Ein schöner Traum. Wie realistisch er ist, kann man an den vielen Fragen zu den Sicherheitswarnungen sehen. Da wird fast nie gefragt: "Welches Risiko gehe ich ein? Welche Konsequenzen kann die Umstellung haben?", sondern völlig kritiklos: "Wie ändere ich das?" Es wird weder nach existierenden Hinweisen noch nach Quellen für die (Hinter-)Gründe gesucht.Zitat von elkuku
Solche Leute willst du sensibilisieren?
(Ja, ich bin zynisch und desillusioniert)
Stimmt(Ja, ich bin zynisch und desillusioniert
Kann ich auch nachvollziehen. Ich hätte wahrlich keine Lust Euren "Job" zu machen und dieses Forum zu Moderieren. Meine Hochachtung ob der Fassung, die Ihr (meistens) immer noch bewahrt.
Trotzdem: Wenn sich nach dem Lesen dieses Threads auch nur ein "Newbee" etwas mehr mit dem Thema auseinandersetzt, ist mein "Traum" schon wahr geworden..
Dann wird in neuen Versionen irgendein ach so tolles Feature (Ajax-Anzeige der angemeldeten User, das Wetter in Buxtehude oder ähnlichen Unfug) und irgendwann will auch der letzte dieses Feature haben.
Solange Du Deinen Postings nicht in kompletten Großbuchstaben verfaßt (siehe Deine eigene Signatur, um diese Anspielung zu verstehen) und mit einer Sense rumläufst, bekommen wir Dich auch wieder auf den rechten Pfad.(Ja, ich bin zynisch und desillusioniert
Es wird immer Leute geben, die sich mit bestimmten Dingen nicht auseinandersetzen, es aber auf Biegen und Brechen selber machen wollen. Stellt sich nur die Frage, ob man genau diese Leute weiter bedienen möchte und es in Kauf nimmt, dass "seinem" System ein übler Geruch (Unsicherheit) anhaftet.
Um Joomla in einem professionelleren Licht erleuchten zu lassen, muss man sich wohl oder übel von diesen trennen. Klingt hart... ist es auch.
CU
Stephan
Das hat rein gar nichts mit dem Job als Mod zu tun. Dieser Frust kommt ganz einfach auf, wenn man sieht, wie sich Leute vor randvolle, dampfende Schüsseln mit Wissen setzen und als erstes fragen, wo denn ihr privates kleines Tellerchen ist, ohne den Schüsseln auch nur die geringste Beachtung zu schenken.
Da hast du allerdings recht, und diese Hoffnung ist auch berechtigt. Ganz so schlimm, wie es mir manchmal vorkommt, ist es zum Glück tatsächlich nicht. So viel Realitätssinn konnte ich mir noch bewahrenTrotzdem: Wenn sich nach dem Lesen dieses Threads auch nur ein "Newbee" etwas mehr mit dem Thema auseinandersetzt, ist mein "Traum" schon wahr geworden..
Ich finde es schon erschreckend zu sehen, wie hier lässig über "Lernresistente" Joomla-User gelästert wird, aber auf Rückfragen wie man einen Server halbwegs sicher einstellt nur simple Links auf allgemeine Dokus zurückgegeben werden.
Man sollte als "besserwissender Joomla-Fachmann" auch akzeptieren, das nicht jeder auf demselben (hohen) Niveau sein kann. Und man muss auch sehen, das der Andrang an neuen Joomla-Usern stetig wächst und man daher NIE eine Niveauangleichung in einem Forum wie diesem erkennen kann. Es werden immer wieder dieselben Fragen gestellt und es werden immer wieder dieselben Fehler gemacht. Um diese Fragen zu beantworten und diesen Leuten zu helfen, dafür ist ja wohl (unter anderem) dieses Forum da. Hier hat man also keine abgeschlossene Schulklasse vor sich, wo man einen stetigen Weiterbildungserfolg direkt ablesen kann. Es ist also ein Kampf gegen Windmühlen.
Ich will dann mal einen Beitrag leisten und ein paar _Anmerkungen_ zu einer sicheren Serverkonfiguration machen (Reihenfolge zufällig)
* Betreibe PHP unter einem individuellen Systemuser, der genau einem Web zugeordnet ist und NICHT mit einem allgemeinen User des Webservers (Apache-User wwwrun, nobody, www-data etc.). Verwende also NICHT mod_PHP.
* Stelle sicher das jeder Kunde/Web einen eigenen Systemuser hat
* Stelle die Berechtigungen dieses Users so ein, das er nur im eigenen Web Daten schreiben/lesen kann und nicht im Nachbarweb.
* Sorge dafür das exec() und andere Funktionen in PHP über die man Binaries und Systemcalls aufrufen kann deaktiviert sind.
* Sofern exec() trotzdem erlaubt sein soll, sorge dafür das Du bestimmst welche Binaries aufgerufen werden dürfen (safemode, sefemode_exec_dir). Auf gar keinen Fall darf es möglich sein, das ein PHP-Script jedes verfügbare Binary aufrufen kann.
* Begrenze die Zugriffrechte im Dateisystem für allgemeine PHP-Funktionen (open_basedir)
* Sorge dafür, das ein User nicht die Sessiondaten fremder Webs einlesen kann
* Sorge dafür, das auch andere cgi-Scripte (Perl) nur mit den Rechten obigen Systemuser möglich sind.
* Stelle keinen Shellzugriff zur Verfügung
* Achte darauf, das PHP keinen Zugriff auf externe Rescourcen bekommt (allow_URL_fopen)
* Verbiete globale Variablenübergaben (register_globals)
* Sorge dafür das ALLE Kunden auf einem Server Deinem Sicherungskonzept unterliegen und mach keine Ausnahmen, auch wenn einer noch so bettelt.
* deaktiviere die üblichen Downloadtools (curl, wget, lynx, ...)
* deaktiviere Compiler auf einem Webhostingserver
* Verwende ausschließlich sichere Passwörter.
* Verwende Linux und halte die Distribution aktuell!
Dies ist kein How_To für "Faul-User", sondern das sind nur Stichpunkte einzelner Aspekte, die mir gerade so eingefallen sind. Ganz sicher ist die Liste nicht vollständig und ganz sicher gibt es verschiedene andere Möglichkeiten die Sicherheit zu erhöhen.
Was ist wichtiger: Sicher konfigurierter Server oder sicherere Scripte?
Antwort:
Sicher konfigurierter Server!!
Jedenfalls gilt das für die meisten dieser typischen Script-Kiddy-Attacken.
Über echte Hacker reden wir hier nicht.
Selbstverständlich ist eine Lücke in einem Script fast immer der Ausgangspunkt, aber relevante Schäden oder Kundenübergreifende Schäden sind fast nur möglich, wenn es echte Lücken im Sicherheitskonzept gibt. 100% sichere Scripte wird es niemals geben, was obige Aussage maßgeblich beeinflußt.
So, jetzt warte ich auf das Geläster der Fachleute, wie sie sich auf einzelne Aussagen stürzen ...
Gruß! Uwe
fc-hosting.de
. . . . . . . . . . . .kleine Joomla-Helferlein :: Gehackt? Was tun? :: Migration 1.7->2.5
@flotte
Ohne den letzten Satz hätte das Posting ein Danke verdient gehabt.
Nicht, ohne sich vorher lauthals und auf möglichst vielen Plattformen darüber zu beschweren, daß er dafür plötzlich Knowhow oder noch viel schlimmer Geld investieren muß.
Erst, wenn es wirklich Realität geworden ist, daß Joomla deppenresistent istSolange Du Deinen Postings nicht in kompletten Großbuchstaben verfaßt (siehe Deine eigene Signatur, um diese Anspielung zu verstehen) und mit einer Sense rumläufst, bekommen wir Dich auch wieder auf den rechten Pfad.
Tja, das scheint aber nicht der Trend des Core Teams zu sein. Selbst zu schlimmsten Hackattacken-Zeiten habe ich nicht gesehen, daß dieses Thema ein breit ausgewalztes Top-Thema auf joomla.org gewesen wäre. Usability geht anscheinend weiter vor Security, und damit wird das exakte Gegenteil erreicht.Um Joomla in einem professionelleren Licht erleuchten zu lassen, muss man sich wohl oder übel von diesen trennen. Klingt hart... ist es auch.
@flotte
Danke! (gerade für den letzten Satz
Naja, das ging wohl an mich.Ich finde es schon erschreckend zu sehen, wie hier lässig über "Lernresistente" Joomla-User gelästert wird, aber auf Rückfragen wie man einen Server halbwegs sicher einstellt nur simple Links auf allgemeine Dokus zurückgegeben werden.
Da kann ich leider nur zurückgeben, dass ich hier zwar Mod bin, meine Funktion aber in erster Linie im Sauberhalten des Forums besteht und nicht im Beantworten von Fragen. Um ein umfassendes Verständnis zum Thema Serversicherheit und Installation von Webanwendungen zu vermitteln bedarf es meiner Meinung nach mehr als ein paar Postings.
Was hilft es demjenigen, wenn ich ihm in einem Posting genau die Serverkonfig vor den Latz knalle und er noch nicht einmal versteht, was er da macht? Genau: nichts.
Außerdem war meine Antwort mit leichter Ironie (die man leider in Textsystemen nicht genug kenntlich machen kann) versetzt, die auch das Posting des Fragestellers zierte.
Man sollte aber nicht akzeptieren, dass man nach Nennung von Quellen, die das Knowhow vermitteln, die Antwort bekommt: "Und? Was muss ich jetzt genau machen?"
Du, ich und auch alle anderen mußten ja auch irgendwie an das Wissen kommen, oder? Und ich habe das durch entsprechende Literatur und das Anleiten! durch Wissende erhalten.
Meine Predigt schon seit sehr langem hier.
Was genau verstehst Du darunter? Reden wir hier von SSH oder von Shellzugriffen über eine Scriptsprache?
Sollte mittlerweile eigentlich Standard sein. Nur bei Massenhostern nicht.
Falsch: Beides!
Ich hoffe, ich war zärtlich.So, jetzt warte ich auf das Geläster der Fachleute, wie sie sich auf einzelne Aussagen stürzen ...
CU
Stephan
Nur um nochmal darauf einzugehen: Ein sicherer Server nützt mir überhaupt nichts, wenn über mein Skript Cross Site Scripting, Code Injections oder ähnliches möglich ist, mit dem dann auch auf einem abgesicherten System die Datenbank leergeräumt oder Dateien erstellt werden können.
CU
Stephan
Berechtigungen
LinkBack URL
About LinkBacks
Zitieren
Lesezeichen