root Server
- Ersteller kira12
- Erstellt am
minimike
Berufsrevolutionär
Also das Handbuch liefert schon mal ganz gut hier was
http://www.freebsd.org/doc/handbook/mac.html
Und eine Firewall mit IPFW wäre auch ganz töffte. Aus den Ports lässt sich IPFW auch an ein IDS System koppeln.
Wie bei jedem System steht und fällt alles auch auf sicher konfigurierte Services
GreenSQL mit PostgreSQL wird bei mir in Zukunft auch noch eingeführt.
http://www.freebsd.org/doc/handbook/mac.html
Und eine Firewall mit IPFW wäre auch ganz töffte. Aus den Ports lässt sich IPFW auch an ein IDS System koppeln.
Wie bei jedem System steht und fällt alles auch auf sicher konfigurierte Services
GreenSQL mit PostgreSQL wird bei mir in Zukunft auch noch eingeführt.
Gespensterzeit Kira,
hier gibt's eine schöne Anleitung für grundsätzliche Einstellungen bzgl. der Absicherung des Servers:
https://www.bsdwiki.de/Server_absichern
Ansonsten bin ich mittlerweile zu apache-itk (als Alternative zu apache-prefork + suexec) gewechselt, damit laufen die virt. Hosts nun nativ (und somit sehr einfach zu konfigurieren) über unterschiedliche User-IDs, um evtl. einen Einbruch zumindest abzuschotten.
hier gibt's eine schöne Anleitung für grundsätzliche Einstellungen bzgl. der Absicherung des Servers:
https://www.bsdwiki.de/Server_absichern
Ansonsten bin ich mittlerweile zu apache-itk (als Alternative zu apache-prefork + suexec) gewechselt, damit laufen die virt. Hosts nun nativ (und somit sehr einfach zu konfigurieren) über unterschiedliche User-IDs, um evtl. einen Einbruch zumindest abzuschotten.
hi
also , meine empfehlung waehre noch ossec .
dort auch alle apache logs rein configurieren .
ansonsten bin ich ja der meinung man braucht nicht wirklich eine firewall wenn man
den rechner und dies dienste richtig einrichtet z.b. listen , localhost etc.
das ganze in kombination mit ossec und die kiste ist gegen die meisten arten von
angriffen gesichert.
holger
also , meine empfehlung waehre noch ossec .
dort auch alle apache logs rein configurieren .
ansonsten bin ich ja der meinung man braucht nicht wirklich eine firewall wenn man
den rechner und dies dienste richtig einrichtet z.b. listen , localhost etc.
das ganze in kombination mit ossec und die kiste ist gegen die meisten arten von
angriffen gesichert.
holger
Dazu habe ich noch mal eine Frage, gibt es irgendwo ein howto wo ich da etwas lesen kann, das einzige was ich gefunden haben ist AssignUserId in die vhosts einzufügen. Das klappt aber leider nicht wie ich mir das Vorstelle.
Gruß ré
Hi Kira,
also insgesamt war die Umstellung von Apache-prefork auf Apache-itk erstaunlich einfach.
Apache-itk selbst hast Du ja schon installiert (derzeit läuft apache-itk-2.2.19). Virt. Hosts sind dann sinngemäß konfiguriert, so dass wirklich nur noch wie Du es sagst die "AssignUserId"-Direktive nötig ist (im Gegensatz zu der aufwendigeren Prefork-Konfiguration). Dass dem virt. Host-Ordner dann die entsprechenden Rechte gegeben werden, ist auch klar. (Unter der Prefork-Konfiguration mit fcgi-Modul musste der User zusätzlich in die wheel-Gruppe aufgenommen werden. Das ist unter itk nicht mehr nötig.)
Wenn das alles konfiguriert ist, dann siehst Du in der Tat wie die einzelnen httpd-Instanzen unter der jew. User-id laufen (top -Is1).
Eine sehr schöne Anlaufstelle, wo man sich mit den Vor- und Nachteilen der verschiedenen Apache mpms auseinandersetzt, ist Stewart Herberts Homepage. Hier mal der Link für itk: http://blog.stuartherbert.com/php/2008/04/19/using-mpm-itk-to-secure-a-shared-server/
also insgesamt war die Umstellung von Apache-prefork auf Apache-itk erstaunlich einfach.
Apache-itk selbst hast Du ja schon installiert (derzeit läuft apache-itk-2.2.19). Virt. Hosts sind dann sinngemäß konfiguriert, so dass wirklich nur noch wie Du es sagst die "AssignUserId"-Direktive nötig ist (im Gegensatz zu der aufwendigeren Prefork-Konfiguration). Dass dem virt. Host-Ordner dann die entsprechenden Rechte gegeben werden, ist auch klar. (Unter der Prefork-Konfiguration mit fcgi-Modul musste der User zusätzlich in die wheel-Gruppe aufgenommen werden. Das ist unter itk nicht mehr nötig.)
Wenn das alles konfiguriert ist, dann siehst Du in der Tat wie die einzelnen httpd-Instanzen unter der jew. User-id laufen (top -Is1).
Eine sehr schöne Anlaufstelle, wo man sich mit den Vor- und Nachteilen der verschiedenen Apache mpms auseinandersetzt, ist Stewart Herberts Homepage. Hier mal der Link für itk: http://blog.stuartherbert.com/php/2008/04/19/using-mpm-itk-to-secure-a-shared-server/
Code:
<IfDefine !SSL>
<VirtualHost *:80>
ServerName www.xyz.de
DocumentRoot /virt4711
<IfModule mpm_prefork_module>
SuexecUserGroup xyz xyz
<Directory /virt4711 >
Options ExecCgi FollowSymLinks
AddHandler fcgid-script .php
FCGIWrapper /cgiexecweb/php-cgi4xyz/php-cgi .php
</Directory>
</IfModule>
<IfModule mpm_itk_module>
AssignUserId xyz xyz
</IfModule>
ServerAdmin admin@xyz.de
ErrorLog "/var/log/err/xyz.de-error_log"
CustomLog "|/usr/local/sbin/cronolog /var/log/%Y/%m/xyz.de-access_log" combined
DirectoryIndex index.html index.htm index.php
</VirtualHost>
</IfDefine>Hallo Leute,
im Apacheforum hatte ich auch schon nachgefragt wegen dem Problem und da kam die Antwort das meine Subdomain gar nicht per Ping erreichbar ist, im DNS-File steht aber drin:
das sollte doch der Eintrag sein, muß ich bei FreeBSD da noch etwas ändern?
Gruß ré
im Apacheforum hatte ich auch schon nachgefragt wegen dem Problem und da kam die Antwort das meine Subdomain gar nicht per Ping erreichbar ist, im DNS-File steht aber drin:
Code:
@ IN A 46.4.33.31Gruß ré
KobRheTilla
used register
Das @ steht für die Zone (Domain), es kommt nun darauf an:
Normalerweise ist das Zonefile für eine Domain gültig, also z.B. example.com
Subdomains musst du darin dann explizit definieren:
Code:
foobar IN A 46.4.33.31würde dann foobar.example.com auf 46.4.33.31 lenken.
Rob
KobRheTilla
used register
Bitte beachte dabei, dass wenn du die komplette Domain angibst, ein Punkt an das Ende eingefügt werden muss:
Code:
*.deinedomain.de[b].[/b] IN A ...Machst du das nicht, wird der Eintrag als Subdomain hergenommen, also:
*.deinedomain.de.deinedomain.de
Rob