Arch Linux

Webserver absichern?

Weltio

Ich habe letztens ein bisschen mit xampp rumgefummelt und habe gelesen, dass es sehr unsicher ist, es als Produktivsystem zu verwenden (Zollgeschichte und so.
Nun aber die Frage: Was genau macht xampp unsicher? Was sollte man dann beachten, wenn man nen lamp aufsetzt? Ich hab ein bisschen im Wiki rumgestöbert und schon den einen oder anderen Beitrag gelesen. Aber ernsthafterweise sehe ich keine großen Sicherheitsvorkehrungen - vielleicht ein paar Module oder Passwörter - is ja jezz nicht das nonplusultra.
Ich frage mich also, wie "warez über meinen Server verteilt werden" können, wenn ich xampp bzw nen schlecht "gesicherten" apache zugänglich mache. Wie funktionuckelt das genau?

Kinch

Ich glaube xampp gilt als unsicher, weil es halt Standard-Passwörter setzt, bzw. die Datenbank auch offen über das Netzwerk erreichbar ist.

Hast du denn einen öffentlichen Server, wo das Zeug laufen soll?

"warez über meinen Server verteilt werden"

Die Frage ist, was mit „unsicher” gemeint ist. Datenunsicherheit zum Beispiel ist etwas anderes, als die Möglichkeit Code auf deinem Server auszuführen.

Weltio

Kinch schriebHast du denn einen öffentlichen Server, wo das Zeug laufen soll?

Nein - ich überlege momentan, ob ich mir einen für 1€ im Monat zulege oder eben lokal einen laufen lasse.

Kinch schrieb Die Frage ist, was mit „unsicher” gemeint ist. Datenunsicherheit zum Beispiel ist etwas anderes, als die Möglichkeit Code auf deinem Server auszuführen.

Das ist richtig - mit Sicherheit meine ich jegliche Art der Sicherheit

Kinch

Weltio schrieb Nein - ich überlege momentan, ob ich mir einen für 1€ im Monat zulege oder eben lokal einen laufen lasse.

Einen Webserver den du selbst administrierst für 1 Euro?

Weltio schrieb Das ist richtig - mit Sicherheit meine ich jegliche Art der Sicherheit

Durch einen Webserver und durch eine SQL-Datenbank ist man in der Regel sicher davor, das andere Code auf deinem Server ausführen. Ausnahme ist nur, wenn die Programme selbst eben Schadecode ausführen können, durch Bugs. Ansonsten betrifft die Unsicherheit eines Lampp-Settings in den meisten Fällen eher die Datensicherheit.

Weltio

Nö nur nen Host, will ja nur ne Seite hosten 🙂

danbruegge

Bei einem Hoster brauchst du kein XAMPP. Das macht der Hoster für dich.

XAMPP würdes du in dem falle nur zum Entwickeln der Seite im localhost benötigen. Da du deine Seite ja dann zum Hoster hoch lädst. 😉

Weltio

Ja, weiß ich. Darum gehts aber nicht.

badboy

Die Standard-XAMPP-Installation ist unsicher, weil es so ziemlich alles offen lässt, was man aus Bequemlichkeit gerne in der lokalen Entwicklungsumgebung hat. Heißt: Passwörter sind nicht gesetzt (oder auf Standard), komplette Fehlermeldungen werden direkt im Request ausgespuckt, maximale Dateigröße für Uploads recht hoch, ...

Das ganze könnte man natürlich rückwirkend wieder schließen, meist ist es aber einfacher die einzelnen Komponenten zu installieren und (sicher) zu konfigurieren.