Empfehlungen bezüglich Server-Sicherheit

Hi,

was hast Du denn jetzt genau? Einen Server oder nur Webspace?

Wenn es nur Webspace ist, kann ich Dir schonmal zur guten Wahl gratulieren. Manch einer holt sich gleich einen Server obwohl er nicht weiß, was er da eigentlich macht/machen muss.

Hast Du stattdessen einen Server oder vServer, solltest Du ihn erst mal wieder kündigen, die Grundlagen lernen, zu Hause einen kleinen Server zum Testen betreiben und dann, wenn Du Dir sicher bist, kannst Du Dir wieder einen vServer oder Server holen, falls Du ihn überhaupt brauchst. (Was meißtens gar nicht der Fall ist.)

Also zurück zum Webspace:

hier kümmert sich der Anbieter Deines Webspace größtenteils um die Sicherheit. Was er jedoch nicht machen kann, ist die Sicherheit Deiner hochgeladenen Scripte überprüfen oder überwachen. Da kommt es einfach drauf an, was für Scripte Du hochlädst. Bei einfachen HTML-Seiten mit vllt nen paar Bildern und CSS brauchst Du auf nichts zu achten (außer auf ein sicheres Passwort für den FTP natürlich). Da kann ein Hacker nichts mit anfangen bzw. wenn doch, könntest Du es eh nicht verhindern und es ist dann auch nicht Deine Schuld.

Sobald Du aber mit php oder anderen "richtigen" Programmiersprachen anfängst, musst Du diese natürlich entsprechend sicher gestalten. Zum Beispiel musst Du alle Anfragen, die von außen kommen, auf korrekten Dateninhalt überprüfen (Ein Semikolon ist zum Beispiel ungünstig, wenn Du eine Zahl erwartest. Auch, wenn das Formular eigentlich nur Ziffern zulässt.) Und es gibt natürlich noch einiges weiteres, was Du dann beachten musst. Dazu gibt es in den Dokumentationen zu den entsprechenden Programmiersprachen aber auch immer eine Sektion "Sicherheit" in der viele Tips stehen.

Ich hoffe, ich hab Dich jetzt nicht zu sehr verschreckt.

Hallo MBGucky,

ich habe mir Webspace gemietet. Ich kann mir einen eigenen Server im Moment nicht leisten und ich habe, wie du bereits erwähnt hast, zu wenig Ahnung von Servern. Ausserdem habe ich keine Zeit um alles selber zu warten (Betriebsystem installieren, alles konfigurieren, Backups, etc.). Aus diesen Gründen entschied ich mich Webspace zu kaufen. Ich habe für nur 8 Euro pro Jahr 2GB Webspace erhalten. Es funktioniert alles einwandfrei und der Administrator ist sehr hilfsbereit. Ich weiss, dass es ein seriöses Angebot ist, weil das Angebot auf einem Auktionshaus (Ricardo.ch) angeboten wurde. Das Bewertungsystem dort greift eigentlich sehr gut.

OK, da bin ich eigentlich beruhigt. Ich habe ein 14stelliges Passwort mit Zahlen und Gross-Kleinschreibung. Und zwei verschiedene Passwörter für den FTP und Adminbereich.

Ich hatte mal ein Gästeb uch von Artmedic drauf das habe ich aber wieder gelöscht.

Ich habe eigentlich eher Angst dass jemand meinen Account hackt und dort illegales Material etc. postet (Spielfilme, Musik, etc.). Ist diese Angst berechtigt oder nicht? Ich glaube mit 2GB kommt da niemand weit oder?

Und: Weisst du, ob sich die Datei robots.txt nur auf das Verzeichnis httpdocs oder auch auf übergeordnete Verzeichnis bezieht, also z.B. cgi-bin?

Liebe Grüsse, danke für deine Hilfe
und einen guten Start ins 2011
wünscht dir

Tamash

 

Hi,

na bis jetzt hast Du alles richtig gemacht

die robots.txt gehört NUR in das Stammverzeichnis (Das Verzeichnis, welches unter www.example.com/ erreichbar ist.), nicht in Unterverzeichnisse. Man kann darin Regeln für alle Unterverzeichnisse und Dateien erstellen. Beachte jedoch, dass sich nicht alle Crawler an die Robots.txt halten müssen und das jeder, der von der Existenz dieser Datei weiß (also jeder, der sich ein bisschen auskennt), diese aufrufen und lesen kann. Sie dient also nicht dazu, den Zugriff auf Dateien zu verbieten.


Ich denke nicht, dass jemand Deinen Account zu dem Zweck hacken wird, um illegale Dateien hochzuladen. Dafür gibt es genügend andere Möglichkeiten.

Wenn schon, dann will jemand entweder an die Informationen in Deiner Datenbank (Adressen, Passörter, Kontodaten) , was aber bei kleineren Webseiten nicht so interessant ist. Eher möchte dann jemand Deinen Webspace verwenden, um Spam zu versenden oder um DDOS-Attacken durchzuführen.

Um das zu vermeiden, muss man eigentlich nur auf die Sicherheit der hochgeladenen Scripte achten. Im Notfall wird aber (hoffentlich) der Serveradmin eingreifen, wenn er ungewöhnlich hohen Traffic feststellt.

 

Sehr gut!

Ich danke dir für deine Unterstützung ganz herzlich! Hast mir sehr weitergeholfen!

Ja, ich glaube da würde der Serveradmin eingreifen und ausserdem habe ich noch dieses Programm HackDetect mit dem immer ein Abbild der ganzen Server-Struktur gemacht wird. Sollte sich dort irgendetwas ändern ohne dass ich etwas gemacht habe, dann schlägt das Tool Alarm (es startet automatisch mit Windows und vergleicht dabei ständig die Dateistruktur des Servers mit dem  zuletzt abgespeicherten Zustand).

Ich wünsche dir einen guten Rutsch ins neue Jahr!
Lass es krachen ;-)

Liebe Grüsse

Tamash