Apache von außen nicht zugänglich machen

[Philipp]

Zitat:

Sollte es nicht auch funktionieren wenn man Apache über xinetd (anstatt standalone) startet?

Habe ich noch nicht getestet. Auf vielen Testservern läuft meistens nicht nur ein Webserver sondern auch mindestens ein Datenbankserver wenn nicht noch andere Server Dienste. Da ist die Firewall die einfachste Möglichkeit um Zugriffe von aussen zu verhindern.

[Sloter]

Richtig Philipp, oder man gibt ihm einfach eine 192 oder 10.x... als IP, dann geht von aussen auch nichts.

Sloter

[citizen428]

ich wollte halt einfach nur wissen ob das mit xinetd auch hinhaut. Überleg mir nämlich grade für unseren Server mittels xinetd den SSH Zugriff nur auf die 3 berechtigten IP's einzuschränken.

Aber ihr habt schon recht, für den Apache, MySQL und ähnliches ist es ein Firewall sicher der beste Weg.

[ppaul]

xinetd kann alle dienste konfigurieren, die per (x)ineted gestartet werden -- das sind tcp dienste, meist aber weder apache noch samba noch ssh.

sollten die dienste libwrap verwenden (wie openssh) dann koennen sie ebenfalls in hosts.allow / hosts.deny konfiguriert werden.

der tcp wrapper und die (x)inetd services sind ebenso wie ein ip binding mindestens ebenso sicher wie eine firewall; das ip binding oder besser noch ein interface binding (samba) ist sogar sicherer.

[ppaul]

Zitat:

Original geschrieben von Philipp




Auf einen Desktop/Testserver der permanent am Internet hängt ist eine Firewall schon ein muss

Neben der Möglichkeit das alle Dienste weggeblockt werden können (und Chello selbst mit Portscans keine Server findet) werden auch Hackangriffe gelogt. Es ist immer wieder interessant wieviel Leute versuchen mittels Trojan Client auf meinen Rechner zuzugreifen und dabei nur ihre IP loggen

na ja, fuer eine richtige firewall sollte ein eigener rechner verantwortlich sein, damit bei einem richtigen gelungenen angriff nicht gleich alles verloren ist!

apropos loggen: eine loggende firewall ist absolut anfaellig fuer DoS attacken! firewalls sollten nur im testmodues beims etup loggen, sonst nicht!

[valo]

man kann die firewall aber mittels tftp auf einen anderen rechner über netz loggen lassen, dann fällt die möglichkeit, dass die platte voll wird weg.... so wie man das ja mit cisco geräten auch machen kann

[citizen428]

Zitat:

Original geschrieben von ppaul
xinetd kann alle dienste konfigurieren, die per (x)ineted gestartet werden -- das sind tcp dienste, meist aber weder apache noch samba noch ssh.

Naja, Apche kann ich ja in der httpd.conf beibringen ob ich ihn über (x)inetd oder standalone starten will.

Zitat:

der tcp wrapper und die (x)inetd services sind ebenso wie ein ip binding mindestens ebenso sicher wie eine firewall; das ip binding oder besser noch ein interface binding (samba) ist sogar sicherer.

Danke, werd mich diesbezüglich mal schlau machen!

[ppaul]

Zitat:

Original geschrieben von citizen428


Naja, Apche kann ich ja in der httpd.conf beibringen ob ich ihn über (x)inetd oder standalone starten will.

Danke, werd mich diesbezüglich mal schlau machen!

apache per (x)inetd ist eine echte schlaftablette... wozu nen schnellen webserver mit fork-pooling wenn man das nicht verwendet?!? die ganzen performacne features auch modperl usw. werden ad adsurdum gefuehrt mit (x)inetd modus. das ist mehr so der vollstaendigkeit halber, aber nicht fuer ernst gemeinte webserver...

(x)inetd ist mehr was fuer dienste mit wenigen langen sitzungen, etwa telnet, ftp, rcp, wo der startup kurz ist -- daher ist auch ssh nicht dafuer geeignet -- das ausrechnen der keys dauert sonst zu lang!

[ppaul]

Zitat:

Original geschrieben von valo
man kann die firewall aber mittels tftp auf einen anderen rechner über netz loggen lassen, dann fällt die möglichkeit, dass die platte voll wird weg.... so wie man das ja mit cisco geräten auch machen kann

cool -- ich kenn nichts was per tftp loggt...

aber syslog net services (wie sie die cisco 36xx, 25xx, 35xx, 17xx usw. sowie linux und cyclades unterstuetzen) sind fuer cisco und linux ganz gut geeignet wenn du aber pro paket 80 byte per syslog wegschickst ziehst DoS nicht nur auf die firewall, sondern auch auf den logserver und das netz dazwischen -- auch nicht wuenschenswert!

[ppaul]

Zitat:

Original geschrieben von Sloter
Richtig Philipp, oder man gibt ihm einfach eine 192 oder 10.x... als IP, dann geht von aussen auch nichts.

Sloter

und dann greifst per masquerading irgendwohin zu und der trojaner kommt per buffer overflow rein...