Forums Neueste Beiträge
 

Verfahren zur Absicherung/Isolierung von Applikationen unter Linux

22/10/2013 - 20:39 von maxim.webster | Report spam
Moin,

ich hab folgendes vor: Ich möchte diverse Web-Applikationen, die ich auf externen Rechnern (vServer, Webspaces, etc.) betreibe auf einen existierende Server zu Hause umziehen. Im Einzelnen handelt es sich um:

* ein Weblog mit Wordpress
* ein Fotoblog mit Koken
* ein Cloudserver mit ownCloud

Die Herausforderung: Auf dem existierendem Server, der bisher nicht aus dem Internet erreichbar ist, liegen private Daten und Medien, die per Samba und DLNA recht großzügig verteilt werden. Und ich möchte natürlich nicht, daß diese Daten nach außen gelangen.

Ich frage mich jetzt, ob und wie man (PHP) Webapps soweit isolieren kann, daß im Falle eines Exploits oder einer Backdoor der Zugriff auf andere Daten unterbunden bleibt.

Geht das ohne Visualisierung und wenn nicht, welche Möglichkeiten sind empfehlenswert?

Kurz noch zur vorhandenen Umgebung:
* Intel Atom C330 CPU (Dual Core / HT / 64Bit, keine HW-Virtualsierung)
* 4GB Speicher
* 640GB RAID1 Speicher (md-RAID)
* Ubuntu 12.04 LTS
* FritzBox 7270

Würde mich über Hinweise / Tipps freuen.

Gruß

Maxim
 

Lesen sie die antworten

#1 Kai Bojens
22/10/2013 - 20:51 | Warnen spam
wrote:


Ich frage mich jetzt, ob und wie man (PHP) Webapps soweit isolieren kann,
daß im Falle eines Exploits oder einer Backdoor der Zugriff auf andere
Daten unterbunden bleibt.



Man kann einen hohen Grad an Sicherheit erreichen, perfekt wird es aber
nicht werden. Schau Dir für Apache und PHP z.B. einmal das Debian Paket
apache2-mpm-itk an (Das gibt es natürlich auch für andere Distributionen und
auch im Quellcode). Das kann zum Beispiel mit mod_php per VirtualHost User
und Gruppe festlegen:

"The ITK Multi-Processing Module (MPM) works in about the same way as the
classical "prefork" module (that is, without threads), except that it allows
you to constrain each individual vhost to a particular system user. This
allows you to run several different web sites on a single server without
worrying that they will be able to read each others' files. This is a
third-party MPM that is not included in the normal Apache httpd."

Der Vorteil ist, dass Du dann jeden VirtualHost mit einem anderen User
laufen lassen kannst und somit eine Abgrenzung schaffst. Als Alternative
kannst Du auch PHP als CGI nutzen und ein suexec für den Apache benutzen,
das Dir dann die gleichen Vorteile bietet, aber etwas weniger leistungsfàhig
ist als die mod_php Variante.

Dazu dann vielleicht noch suhosin und Du kannst schon einen gewissen Grad an
Sicherheit erreichen, der die groben Sachen verhindert und auch relativ
robust gegenüber starken Angriffen ist.

Ähnliche fragen