Wie heeft er ervaring met het (goed) beveiligen van de Apache 2.x webserver?
3.119 views
Wat zou je er niet kunnen aan beveiligen ?? het is niet zo dat ze je site kunnen binnen hacken hoor
Onder welke omgeving draai je? (Unix/linux/windows, dedicated/virtual sharing hosting). Dat zijn behoorlijk belangrijke details. Apache is van zichzelf secure, zolang je enigzins de bugs bijhoud (bugtraq in de gaten houden). Maar er is de afgelopen paar jaar niet een werkelijk gevaarlijk apache gat uitgebuit.
Over het beveiligen van apache wordt het vraagstuk al snel groter:
Bij dedicated hosting (een website/meerdere websites van dezelfde eigenaar) neemt al een hoop vraagstukken weg. Bij virtual hosting heb je het probleem dat users onderling niet bij elkaar in de dir moeten kunnen kijken (is toch niet erg leuk als een andere klant al je wachtwoorden jat).
En voor apache geld: zet php en cgi uit en je apache is goed secure ;)
Over het beveiligen van apache wordt het vraagstuk al snel groter:
Bij dedicated hosting (een website/meerdere websites van dezelfde eigenaar) neemt al een hoop vraagstukken weg. Bij virtual hosting heb je het probleem dat users onderling niet bij elkaar in de dir moeten kunnen kijken (is toch niet erg leuk als een andere klant al je wachtwoorden jat).
En voor apache geld: zet php en cgi uit en je apache is goed secure ;)
Bedankt Arend, dat helpt me al een eindje op weg!
Het draait onder windows en of het onder dedicated of virtual draait zou ik zo niet weten, dat zou ik ff moeten vragen (of PM'en).
Het geval is namelijk dat de site 'gehackt' kan worden en dat er iemand een bestand op C:\ kan zetten.
Ik heb ook ooit eens iets gelezen over de poort, dat die beter niet op 80 kan staat. dat is de standaard-poort en wordt vaak afgescand door 'hackers/crackers'
Helpen bepaalde settings in je php.ini ook, zoals safemode en dergelijke?
Het draait onder windows en of het onder dedicated of virtual draait zou ik zo niet weten, dat zou ik ff moeten vragen (of PM'en).
Het geval is namelijk dat de site 'gehackt' kan worden en dat er iemand een bestand op C:\ kan zetten.
Ik heb ook ooit eens iets gelezen over de poort, dat die beter niet op 80 kan staat. dat is de standaard-poort en wordt vaak afgescand door 'hackers/crackers'
Helpen bepaalde settings in je php.ini ook, zoals safemode en dergelijke?
Safemode helpt zeker. Ook Register Globals uitzetten helpt. Gaten als uploaden en bestanden op C:\ zetten zijn waarschijnlijk fouten in php scripts (vandaar het nutteloze advies php en cgi scripts uit te zetten), in php scripts zitten veelal veel meer gevaarlijke bugs dan in apache.
Het op andere ports dan port 80 draaien is niet erg nuttig. Port 80 wordt standaard gebruikt voor webservers, en wil je dat je webser niet vanaf buiten bekeken kan worden, kan je deze het beste enkel aan
enkel je localhost binden, zodat de buitenwereld er gewoon niet bij kan. wil je dat die dr wel bij kan is het op port 8080 oid zetten enkel "security though obscurity". Het wordt er niet wezenlijk veiliger van, alleen iets moeilijker te vinden.
Laat geen wilde scripts ronddwalen op je webserver, niet/slecht functionerende scripts die nog ronddwalen zijn vaak gebruikte achterdeuren.
Hoe dat zit dat er gehacked kan worden en men kan uploaden en downloaden op C:\ zul je nog moeten nakijken. Safemode in php zal hier een einde aanmaken doordat er niet buiten de webroot kan worden gekloot. Lees de php handleiding goed door, op het gebied van installatie en veiligheid, hier wordt een hoop duidelijk gemaakt over wat safemode precies doet, en ook instellingen als open_basedir, en nogmaals Register_globals zal uit moeten staan.
Lees de php.ini goed door, en zoek de instellingen die je niet goed begrijpt door. Dit is redelijk leerzaam en kan je wat makkelijker zelf beslissingen maken.
Het op andere ports dan port 80 draaien is niet erg nuttig. Port 80 wordt standaard gebruikt voor webservers, en wil je dat je webser niet vanaf buiten bekeken kan worden, kan je deze het beste enkel aan
enkel je localhost binden, zodat de buitenwereld er gewoon niet bij kan. wil je dat die dr wel bij kan is het op port 8080 oid zetten enkel "security though obscurity". Het wordt er niet wezenlijk veiliger van, alleen iets moeilijker te vinden.
Laat geen wilde scripts ronddwalen op je webserver, niet/slecht functionerende scripts die nog ronddwalen zijn vaak gebruikte achterdeuren.
Hoe dat zit dat er gehacked kan worden en men kan uploaden en downloaden op C:\ zul je nog moeten nakijken. Safemode in php zal hier een einde aanmaken doordat er niet buiten de webroot kan worden gekloot. Lees de php handleiding goed door, op het gebied van installatie en veiligheid, hier wordt een hoop duidelijk gemaakt over wat safemode precies doet, en ook instellingen als open_basedir, en nogmaals Register_globals zal uit moeten staan.
Lees de php.ini goed door, en zoek de instellingen die je niet goed begrijpt door. Dit is redelijk leerzaam en kan je wat makkelijker zelf beslissingen maken.
eyzzz.... apache is zooooo makkelijk te hacken!!!! vertelle jullie mij maar eens hoe je dat waterdicht kan maken want volges mij is dat onmogelijk.... er zitten zo veel lekken in
tuurlijk, bijna alles is apache... dan zou er echt al wel wat meer belangrijke sites gehackt zijn :P
Ik heb zelf redelijk wat ervaring in "beveiligings related stuff en het breken ervan" om het zo maar even te zeggen ... apache is redelijk veilig , als je veel verstand hebt kun je er zeker wel binnen hacken.. maar zo makkelijk is het ook weer niet :: het punt is echter dat als iemand een beveiligingsfout ondekt hij/zij er een programma voor kan schrijven waarmee weer vele newbies er binnen kunnen wandelen .. maar dat is internet .. zo als een der grootste hacker al zij : real kings never hurt peasant .. met anderre woorden : beetje goede hackers gaan geen personal comps/ site etc hacken , beveiliging bestaat vrijwel niet .. als je ergens langs wil komen en bereid bent om er onderzoek en tijd aan te besteden kom je er wel in.
Maar ik vind sites logins en servers tegenwoordig best redelijk beveiligt .. om de meeste script kiddies ( want dat is 99%) buiten te houden
Maar ik vind sites logins en servers tegenwoordig best redelijk beveiligt .. om de meeste script kiddies ( want dat is 99%) buiten te houden