Registriert: 24. Sep 2004, 12:39
Wohnort: Bayrischer Wald
Kontaktdaten:

Apache abschotten

Beitrag von Kurt M » 23. Dez 2007, 02:36

Ich habe einen Server, der inzwischen ziemlich viele Dienst anbietet, alle nur im internen Netz. Außer des Apache Webservers, der natürlich über Port 80 nach draußen geht.

Meine Sorge ist jetzt, dass durch eine Sicherheitslücke oder einen Konfigurationsfehler meinerseits, jemand über den Webserver ins restliche System eindringen könnte.

Auch wenn alle Ports, außer dem 80er im NAT Router gesperrt sind, könnte immer noch ein Trojaner Daten hinaus senden.
Jetzt überlege ich mir wie ich den Apache so vom anderen System trennen kann, dass diese Gefahr nicht mehr besteht.

Dabei sind mir bisher zwei Ideen gekommen:
1) Ich setze vmware ein und lasse Apache in einer eigenen Suse 10.3 laufen, die keinen Zugriff auf das normale Betriebssystem hat. Kostet allerdings Speicher und ggf. CPU Leistung
2) AppAmor. Damit soll sowas wohl auch gehen, allerdings hab ich keine Erfahrung wie sicher das ist, und Novell hat gerade die zuständigen Programmierer gefeuert.

gibt es zu dem Thema noch andere sinnvolle Möglichkeiten ? Bin für jeden Hinweis dankbar.

Gruß
Kurt

Werbung:
Benutzeravatar
panamajo
Guru
Guru
Beiträge: 2587
Registriert: 12. Feb 2005, 22:45

Re: Apache abschotten

Beitrag von panamajo » 23. Dez 2007, 02:59

Kurt M hat geschrieben:Meine Sorge ist jetzt, dass durch eine Sicherheitslücke oder einen Konfigurationsfehler meinerseits, jemand über den Webserver ins restliche System eindringen könnte.
Stell den Webserver in eine DMZ die keinerlei Zuigriff auf die anderen Rechner hat.

Benutzeravatar
framp
Moderator
Moderator
Beiträge: 4247
Registriert: 6. Jun 2004, 20:57
Wohnort: bei Stuttgart
Kontaktdaten:

Beitrag von framp » 23. Dez 2007, 12:05

Sofern Dein Router eine DMZ zuläßt würde ich diesen Weg gehen. Ansonsten ist die Lösung mit VMWARE gut. So habe ich mein WLAN/Internet Honeypot auch abgesichert :wink:

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 4 Gäste