Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
default : usage(1) ;<br />
}<br />
}<br />
wait_conn() ;<br />
return 0 ;<br />
}<br />
Als Vergleich mag der Abschnitt über die Absicherung von PERL Skripten dienen: Kapitel<br />
PERL Sicherheit bei WWW-Servern....<br />
22.8 Installation von Servern mit CHROOT<br />
Besonders wichtig ist es stets, WWW-Server, SQL Datenbanken, FTP-Server... so<br />
abzusichern, daß ein Angreifer im Falle eines Einbruchs möglichst wenig Rechte erhält,<br />
<strong>und</strong> in einem Unterverzeichnis gefangengehalten wird. Es ist selbstverständlich, daß die<br />
Dämonen mit möglichst wenig Rechten gestartet werden. Der Start eines Dämons in einer<br />
CHROOT() Umgebung sollte eigendlich selbstverständlich sein. Viele kommerzielle<br />
Server, wie z.B. der Netscape Enterprise Server, ROXEN Challenger <strong>und</strong> viele FTP<br />
Dämomen unterstützen diese Funktionalität von Hause aus, sind aber in vielen Fällen<br />
nicht automatisch aktiviert. Schauen Sie bitte zuerst im <strong>Handbuch</strong> nach, bevor Sie dieser<br />
Installationsanleitung folgen. Sie ist allgemeingültig auf alle Dämomen unter UNIX<br />
anwendbar <strong>und</strong> erhöht die Sicherheit eines Server enorm, ohne sich negativ auf die<br />
Performance auszuwirken. Sie sollten, nachdem Sie diese Übung hier absolviert haben,<br />
alle Serverdämomen unter UNIX so absichern.<br />
Wie man einen WWW-Server unter UNIX hinter einer <strong>Firewall</strong> mit Hilfe eines CHROOT()<br />
Skriptes absichert, wird in diesem Abschnitt detailliert beschrieben. Man beachte auf das<br />
Kapitel CHROOT(). Das Original findet sich auf<br />
http://hoohoo.ncsa.uiuc.edu/docs/tutorials/chroot-example.html, <strong>und</strong> ist von Denise<br />
Deatrich vom CERN, Schweiz verfasst worden. Sie ist in englisch verfaßt <strong>und</strong> leicht<br />
verständlich.<br />
The following is a post from last year about how someone went about creating<br />
a chroot web server. Though he used CERN's http, it applies equally well to<br />
most web servers.<br />
--------------------------------------------------------------------------------<br />
From: deatrich@hpopc1.cern.ch (Denice Deatrich)<br />
Subject: how to chroot your web tree -- an example<br />
(this posting is a bit long; but might be useful to people who want a<br />
detailed example of chroot-ing a web tree)<br />
Earlier this year I chroot-ed our web tree, and I'm REALLY glad I did. Our<br />
web site fulfills many functions, and grows like mad. Various people<br />
contribute to the tree, and they will try almost _anything_, even people who<br />
you thought knew little about unix...<br />
Why do this? Well, it suffices to read comp.security.unix, or<br />
comp.infosystems.www.authoring.cgi to <strong>und</strong>erstand why you should be aware of<br />
possible security pitfalls in serving a web tree. So why not take extra<br />
precautions to protect your server? 'chroot'ing an application definitely<br />
limits the byte-space that an application can roam. It will NOT solve all<br />
problems, but at least it will contain things. Holy smokes! There is so much<br />
Internet-mania right now, and there are so many uninformed people jumping on<br />
the bandwagon... So if you are a system administrator than you should (try<br />
to) stay one step ahead of them all...<br />
There is an extra benefit in chroot-ing a web tree: we can move our web tree<br />
anywhere, anytime if a disk dies (especially if you have a 'spare' host that<br />
can suddenly 'assume' your web-hosts identity when your boot volume dies).<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins