Apache von außen nicht zugänglich machen
 

Ist es möglich, dass ich auf meinen lokalen Webserver nur mit localhost zugreifen kann und der übers Netz nicht erreichbar ist? Falls ja was muss ich in der httpd.conf von Apache ändern?

welche fehlermeldung bekommst du? hat der rechner eine firewall?

Du kannst ihn auf einem anderen Port binden (nicht sicher)

Am besten verwendest du eine .htaccess Datei, da kannst du regeln wer Zugreifen darf oder nicht.

Sloter

Ja, man installiert eine Firewall :). Die Firewall blockt die entsprechenden Ports ab und der Server ist nur Lokal erreichbar.

Mit .htaccess kann man einzelne Verzeichnisse sperren, das dürfte aber derzeit nicht das Problem sein.

Suche in der httpd.conf folgende Zeile mit änlichen Wortlaut:

# This should be changed to whatever you set DocumentRoot to.

<Directory ".....">

Darunter werden Zugriffsrechte für das Startverzeichnis des Servers angegeben. Irgendwo duerfte dann folgendens stehen:

Order allow,deny
Allow from 127.0.0.1

Mit "Allow from" legst man fest welche IP-Adressen auf die Webseiten zugreifen duerfen. Obige Zeilen wuerden nur dem lokalen Rechner (127.0.0.1) erlauben die Seiten anzusehen. Um jeden den Zugriff zu erlauben (wie bei einem oeffentlichen Webserver) fuegt man hinzu:

Allow from all

Du kannst natuerlich den Zugriff auf den Bereich deines Heimnetzwerkes beschränken => dazu sage ich nur mehr: RTFM (Read The Fine Manual)....


Gruss E.S.

@e.s

Es kommt darauf an wo du die .htaccess hinlegst ;)

Du machst ja nichts anderes als das du die Zeilen gleich in die httpd.conf reinschreibst ;)

hmmm...

nicht zugaenglich wuerde heissen ihn mit bindaddress auf eine IP zu binden die von aussen nicht zugaenglich ist.

alle anderen vorschlaege machen den webserver zugaenglich, sperren aber die dokumente weg...

eine firewall ist in dieser konfiguration nicht notwendig!

Der Server ist dann trotzdem von aussen erreichbar, auch wenn er nur Fehlermeldungen von sich gibt ;)

:eek:

Auf einen Desktop/Testserver der permanent am Internet hängt ist eine Firewall schon ein muss :)

Neben der Möglichkeit das alle Dienste weggeblockt werden können (und Chello selbst mit Portscans keine Server findet) werden auch Hackangriffe gelogt. Es ist immer wieder interessant wieviel Leute versuchen mittels Trojan Client auf meinen Rechner zuzugreifen und dabei nur ihre IP loggen :lol:

Sollte es nicht auch funktionieren wenn man Apache über xinetd (anstatt standalone) startet?

Aus der Debian-Paketbeschreibung von xinetd:
HTH,
citizen428

[edit:]
Da ich in einem Anflug geistiger Umnachtung gedacht habe mich im Linuxforum zu befinden, bitte ich um Entschuldigung, falls dein Webserver auf Win läuft und meine Antwort somit unbrauchbar ist...

Habe ich noch nicht getestet. Auf vielen Testservern läuft meistens nicht nur ein Webserver sondern auch mindestens ein Datenbankserver wenn nicht noch andere Server Dienste. Da ist die Firewall die einfachste Möglichkeit um Zugriffe von aussen zu verhindern.

Richtig Philipp, oder man gibt ihm einfach eine 192 oder 10.x... als IP, dann geht von aussen auch nichts.

Sloter

Klar, aber
 

ich wollte halt einfach nur wissen ob das mit xinetd auch hinhaut. Überleg mir nämlich grade für unseren Server mittels xinetd den SSH Zugriff nur auf die 3 berechtigten IP's einzuschränken.

Aber ihr habt schon recht, für den Apache, MySQL und ähnliches ist es ein Firewall sicher der beste Weg.

xinetd kann alle dienste konfigurieren, die per (x)ineted gestartet werden -- das sind tcp dienste, meist aber weder apache noch samba noch ssh.

sollten die dienste libwrap verwenden (wie openssh) dann koennen sie ebenfalls in hosts.allow / hosts.deny konfiguriert werden.

der tcp wrapper und die (x)inetd services sind ebenso wie ein ip binding mindestens ebenso sicher wie eine firewall; das ip binding oder besser noch ein interface binding (samba) ist sogar sicherer.

na ja, fuer eine richtige firewall sollte ein eigener rechner verantwortlich sein, damit bei einem richtigen gelungenen angriff nicht gleich alles verloren ist!

apropos loggen: eine loggende firewall ist absolut anfaellig fuer DoS attacken! firewalls sollten nur im testmodues beims etup loggen, sonst nicht!

man kann die firewall aber mittels tftp auf einen anderen rechner über netz loggen lassen, dann fällt die möglichkeit, dass die platte voll wird weg.... :D so wie man das ja mit cisco geräten auch machen kann

Naja, Apche kann ich ja in der httpd.conf beibringen ob ich ihn über (x)inetd oder standalone starten will.

Danke, werd mich diesbezüglich mal schlau machen!

apache per (x)inetd ist eine echte schlaftablette... wozu nen schnellen webserver mit fork-pooling wenn man das nicht verwendet?!? die ganzen performacne features auch modperl usw. werden ad adsurdum gefuehrt mit (x)inetd modus. das ist mehr so der vollstaendigkeit halber, aber nicht fuer ernst gemeinte webserver...

(x)inetd ist mehr was fuer dienste mit wenigen langen sitzungen, etwa telnet, ftp, rcp, wo der startup kurz ist -- daher ist auch ssh nicht dafuer geeignet -- das ausrechnen der keys dauert sonst zu lang!

cool -- ich kenn nichts was per tftp loggt...

aber syslog net services (wie sie die cisco 36xx, 25xx, 35xx, 17xx usw. sowie linux und cyclades unterstuetzen) sind fuer cisco und linux ganz gut geeignet wenn du aber pro paket 80 byte per syslog wegschickst ziehst DoS nicht nur auf die firewall, sondern auch auf den logserver und das netz dazwischen -- auch nicht wuenschenswert!

und dann greifst per masquerading irgendwohin zu und der trojaner kommt per buffer overflow rein... :-)

Re: Apache von außen nicht zugänglich machen
 

BindAddress 127.0.0.1

<VirtualHost 127.0.0.1>
servername testserver.at
</VirtualHost>

wie das genau ausschaut muss ich mir nochmal anschaun, hab das nur so "im vorbeigehn" gesehn :D

gegen die last kann man den log server ja über a ausgekreuztes kabel anschliessen, dann bleibt nur mehr das problem der server last :D

am gscheitesten isses aber wohl immer noch, das logging abzudrehn

Bei der Firewall das loggen abdrehen finde ich nicht besonders gut.
Wie soll man da Überprüfen ob nicht im eigenen Netz was abgeht ohne das es gewollt ist?

Sloter

das loggen ist in der installationsphase sicherlich sinnvoll, aber wenn dann wirklich was "drueber" geht ist es oft besser nicht zu loggen...

es haengt aber auch davon ab, was man sichert... einen webserver dmz wird man ohne logging absichern (da geht traffic drueber). danach kaskadiert man sein lan (2 firewalls hibntereinander) in der hinteren loggt man schon ein bisschen.

da das lan eher 2-3 stufen firewalls davor hat kann man dort durchaus schon loggen -- aber die frontside firewalls loggen zu lassen laedt die hax0r zur DoS attacke geradezu ein!

ausserdem verliert man den durchsatz! wir leben in der zeit der 1gbps internetanbindungen! im 21. jahrhundert!

frohe weihnachten an alle im nachinein!

lg,
paul.

Also dann schmeiß ich gleich die Bücher weg, die ich mir erst vor kurzem Zugelegt habe.

Wie willst du Unregelmässigkeiten finden wenn du kein Protokoll führst?

Wartest du ab bis der Hacker dich anruft und sagt er ist in deinem Netz unterwegs?

Bezüglich DMZ: Da steht ja der Server quasi im Regen.
Und ja ich kenne ein RZ da wird alles geloggt, obwohl dahinter nur Mail und Webserver stehen.

Loggen würde ich nicht nach der Installation, eher eine Ckeksumme errechnen lassen, das ich weiß ob meine Datein sich vergrössern oder von selbst verändern.

Sloter

dazu brauche ich aber keine einzelpaketlogs. einzelpaketlogs sind das DoS problem, nicht logs generell!

also bei uns in der dmz ist der server relativ gut abgeschirmt... die dmz liegt ja HINTER aktiven paketfiltern!
tripwire zb rulez!
aber das logging von paketen ist fast nur in ausnahmesituationen sinnvoll, sonst pingt jemand dich an und schon bist hin... ein DDoS pingflood macht jeden loggenden paketfilter hin...

Was macht ein Overflow nicht kaputt?
Ist es kein Ping dann halt ein manipuliertes Datenpakete.

Sloter