Register for your free account! | Forgot your password?

Go Back   elitepvpers > Off-Topics > Technical Support > Unix/Linux
You last visited: Today at 17:33

  • Please register to post and access all features, it's quick, easy and FREE!


abgekapseltes Webspace aufm Server

Discussion on abgekapseltes Webspace aufm Server within the Unix/Linux forum part of the Technical Support category.

Reply
 
Old   #1

 
elite*gold: 2778
Join Date: Feb 2012
Posts: 3,524
Received Thanks: 1,044
abgekapseltes Webspace aufm Server

Hallo,

ich habe für ein kleines Projekt en Ubuntuserver worauf ich ein minimales Webspace packen möchte.
Das Webspace soll jedoch vollständig abgeschottet sein, sprich wenn ich "gehackt" werde über die Weboberfläche, dass der Angreifer nicht weiter kommt als das Webspace selbst.

Ich habe keine Ahnung vom Hosting oder Linux, jedoch kann ich kein einfaches Webspace nehmen.

Ich habe mir Docker angeschaut, aber mir wurde gesagt, dass bei jedem Neustart die Daten zurück gesetzt werden. Das ist bei mir ziemlich unpraktisch.
Es sollte aber irgendwie Ressourcenfreundlich sein.

Wie man früher schön sagte, ich bin ein völliger "noob" und hoffe um eure detaillierte Hilfe



Mr.Tr33 is offline  
Old 12/28/2016, 20:30   #2
 
elite*gold: 0
Join Date: Jan 2016
Posts: 572
Received Thanks: 49
Falls der Webspace nicht öffentlich zugänglich sein muss kannst du ihn mit ner htpasswd absichern.


Entonsammler is offline  
Old 12/28/2016, 22:12   #3

 
elite*gold: 2778
Join Date: Feb 2012
Posts: 3,524
Received Thanks: 1,044
Mir gehts nicht direkt ums absichern vom Server. Ich muss erstmal so ein Webspace irgendwie hinbekommen, dass von sich aus sicher ist.
Am Ende muss es von aussen zugänglich sein.
Mr.Tr33 is offline  
Old 12/28/2016, 23:33   #4
 
elite*gold: 400
Join Date: Nov 2008
Posts: 67,770
Received Thanks: 19,436
Die beste Möglichkeit wäre wenn du einen virtuellen Server erstellen könntest

Wenn das keine Option ist (Ressourcenfressend), dann wäre überhaupt die Frage wo bei deiner Webseite die Angriffsmöglichkeiten liegen
Wird PHP und oder eine Datenbank genutzt?
=> Vielleicht überlegen nicht einen externen Webspace zu mieten? Standard Webspace Server gibts schon für 1~2€ im Monat und man muss selber nicht um die Pflege kümmern

Ansonsten wenn es eine reine HTML Seite werden kann (z.B. Blog über jekyll oder ein statisches Resume), dann einfach Lighttpd drauf und fertig (Tausend mal Ressourcen sparender als Apache2)

Quote:
Originally Posted by Mr.Tr33 View Post
Ich habe mir Docker angeschaut, aber mir wurde gesagt, dass bei jedem Neustart die Daten zurück gesetzt werden.
Nope, so ganz stimmt das nicht
Ich hab jetzt auch aber auch nicht die krasseste Docker Expertise


Der-Eddy is offline  
Old 12/29/2016, 00:09   #5
 
elite*gold: 57
Join Date: Jun 2011
Posts: 2,063
Received Thanks: 790
Generell ist es aufgrund des in Linux eingesetzten Rechtesystems heutzutage fast gar nicht mehr möglich auf Dateien zuzugreifen, die sich außerhalb des Webroots befinden. Wenn du PHP nutzt, dann kannst du trotzdem noch was tun und solltest dir open_basedir und sessions.save-path anschauen:




Christoph Fischer hat das auf seiner Seite ziemlich gut zusammengefasst:



Falls du HHVM nutzt, damit kannst du die Einstellungen auch verwenden.
Zypr is offline  
Old 12/29/2016, 00:17   #6

 
elite*gold: 2778
Join Date: Feb 2012
Posts: 3,524
Received Thanks: 1,044
Es ist ein internes Projekt von mir was eine Webseite "enthällt", daher ist ein externes Webspace ausgeschlossen. Grundsätzlich sollte niemand ungewolltes drauf kommen, aber man weiß ja nie.

Die Webseite ist mit PHP und MySQL geschrieben und habe nginx genommen.

Meine Idee war z.B. Froxlor zu nehmen und ein Webspace zu erstellen, es sollte ja die Berechtigungen schon richtig setzen. Jedoch kommt Froxlor nicht drauf klar, wenn es keine Domain hat

Eigentlich suche ich nur eine einfache Möglichkeit irgendwie einzustellen, dass wenn jemand aufs Webspace kommt, dass er nicht weiter als der Webspaceordner gelangt und keine Rechte hat irgendwas auszuführen. Würde dafür schon open_basedir und sessions.save-path schon reichen?

Und danke für den Link zu Christoph Fischer, werde es gleich mal genauer lesen
Mr.Tr33 is offline  
Old 12/29/2016, 04:40   #7
 
elite*gold: 57
Join Date: Jun 2011
Posts: 2,063
Received Thanks: 790
Das reicht vollkommen aus. Du musst bedenken, dass der Prozess von nginx selbst, sofern du es nicht absichtlich abgeändert hast, auch nur auf einen bestimmten User beschränkt ist.. also in der Regel den User nginx oder www-data und die haben auch durch das Linux Datei-Rechtesystem ihre Limitierung was Zugriffe auf Dateien angeht. Zusätzlich arbeitest du bei nginx (und auch Apache) mit virtuellen Umgebungen (Virtual Hosts), dort definierst du das root-Verzeichnis ja auch noch mal und beschränkst den Zugriff zusätzlich. Da nginx die PHP-Skripte selbst gar nicht ausführt, sondern per Socket oder TCP/IP an den PHP FPM (FastCGI Process Manager) weitergibt, gilt hier auch lediglich die Beschränkung, die der Webserver und PHP an sich schon mitbringen. Durch open_basedir und sessions.save-path machst du das Ganze noch explizit, sodass niemand durch eine Injection in irgendeiner Weise mit Hilfe eines PHP-Befehls wie fopen() an Dateien kommt, auf die man eigentlich gar nicht zugreifen darf.

Mach dir also keinen Kopf darüber :-)
Zypr is offline  
Thanks
1 User
Old 12/29/2016, 14:20   #8

 
elite*gold: 2778
Join Date: Feb 2012
Posts: 3,524
Received Thanks: 1,044
Okay, das klingt super.
Und was ist mit z.B. shell_exec (oder so), muss ich das auch extra deaktivieren?
Mr.Tr33 is offline  
Old 12/30/2016, 02:13   #9
 
elite*gold: 57
Join Date: Jun 2011
Posts: 2,063
Received Thanks: 790
Quote:
Originally Posted by Mr.Tr33 View Post
Okay, das klingt super.
Und was ist mit z.B. shell_exec (oder so), muss ich das auch extra deaktivieren?
Wenn du es nicht brauchst, solltest du es unbedingt deaktivieren.

Hier mal eine Hilfestellung von nixCraft (man beachte auch die Kommentarfunktion, dort gibt es auch ein paar zusätzliche Angaben):

Zypr is offline  
Thanks
1 User
Old 12/30/2016, 15:40   #10

 
elite*gold: 2778
Join Date: Feb 2012
Posts: 3,524
Received Thanks: 1,044
Danke
Auf der Seite steht was interessantes in den Kommentaren.
Wie deaktiviere ich, dass man über z.B.ini_set (oder so) und der .htaccess z.B. exec wieder aktivieren kann?
Mr.Tr33 is offline  
Old 12/30/2016, 18:49   #11
 
elite*gold: 57
Join Date: Jun 2011
Posts: 2,063
Received Thanks: 790
Quote:
Originally Posted by Mr.Tr33 View Post
Danke
Auf der Seite steht was interessantes in den Kommentaren.
Wie deaktiviere ich, dass man über z.B.ini_set (oder so) und der .htaccess z.B. exec wieder aktivieren kann?
Geht auch ganz einfach über disable_functions
Zypr is offline  
Old 12/31/2016, 11:15   #12
 
elite*gold: 32
Join Date: Dec 2015
Posts: 2,276
Received Thanks: 1,113
Was ist mit RCE nginx exploits? Damit könnte man nginx root rechte geben und so das System übernehmen was aber unwahrscheinlich ist
FlyffServices is offline  
Old 12/31/2016, 15:41   #13
 
elite*gold: 57
Join Date: Jun 2011
Posts: 2,063
Received Thanks: 790
Quote:
Originally Posted by FlyffServices View Post
Was ist mit RCE nginx exploits? Damit könnte man nginx root rechte geben und so das System übernehmen was aber unwahrscheinlich ist
Ist bereits behoben. Sofern er keine ältere Version einsetzt ist das nicht mehr möglich.

Siehe CVE-2016-1247:

Zypr is offline  
Old 12/31/2016, 18:56   #14
 
elite*gold: 32
Join Date: Dec 2015
Posts: 2,276
Received Thanks: 1,113
Quote:
Originally Posted by Zypr View Post
Ist bereits behoben. Sofern er keine ältere Version einsetzt ist das nicht mehr möglich.

Siehe CVE-2016-1247:

Ich mein nonpublic exploits wie z.b die von Cisco die die NSA über 6 jahre hatte.
Aber sowas ist wie gesagt so unwahrscheinlich das es niemals passieren wird
FlyffServices is offline  
Old 01/02/2017, 11:10   #15

 
elite*gold: 120
Join Date: Aug 2010
Posts: 7,381
Received Thanks: 2,733
Grundsätzlich solltest du als unerfahrener Nutzer keine Produktionssysteme verwalten. Da ist es intelligenter, das an jemand erfahreneren (zB. ein vertrauenswürdiger Dienstleister) auszulagern.

Für dein Vorhaben genügt vermutlich schon ein chroot [1] "jail" [2].

Auch interessant: CloudLinux [3]. Die Hauptfeature dieser Distro ist, dass alles in virtuellen Environments ausgeführt wird. Dein Webserver ist also by-default abgekapselt.

Ebenfalls erwähnenswert ist noch FireJail [4]. Das ist eine Art Sandbox, mit der du Zugriffsrechte per-Prozess sehr sauber regeln kannst. Beachte allerdings, dass der Webserver Teile des Systems lesen können muss.

Das System selbst nochmal abzusichern ist eine eigene Geschichte. Weil faul und viel zu viel Zeug, welches du als Laie ohnehin nicht nachvollziehen können wirst, erspar ich dir das mal.
Wie schon erwähnt: Lies dich ordentlich ein und spiel lokal rum, bevor du irgendwas ans Netz hängst, was dich in Probleme bringen kann. Angriffsziel zu sein ist übrigens nicht spaßig - Opfer zu sein und die Abuse-Benachrichtigungen vom Provider lesen zu müssen noch viel weniger.

[1] https://en.wikipedia.org/wiki/Chroot
[2]
[3]
[4] https://firejail.wordpress.com/


Che is offline  
Reply



« Fragen zum Pine64 | MySQL Verbindung braucht zu 4 Sek. »

Similar Threads
Onlineshop aufm Webspace installieren - Fehler
11/13/2012 - Technical Support - 8 Replies
Ich möchte etwas aufm Webspace hochladen und installieren, jedoch komme ich bei dem Punkt wo man Host (Local) etc. eingeben muss nicht weiter. Kann mir bitte jemand via TV helfen?
Forum anstatt aufm Root auf Webspace ?
05/14/2012 - Technical Support - 2 Replies
Ich hatte mein kleines Forum auf meinem eigenen Root laufen, jetzt möchte ich das aber nicht mehr. Kann ich das vBulletin Forum auf einem gesponsorten Webspace laufen lassen? Oder lieber auf einem eigenen Root? Wenn ja, woher kriege ich einen der keine Impressumpflicht hat? Muss die Domain dann auch etwas anderes beinhalten als .de ?
Exp Bug aufm Server
03/11/2011 - Metin2 Private Server - 0 Replies
Hay leute, Ich habe einen Metin2 P-server.... Soweiter stimmt auch alles damit nur ist seit heute komsicher weiße exp bug man wird level 8 oder 6 und es geht nicht mehr weiter man kann sich nicht mal mehr mit level 1 bei Sensis lvln.Alsoo man kommt kein level up und auch kein EXP... Wen mir jemand helfen könnte wäre ich ihm sehr dankbar :handsdown::handsdown:



All times are GMT +2. The time now is 17:33.


Powered by vBulletin®
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO ©2011, Crawlability, Inc.

BTC: 33E6kMtxYa7dApCFzrS3Jb7U3NrVvo8nsK
ETH: 0xc6ec801B7563A4376751F33b0573308aDa611E05

Support | Contact Us | FAQ | Advertising | Privacy Policy | Terms of Service | Abuse
Copyright ©2019 elitepvpers All Rights Reserved.