mehrere Webseiten erstellen

[SPQRInc]

Hallo zusammen,

nun komme ich nicht "gebürtig" aus der OS X-Welt, weiß aber z.B. durchaus mit Linux umzugehen. Hier ist ganz klar: Selbst der kleinste vServer, den man vlt. nur selbst nutzt, wird regelmäßig angegriffen. Der im Grunde sichere Linux-Kern ist oft gar nicht Ziel des Angriffes, sondern vielmehr die zus. installierten Dienste.

Ich würde den Mac-Server erst einmal im LAN ausprobieren - ausprobieren heißt, bestimmte Themen erarbeiten, nicht, wie es nun von Dir dargestellt wurde, zu warten, bis der Server aus dem eigenen LAN angegriffen wird.

Mach Dich doch z.B. mal schlau über die verschiedenen Dienste, über verschiedene Sicherheitsaspekte, über Protokolle und Angriffsmöglichkeiten.

Vielleicht mal eine erste Aufgabe: Prüfe, ob Dein Server als offener Relayserver zum Versenden von (Spam-) Mails genutzt werden kann. Auch, wenn ich davon ausgehe, dass dies aktuell nicht der Fall ist, setzt Du Dich so etwas mit dem Thema auseinander.

Beste Grüße

 

[F0X1786]

Dann seh ich das ein. Dann würde ich im Fokus stehen....aber die Standardportscanner achten doch nur auf z.B. offene SSH-Ports.

Ich glaube du hast ganz falsche Vorstellungen von dem normalen "Hintergrundrauschen" im Internet. Einen Port außerhalb der "well-known ports" zu verwenden hilft schon lang nicht mehr. Selbst bei gut überwachten Endnutzer-Netzen kommen bis zu 20 "Attacken" pro Tag durch.

Wenn du einen Port öffentlich freigibst solltest du genau wissen welches die Schwächen des dahinter lauernden Programmes sind und wie man diese beseitigt.


Beschäftige dich ein bisschen im Lokalen Netzwerk wie ein Webserver arbeitet und nutze ein VPN. Bei heutigen Fritzboxen war es nie so einfach eine sichere Verbindung zwischen zwei Netzwerken aufzubauen.

 

[Ludwigsonline]

Zuerst möchte ich mich entschuldigen. Wer f***en will muss freundlich sein. Ich kann euch nicht ankacken und dann erwarten, dass ich vernünftige Antworten bekomme. Zu meiner Verteidigung möchte ich aber sagen, dass ich Probleme mit Leuten habe, die nur Kritisieren. Nichts gegen konstruktive Kritik, aber das Konstruktive ging mir hier ein wenig ab.
"Deine Annahmen zu Portscans z.B. sind absolut fahrlässig." Ok....aber wie ist es richtig? Ich bin nicht hier um zu hören was falsch ist, sondern um zu lernen warum es richtig ist.

Es gibt die Leute denen alles Sch...egal ist, "mach doch alle Ports auf, läuft doch besser dann...." und es gibt die "Fanatiker". "Alle Ports zu machen, am besten vom Strom nehmen, damit auch jaaaaa nix passieren kann."
Ich denke ein Mittelweg ist sinnvoll. Natürlich sollten so wenig Ports wie möglich offen sein und das System so sicher es geht. Aber ein paar Ports muss ich schon aufmachen, sonst brauch ich ja keinen Server. Und auch ihr habt ja sicherlich ein paar Ports offen. Was macht ihr um "Angriffe" abzuwehren (ihr sitzt ja nicht 24/7 am Rechner), wie schaut ihr was an anfragen reinkamen, habt ihr Tools die euch das ganze erleichtern? Sicherheit ist kein Zustand, sondern ein kontinuierlicher Prozess. Auch mir ist das bewusst, wie sieht bei euch dieser Prozess aus?

@F0X1786: zum Hintergrundrauschen: Ich scheine mich da komisch ausgedrückt zu haben (und bitte korrigiert mich wenn ich falsch liege!!). So wie ich das verstehe, werden im Internet die gesamten IP-Adressen abgeklappert und geschaut welche Ports offen sind, d.h. eine Response geben. Diese offenen Ports werden dann auf (bekannte) Sicherheitslücken abgeklappert. z.B. ein offener SSH-Port auf Standard Benutzernamen und Passwörter getestet oder auf dem VPN ein veraltetes Protokoll verwendet wird (PPTP), etc... liege ich damit falsch?

@SPQRInc: was meinst du mit "bestimmte Themen" erarbeiten?
zu dem Relayserver: Gehässigerweise müsste ich schreiben, natürlich kann mein Server als Relayserver genutzt werden. Wer den Server "hackt" und Zugriff erlangt kann alles machen
Scherz bei Seite, da ich den Maildienst gar nicht gestartet habe, sollte das nicht möglich sein. Der Maildienst steht bei mir auch ganz hinten auf der Liste, da ich ihn für am "komplexesten" und mit dem meisten Wartungsaufwand verbunden sehe. Erst wenn alles andere zu meiner Zufriedenheit läuft, würde ich mich da erst einlesen.

Ich habe nur folgendes Aktiv:
VPN (L2TP over IPSec (GRE, ESP, 500, 1701, 4500)),
Kalender (8008, 8443),
Kontakte (8800, 8843),
den 80 & 443 (eine Seite, reines HTML, mehr geht ja noch nicht ) und
einen Port für mein Wetterstationsprogramm.

Installiert ist OS X, die Serversoftware und die Wetterstation.

Liege ich so daneben, wenn ich die Kalender und Kontakte-ports auf mache? Für alles andere (Screensharing, WebDAV, etc) nutze ich den VPN, aber die Kalender und Kontakte sollen sich unterwegs auch Syncen wenn ich nicht im VPN bin. Und sollte da eine Sicherheitslücke bekannt werden, wird das glaube ich ganz schön Wind machen und "selbst ich" bekomme das dann mit (so ein paar Newsseiten lese ich ja auch). Ist das zu naiv?

Ich denke (hoffe), dass ich mit diesem Grundsetting nicht so schlecht fahre. Mich würde halt interessieren, wie ich (zuverlässig) Angriffe / Zugriffe bzw. unberechtigtes Treiben erkenne, was ich dagegen tun kann (Stecker ziehen....schon klar) und vielleicht welche Tools ihr nutzt um euch das Aufzubereiten (oder schaut ihr euch das Roh an?).

Danke schon mal für eure Mühe
Lu

 

[stk]

… welche Tools ihr nutzt um euch das Aufzubereiten (oder schaut ihr euch das Roh an?).

Matrix liest man im Quellcode:

So schlecht ist das beschriebene Setting nicht, wenn gleich nicht klar wird, wo und wie die Wetterstation exponiert wird. Die sehe ich daher noch am kritischsten! Man sollte nicht glauben wie viele erfolgreiche Angriffe über »dumme« Gerätschaften wie Drucker, Telefone oder meinetwegen auch Wetterstationen erfolgreich sind. Mal als Inspiration:

Um diese Inhalte anzuzeigen, benötigen wir die Zustimmung zum Setzen von Drittanbieter-Cookies.
Für weitere Informationen siehe die Seite Verwendung von Cookies.

Drittanbieter-Cookies akzeptieren

Web, Kalender und Kontakte würde ich auf die SSL-Ports beschränken.

Gruß Stefan

 

[Ludwigsonline]

Hi,
von dem Vortrag hatte ich schon gehört. In den Details hat er mich zwar abgehängt, aber die Message kam rüber

Ich mache mir aber nichts vor. Ich habe zu viele andere Faktoren die bei meinem Server eine Schwachstelle bilden und wenn jemand wirklich will (alles eine Frage des Aufwandes), kommt er auf den Server. Mir geht es eher darum, die offensichtlichen Fallen und dem "Schleppnetz" zu entgehen. Dafür wäre noch interessant zu wissen, ob meine Vorstellung der Scans wirklich falsch ist, oder ob ich mich nur komisch ausgedrückt habe.
Ausserdem, nutzt ihr "fremde Zertifikate" (Comodo oder StartSSL), oder ein selbst erstelltes. Hatte bis jetzt eines von StartSSL, aber meines erachtens tut es auch ein eigenes.

Die Wetterstation besteht aus einer Basisstation (per USB angeschlossen), die per Funk ihre Daten bekommt. Diese werden an einen Software weitergereicht. Angriffsfläche böte sich also genug

Danke für Eure Hilfe!

Lu

 

[stk]

aus einer PN von @Ludwigsonline (und mit dessen freundlicher Genehmigung) an mich:

mal eine Frage zum "Matrix"-lesen. Wo holst du dir deine Daten her? Ich könnte mir die Logfiles aus der Fritzbox ziehen, aber auch der Server bietet ne Menge an....Hatte ne zeitlang LittleSnitch installiert, wurde mir aber von abgeraten. Jetzt fehlt mir so ein wenig der Anhaltspunkt welche Files ich mir regelmäßig anschauen sollte und vor allem, nach was genau ich Ausschau halten sollte.

LittleSnitch ist eine Reverse Firewall, die ausgehende Verbindungen protokolliert und - sofern noch keine Regeln für eine Verbindung vorhanden sind - auch zur Konfiguration auffordert. Deshalb ist es ein für Server (die i.d.R. ja ohne Login, wenigstens aber Headless, mindestens aber nicht 7/24 mit Bildschirmzugriff per Remote laufen) ein komplett ungeeignetes Produkt. Jede Automatik die Verbindungen wahlweise bestätigt oder ablehnt führt immer zu Fehlern. Entweder weil man zu viel erlaubt (dann kann man sich LS komplett sparen) oder zu viel abdichtet (dann arbeitet der Server nicht mehr richtig).

Die Logs der FritzBox sind deutlich zu übersichtlich um daraus Honig zu saugen. Bestenfalls lass ich mir da noch per Pushservice die Zugriffe via Gastnetzwerk im Tagesintervall zusenden. Der Rest ist weitgehend ohne Aussagekraft.

Wesentlich wäre bei o.g. Konfig der Blick in die VPN-Logs - wer hat sich wann mit welcher IP eingewählt und wurde wann wieder getrennt (deswegen auch mein Plädoyer für den Zugriff auf CardDAV/CalDAV via VPN, weil man dann nur an einer Ecke lesen muss …). Entsprechend dann auch die Zugriffslogs für Kalender-/Adressbook-Server wenn Sie denn exponiert sind um zu sehen, ob da ggf. ein Account ein auffälliges oder auch auffällig abweichendes Muster in der Benutzung zeigt.

Ein paar der Sachen lassen sich über das Server-Programm erschlagen, aber besser man freundet ich mit »Konsole« an. Hilfsweise - um Sachen auf dem Arbeitsplatzrechner zu zentralisieren - ist auch FileScope (gibt's wohl nicht mehr offiziell wenn ich das richtig deute, weil die Bude die's entwickelt hat nur noch iOS Krempel bastelt: http://www.brothersoft.com/filescope-187134.html) einen Blick wert.

Für die Wetterstation würde ich mal eine WireShark aufsetzen um zu sehen, was da rein und raus geht, ob's verschlüsselt ist, etc. etc. Merke (das ist ja auch die Quintessenz der o.g. 29C3 Präse): wenn man weiss, was hinten regelmässig rauskommt, wenn man vorne etwas definiertes reinstopft ist die BlackBox keine mehr. Dann kann man dem Ding jederzeit ein X für ein U vormachen (vulgo: Man-in-the-Middle Attacke).

Spätestens jetzt wird's dann anstrengend und die Frage nach Aufwand zu Nutzen eines Servers darf berechtigterweise in den Raum gekegelt werden … und Augen zu und durch gilt nicht!

 

[hutzi20]

Wenn ich im Server die Webseite einstelle, dann kann ich sagen "PHP aktivieren". Ich dachte damit ist es getan...

OS X Server hat doch PHP installiert. Muss ich MAMPP oder XAMPP auch noch installieren? Doch nur bei OS X (ohne Server), oder? MAMPP brauch ich doch erst, wenn ich Joomla installieren will (wegen mySQL). Oder versteh ich mal wieder was falsch?

Habe die meisten Beiträge jetzt nur kurz überflogen, aber ich kann den meisten zustimmen: Du solltest dich ein bisschen mehr in die Materie einlesen...

Ich habe jetzt noch absolut keine Erfahrung mit OS X Server aber nur so viel sei gesagt: Apache und PHP ist seit OS X 10.0 immer standardmäßig installiert, da braucht es keine Server Version oder Zusatzsoftware für...

Mit dem Terminalbefehl "sudo apachectl start" startest du Apache. Wenn du jetzt in Safari localhost aufrufst erscheint ein erfreuliches "It works"
Um PHP zu aktivieren kommentierst du einfach die Zeile "LoadModule php5_module libexec/apache2/libphp5.so" in "/etc/apache2/httpd.conf" aus (entfernen der vorangestellten Raute)
Das Standardverzeichnis für deine Daten ist "/Library /WebServer/Documents"

EDIT: hab mal nach einer kompletten Anleitung gesucht: http://machiine.com/2013/how-to-install-apache-and-php-on-a-mac-with-osx-10-8-mamp-part-1/ Dort findest du alles Schritt für Schritt, über die Aktivierung bis hin zur Installation von MySQL und phpmyadmin

 

[Ludwigsonline]

Hi,

@hutzi20 Die Serversoftware ist installiert (aus anderen Gründen), deshalb brauche ich ja nicht noch mehr zu installieren, bzw. kann die Serversoftware auch zum darstellen meiner Webseite nutzen. In der Software kann man ein Häkchen bei PHP und Python setzen und startet diese Dienste somit. Ich mache mit diesem Häkchen also nichts anderes als du mit dem Terminal vorhast. Danke trotzdem für deine Mühe.
Da die Diskussion hier etwas abdriftete habe ich den eigentlichen Beitragsgrund nicht mehr weiter verfolgt. Dazu jetzt hier einige Updates:
PHP ist installiert und aktiviert (den # in https.conf hatte ich schon entfernt). Das eigentliche Problem war die erstellte Datei. Ich bin immer noch der Meinung, dass man mit dem Texteditor eine Datei erstellen kann, diese dann .html nennen kann und dieses dann funktioniert (und ja, es ist eine .html und keine .html.txt). Habe mir auf die schnelle den TextWrangler runtergeladen....damit funktioniert es. Scheint also an der erstellten Datei zu liegen. Täusche ich mich, oder sollte das mit dem Texteditor nicht auch gehen??
MAMP hab ich auch schon gesehen (springt einem ja nahezu entgegen wenn man nach "Mac PHP" sucht), allerdings möchte ich so wenig Software wie möglich installieren und wenn es mir möglich ist komplett auch SQL verzichten. Wie du auch schon sagtest, "[...] Apache und PHP ist seit OS X 10.0 immer standardmäßig installiert, da braucht es keine Server Version oder Zusatzsoftware für [...]"
Klar könnte ich auch MAMP und Joomla oder Wordpress draufpatschen....(zumindest könnte ich es versuchen), aber das wäre nicht hilfreich.

Danke trotzdem für eure Hilfe

PS.: @stk FileScope habe ich mir noch nicht gezogen (und vor allem nicht über diese Seite. Erscheint mir ein wenig Fishi...wo hast du die denn gefunden?) Den WireShark hab ich mir runtergeladen....es wird aber eine weile dauern bis ich mich eingehender damit beschäftigen kann....den Namen hab ich schon des öfteren gehört...mal sehen (hab ja bald Urlaub). Danke nochmal für die Tipps, werde mich wohl an die Konsole gewöhnen

 

[hutzi20]

Von MAMP habe ich gar nichts geschrieben. Ich meinem geposteten Link taucht der der Name "MAMP" in der Überschrift nur auf weil du alles was MAMP macht auch genau ohne dieses Programm realisieren kannst.

Der Texteditor funktioniert für sowas natürlich auch. Ich glaube du hast beim erstellen der Datei einfach vergessen im Texteditor die Option "In reinen Text umwandeln" vergessen.

 

[stk]

Hi,
FileScope habe ich mir noch nicht gezogen (und vor allem nicht über diese Seite. Erscheint mir ein wenig Fishi...wo hast du die denn gefunden?)

Auf der allwissenden Müllhalde natürlich …

weil ich einer von den Netten bin : FileScope zum Download auch wenn man das Teil nur noch unlizenziert und damit funktionseingeschränkt (was auch immer das war ) betreiben kann.