Apache Friends Support Forum

[buffbizzl]

Hallo Leute,

zunächst mal möchte ich ein riesiges Kompliment für das XAMPP Projekt aussprechen. So problemlos und stabil wie das läuft ist es eine wahre Pracht. Egal ob ich es unter Windoof oder Linux (debian, ubuntu, suse) installiere - i.d.R. funktioniert alles sofort - KLASSE!

Aus diesem Grund möchte ich XAMPP 1.7.7 auf ubuntu 11.04 für meine Private Internet-Site benutzen - es ist alles drin, Apache PHP MySQL . Die Site wird nur von mir benutzt um z.B. auf Statusseiten der Server zuzugreifen, also nichts öffentliches . Die Seiten sollen zudem per .htaccess bereits im root geschützt sein, sodass ohne Zugangsdaten niemand auf den Server kommen soll . Wie gesagt das soll kein öffentlicher Webserver werden der für Jedermann zugreifbar sein soll.

Jetzt ist natürlich nicht an mir vorbei gegangen, dass XAMPP eigentlich nur als Testplattform entwickelt wurde und als Produktivsystem zu "unsicher" sei . Mit den Werkzeugen "Sicherheit" (lampp security) kann jedoch einiges (Passwörter etc.) konfiguriert werden und die Meldung "damit ist der XAMPP schon ziemlich sicher" den die XAMPP Oberfläche bei Sicherheitsstatus ausgibt steht dazu irgendwie ein bisschen im Widerspruch wie ich finde .

Daher dieser Thread.
Frage 1: wenn obige security Einstellungen gemacht werden - ist das für www "sicher genug"?

Frage 2: um von aussen an der Server zu kommen muss das Sicherheitssystem umkonfiguriert werden (sonst kommt immer der Fehler 103).
Dazu muss ich den directory Eintrag in der httpd-.conf bzw. LocationMatch Eintrag in der httpd-xampp.conf anpassen.
Wenn ich die XAMPP Seiten (die Konfigseiten im htdocs/xampp Verzeichnis) nur im LAN verfügbar haben möchte, die Seiten in htdocs/www aber vom Internet erreichen möchte - wie muss ich die conf Dateien anpassen? Ich vermutet ich kann eine Regel definieren für "/www" aber ich bin mir nicht sicher ob im httpd.conf oder im httpd-xampp.conf - und bevor ich stundenlang rumprobiere und dabei etwas einstelle, dass zwar funktioniert aber nur teilweise korrekt ist, frage ich lieber hier die Experten.

Bitte jetzt nicht schreiben "setz doch einfach einen Apache mir php mysql von Hand auf - so wird das sicherer". Ich glaube man muss hier wirklich viel viel Zeit investieren um so eine Installation auch wirklich sicher zu bekommen und so hin zu bekommen, dass alles miteinander funzt. Vor Jahren hatte ich das versucht und nach Tagen verworfen . Dann XAMPP installiert und nach ein paar Minuten lief alles .

Im Voraus vielen lieben Dank für eure Geduld und Ausführungen.

bis denn dann
Sascha

[Nobbie]

Frage 1: wenn obige security Einstellungen gemacht werden - ist das für www "sicher genug"?

Nein.

Aber ich verstehe die Frage nicht - Du willst Xampp doch gar nicht "öffentlich" einsetzen. Wozu diese Fragen?

Bitte jetzt nicht schreiben "setz doch einfach einen Apache mir php mysql von Hand auf - so wird das sicherer". Ich glaube man muss hier wirklich viel viel Zeit investieren um so eine Installation auch wirklich sicher zu bekommen und so hin zu bekommen, dass alles miteinander funzt. Vor Jahren hatte ich das versucht und nach Tagen verworfen . Dann XAMPP installiert und nach ein paar Minuten lief alles .

Vor ein paar Jahren war auch Linux für kaum jemanden zu installieren - heute läuft die Ubuntu Installation einfacher als eine Windows Installation. Viele Jahre alte "Erfahrungen" sind nicht viel wert - die Zeit steht nicht still und auch die nativen Installationen haben sich extrem weitereintwickelt.

[buffbizzl]

Aber ich verstehe die Frage nicht - Du willst Xampp doch gar nicht "öffentlich" einsetzen. Wozu diese Fragen?

Nun wenn der Server vom Internet aus erreichbar ist ist er angreifbar - egal ob ich ihn nun für mich alleine oder für alle verfügbar machen möchte. Ich denke die IP des Servers kann ermittelt werden und damit kann jemand auf den Server zugreifen. Daher meine Frage wie ich den Server "sicher" mache....

Viele Jahre alte "Erfahrungen" sind nicht viel wert

Nun, das ist wahr - wenn ich da so an alte Linux Version denke.
Aber beim Webserver sind da mehrere Pakete (Apache, MySQL, phpMyAdmin, PHP, cgi.....). Mit XAMPP hab ich nun halt gleich alles und richtig miteinander vernetzt. Module in Apache laden usw..

[Nobbie]

Nun wenn der Server vom Internet aus erreichbar ist ist er angreifbar

Selbstverständlich - nur warum soll er vom Internet aus erreichbar sein? Das ist doch Dein freier Wille, das so einzurichten oder zu verhindern?!

Oben schreibst Du doch explizit "nicht öffentlich" - ein Server, der von überall erreichbar ist, ist aber öffentlich. Was denn nun?

[buffbizzl]

Also gut, dann erkläre ich das mal - mit nicht öffentlich meine ich, dass ich weder andere Sites darauf hosten möchte noch den Inhalt per Suchmaschine/Links/Foren verbreiten möchte.
Der Server soll aber vom Internet aus erreichbar sein, damit ich von überall darauf zugreifen kann.

[Nobbie]

Also gut, dann erkläre ich das mal - mit nicht öffentlich meine ich, dass ich weder andere Sites darauf hosten möchte noch den Inhalt per Suchmaschine/Links/Foren verbreiten möchte.

Das ist nur leider nicht die Definition von "öffentlich". S.u.

Der Server soll aber vom Internet aus erreichbar sein, damit ich von überall darauf zugreifen kann.

Und damit kann jeder darauf zugreifen und es ist dann per Definition ein öffentlicher Server, also genau das, was Du nicht willst und was mit Xampp nicht empfohlen wird.

Hacker scheren sich nicht um Deinen Wunsch, dass nur Du auf Deinen Server zugreifen willst.

[buffbizzl]

Nun ist in Ordnung - ich wollte hier nicht fragen wie sich der Begriff "öffentlich" definiert, sondern was ich zur Sicherheit des Servers einstellen muss. Aber scheinbar ist es wichtiger auf Begrifflichkeiten herum zu reiten als echte Hilfestellungen zu geben.
Und um Antworten wie "wenn du nicht klar sagst was du willst kann man dir auch nicht helfen" vorzubeugen - darum habe ich das ganz nicht nur mit "öffentlich" und "privat" ausgedrückt, sonder auch noch umschrieben was ich damit meine.

Danke für deine ausführliche Definition der Begrifflichkeiten sowie der umfassenden Hilfe zu meiner Fragestellung und der liebenswerten Aufnahme in diesem "... Friends ..." Forum.

[Nobbie]

Danke für deine ausführliche Definition der Begrifflichkeiten sowie der umfassenden Hilfe zu meiner Fragestellung und der liebenswerten Aufnahme in diesem "... Friends ..." Forum.

Das ist nicht mein Forum und Dein Gejammer ist mir vollkommen "wurscht". Xampp ist eine Entwicklungsumgebung(!), kein Produktivsystem und dennoch kommen immer wieder die gleichen Neulinge und meinen, sie hätten es nicht nötig (trotz komplett mangelnder Kenntnisse) diese Vorgabe (die FETT im Xampp Readme warnt) akzeptieren zu müssen.

Immerhin ist Dein Ansatz neu - man definiert "öffentlich" einfach anders und schon ist Xampp auch produktiv einsetzbar. Ich werde es Dir nicht erklären, denn wenn ich etwas übersehe (oder Du selbst), wirst Du mit Sicherheit nachher sagen (wenn Dein Server gehackt wurde) "der Nobbie im Forum hat aber gesagt, das könne man so machen". Deswegen sagt der Nobbie das aber nicht (obwohl er selbst auch nur ein kleiner Anwender ist), sondern er hält sich an die Vorgabe, die vom Xampp Team gemacht wurde: Xampp wird nur als Entwicklungssystem genutzt.

Nur wer die notwendigen Kenntnisse selbst besitzt, Xampp sicher zu administrieren, soll dieses (auf eigene Verantwortung) auch tun. Aber diese Anwender fragen nicht lange....

[Altrea]

Hallo buffbizzl,

Nobbie hat mit vielen Dingen recht die er sagt, auch wenn er manchmal dazu neigt seine Kernaussagen hinter Ironie, Sarkasmus und ab und zu auch etwas Herablassung zu verschleiern. Deshalb solltest du dich nicht an einzelnen Passagen anstoßen, sondern vielmehr den Gesamtkontext betrachten.

Die wichtigsten Dinge hast du dir bereits selbst beantwortet:
- Jeder Server der vom Internet aus von Jedermann angefragt werden kann ist potenziell gefährdet angegriffen zu werden.
- Das XAMPP Paket ist für Umgebungen geschaffen, die als relativ sicher gelten, das heißt in der Regel Einzelplatzcomputer oder kleine Netzwerke.

Mit den Werkzeugen "Sicherheit" (lampp security) kann jedoch einiges (Passwörter etc.) konfiguriert werden und die Meldung "damit ist der XAMPP schon ziemlich sicher" den die XAMPP Oberfläche bei Sicherheitsstatus ausgibt steht dazu irgendwie ein bisschen im Widerspruch wie ich finde .

Es ist nichtnur die Zugänglichkeit, die das Paket unsicher machen. Hier beschönigt das secrurity script die Gefahr zu sehr, finde ich.
Ein .htaccess Schutz und das Ändern von einzelnen Passwörtern kann also nur eine Seite der Sicherheit verbessern und macht das Gesamtprodukt nochnicht fit für den Produktiveinsatz.

Wie trügerisch das ganze sein kann, hat man durch die Veröffentlichung von XAMPP 1.7.4 gesehen, wo die User reihenweise Opfer von Angriffen auf webDAV geworden sind, weil das security script dieses Standardpasswort nicht ändert und man dadurch beinahe beliebige Scripte mit Shell Kommandos ausführen konnte. XAMPP Server im Internet wurden binnen Sekunden zu Zombie-Servern mutiert.
Man sollte das Thema Sicherheit also keinesfalls auf die leichte Schulter nehmen.

Bitte jetzt nicht schreiben "setz doch einfach einen Apache mir php mysql von Hand auf - so wird das sicherer".

Das wäre aber eine der bevorzugten Methoden. Siehe XAMPP als eine Art Formel-1 Auto der PHP Entwicklungsumgebungen. Formel-1 Autos sind konzipiert für Rennstrecken. Klar, es sind auch irgendwo Autos, aber fürs Gelände sind sie nicht tauglich.
Du möchtest XAMPP für einen Zweck einsetzen, der so bei der Entwicklung nicht vorgesehen ist.
XAMPP ist eine portable multiplattform Lösung, die vorkonfiguriert und einfach zu installieren ist. Sie hat die wichtigsten für Entwickler relevante Funktionen und Module aktiviert und stellt dir kaum Sicherheitshürden in den Weg. Das macht das aufsetzen als Entwicklungsumgebung sehr effizient, aber schließt manche Umgebungen als Einsatzgebiete aus.

Ich glaube man muss hier wirklich viel viel Zeit investieren um so eine Installation auch wirklich sicher zu bekommen und so hin zu bekommen, dass alles miteinander funzt.

Der Aufwand das XAMPP Paket dementsprechend abzusichern ist vergleichbar groß. Noch dazu lernst du beim selbst schnüren eines solchen Paketes ungemein viel darüber, was wie zusammenhängt und funktioniert. Noch dabei kannst du danach die Einzelkomponenten auch einzelnd updaten, was bei live Umgebungen auch wichtig sein kann. Wenn jetzt plötzlich eine schwerwiegende Sicherheitslücke im Apache gefunden wird bist du darauf angewiesen, dass die XAMPP Entwickler ein neues Paket zusammenstellen um es updaten zu können.

Noch dazu ist die Installation der Einzelkomponenten über die Linux Paketverwaltungen kaum der Rede mehr wert. Das was dir noch übrigbleibt ist diese wunschgemäß nach deinen Vorstellungen zu konfigurieren.

Aber es gibt auchnoch andere Alternativen:
- Webhostingpakete gibts heutzutage wie Sand am Meer. Ich kann mir nicht wirklich etwas darunter vorstellen, was du überhaupt dort ablegen willst und ob sich dafür Webhosting eignet, aber in vielen Fällen ist das für Anfänger die Methode der Wahl.
- Es gibt vorgefertigte Webserver Stacks die für den Produktiveinsatz konzipiert wurden, wie das in meiner Signatur verlinkte Zend Server (CE). Das gibt es auch für Linux.

Falls du dich dennoch dem Aufwand stellen möchtest, XAMPP abzusichern, habe ich hier mal versucht exemplarisch die wichtigsten notwendigen Änderungen aufzuzeigen (ohne Anspruch auf Vollständigkeit). Dann bist du allerdings auf dich selbst gestellt, denn supported wird das hier so nicht.

Glück Auf!
Altrea

[buffbizzl]

Endlich mal jemand der das Thema auf den Punkt bringt. Vielen Dank Altrea.
Diese Antwort hätte ich mir gleich gewünscht - damit ist das Thema jetzt auch wirklich für mich geklärt. Ich werde den Weg über die händische Installation und Konfiguration der Einzelkomponenten gehen.

Man sollte das Thema Sicherheit also keinesfalls auf die leichte Schulter nehmen.

Da bin ich zu 100% Deiner Meinung, und genau darum habe ich die security Aussage "relativ sicher" hinterfragt.

zu den Alternativen:
- Webhosting kommt nicht in Frage, da ich auf dem Server nicht nur meine Seiten hosten sondern darüber hinaus für diese Seiten eine Verarbeitung sitzen habe ich ich nicht auf den Hoster übertragen kann
- Zend Server - danke für den Tipp, das schaue ich mir mal an
- den Absicherungsweg werde ich nicht gehen. Ich hoffe es ist so, dass ein neu aufgesetzes System erstmal dicht ist und dann von mir dort wo es nötig ist kontrolliert "löchrig" gemacht wird - ein unsicheres System abzuschliessen dürfte mehr Aufwand kosten und evtl. fehleranfälliger sein.

Hat vielleicht jemand noch einen Tipp für einen vernünftigen Einstieg (Foren- Blogbeitrag zum Thema Apache-Aufsetzen) - natürlich kann und werde ich da auch mal googlen und selbst suchen - aber falls jemand etwas empfehlen kann würde mich das sehr freuen.

Viele Grüße
Sascha

[Nobbie]

Hat vielleicht jemand noch einen Tipp für einen vernünftigen Einstieg (Foren- Blogbeitrag zum Thema Apache-Aufsetzen)

Ich würde einfach die Ubuntu Server Installation herunterladen und installieren (vollkommene Neuinstallation).

Habe ich zwar noch nie getestet, aber da die Desktop Version bekanntermaßen sehr komfortabel zu installieren ist und hervorragend gewartet wird, kann ich mir nicht vorstellen, dass die Server Version dem qualitativ nachsteht. Last not least kann man auch einfach die Desktop Version benutzen und um Apache etc. ergänzen, die notwendigen Pakete und Repositories sind selbstverständlich Bestandteil der Standard Software Installtaionswerkzeuge.