Kirjoittaja Aihe: LAMP ja tietoturva  (Luettu 2233 kertaa)

p1rkk4

  • Vieras
LAMP ja tietoturva
« : 02.09.08 - klo:23.00 »
Asentelin tuossa taannoin koneelleni LAMPin, lähinnä kotisivujen kehittelyä ajatellen. Hoidin asennuksen wikin ohjeiden mukaisesti ja asetin sivut näkymään vain omalla koneellani. Nyt kuitenkin kiinnostaisi päästä palvelimella oleville sivuille käsiksi myös netin kautta.

Ongelmana on rajallinen ymmärrykseni tietoturva-asioissa. Voisiko joku vinkata jonkun tietolähteen, jossa lyhyesti ja ytimekkäästi käytäisiin läpi olennaiset LAMPin tietoturvaa koskevat asetukset ja niiden merkitykset tavalla, jonka myös ei-niin-kokenut linuxkäyttäjä ymmärtää? Olen koittanut itse hakea tietoa heikolla menestyksellä, tuloksena on ollut lähinnä hajanaista tietoa tai raamatun kaltaisia "ummet lammet" selostuksia. Olisi tietysti hyvä lukea noita perusteoksia, mutta opiskelen täyspäiväisesti aivan toista alaa ja aika on kortilla..

Tämänhetkinen tilanne on siis se, että koneelle on asennettu Ubuntun LTS työpöytäversio ja sen päälle LAMPpi. Palomuurin asetuksiin ei ole koskettu millään tavalla.

stfu

  • Käyttäjä
  • Viestejä: 197
    • Profiili
Vs: LAMP ja tietoturva
« Vastaus #1 : 03.09.08 - klo:13.23 »
Ubuntussa on yleensä ottaen ihan hyvät asetukset LAMP:lle. Jos nyt et hirveän laajaan levitykseen tuon kautta palveluja tarjoa niin lähtisin perusasetuksilla, mutta muuttaisin apacheen niin että hakemistojen listausta ei voi tehdä. Tämä on aika yleinen virhe, tosin ei mikään hirveän kriittinen tietoturvaa ajatellen. Laittaisin ehkä myös awstatsin tai vastaavan ohjelman josta voisi tutkailla vähän käyttöä. Näkeepä sieltä jos sivuilta yritellään joihinkin yleisiin tietoturvareikiin kun katselee 404/403 error logeja.

Tässä ohje ubuntulle:
http://mponteres.wordpress.com/2007/07/05/disable-directory-listing-in-apache/

peran

  • Vieras
Vs: LAMP ja tietoturva
« Vastaus #2 : 03.09.08 - klo:15.57 »
Jos vähääkään tietoturvan kannalta ajattelee, niin kannattaneen hommata itselle WEB-hotellipalvelu, joka kattaa MySQL:n ja PHP:n. Yleensä niissä on tietoturva hoidettu paremmin, kuin itse arpomalla saa tehdyksi.

(Tosin kaikki FTP-yhteyksillä päivitettävät kannattaa unohtaa, koska ne elävät kivikautta, joten tuskin niissä muutenkaan on loistavassa timmissä tietoturva.)

Jos on tarkoitus tehdä vain harrastetoimintaa, niin yhdistysperiaatteella toimiva kapsi.fi-voi olla varteenotettava vaihtoehto.

http://www.kapsi.fi

Harrastushan maksaa aina, mutta n. 30:nen euron sijoitus vuodessa ei liene ylitsepääsemätön.