LAMP - Apache konfigurieren und publizieren

[hiaws]

Guten Tag,

also ich versuche derzeit für meine Firma web2project(Link) zu hosten. Jedoch möchte ich dadurch nicht unser System gefährden.

Wir haben eine reine Windows Umgebung bei uns. Lediglich Citrix Xen Server und VMWare Server (für Nagios und den geplanten Ubuntu-Webserver) sind nicht von Microsoft. Die Basis für den webserver soll Ubuntu 10.04 ServerEdition (keine Graphische Oberfläche) bilden.

Die erste Frage bezieht sich zum Thema Sicherheit:

Kann ich diesen Server ohne große Bedenken öffentlich machen?

Theoretisch kann der Apache ja nur über den Nutzer "www-data" arbeiten und der hat nur die Rechte die ich ihm gegeben habe.

Und noch drei Fragen zum Apache selbst:

Der Apache Ordner unter /etc/apache2/ besitzt einen conf.d und einen sites-available Ordner. Bei beiden Ordnern kann ich es mir ermöglichen über meinen Browser auf den Server zuzugreifen über http://<IP>/xyz, ich tippe mal, dass der conf.d Ordner nicht für öffentliche Siten gedacht ist aber den Unterschied würde ich trotzdem gerne wissen.

Wenn ich eine Seite aufrufe kommuniziert mein PC Zuerst mit einen DNS Server dieser leitet den Browser dann auf meine IP. Bei meiner IP fragt der webserver (IIS oder Apache) welche Webseite aufgerufen wurde und dann schaut der Server ob diese Adresse vorhanden ist und macht Sie dann auf (theoretisch beim Apache "sites-available") oder sagt "is nich". Also hm, so stell ich mir das vor. Wenn jetzt angenommen ein IIS und ein Apache am anderen Ende warten, können dann beide unabhängig von einander antworten?

Und die letzte Frage: Gibt es eine Seite für apache / webside Konfiguration? Ich hab immer nur Seiten gefunden, die zeigten, wie man den Apache aufsetzt. Aber nie die das Zurverügungstellen behandelten. Es gibt ja Vorgaben default und default-ssl bei mir. Aber ich kann niergends finden ob die Einstellungen da genügen, wenn man nur die Pfade anpasst oder ob man da noch was beachten muss.

Entschuldigt den ganzen Text aber ich möchte in meiner Position als Auszubildender nicht die Sicherheit der gesamten Firma aufs Spiel setzen. :new

[schepp]

Hallo,

sollte man als Auszubildender nicht einem Ausbilder zugeordnet sein, den man bei Schwierigkeiten fragen kann?

Wie dem auch sei, ich versuch mal ein paar deiner Fragen zu beantworten:

Kann ich diesen Server ohne große Bedenken öffentlich machen?

Theoretisch kann der Apache ja nur über den Nutzer "www-data" arbeiten und der hat nur die Rechte die ich ihm gegeben habe.

Du musst ihn ja nicht komplett öffentlich machen. Mach ihn nur vom LAN aus zugänglich und sperr den Zugriff von außen z.B. über die /etc/hosts.deny oder /etc/hosts.allow, dann musst du schon wesentlich weniger Bedenken haben

2. Frage (sites-available)

Hier liegen nicht die Seiten die du erreichst, sondern die Konfigurationsdatei, die angiebt was du erreichen kannst. (z.B. über die Option DocumentRoot)

Doku lesen hilft. In conf.d liegen allgemeine Konfigurationen, z.B. für php, ssl, etc.

3. Frage (IP)

Der Apache bekommt eine Anfrage auf seine IP, er guckt in der Konfig in sites-available welche Seite er bei einer Anfrage auf diese IP ausgeben soll (der Server kann ja auch mehrere Netzwerkschnittstellen mit mehreren IPs haben und verschiedene Seiten ausgeben).

4. Frage ( Seite )

hier die offizielle Apache Doku für Version 2.2 : Apache HTTP Server Version 2.2 Documentation - Apache HTTP Server

Version 1.x findest du dort auch falls du die benutzt.

Gruß

[hiaws]

Dankeschön

Wie gesagt arbeiten wir in einer reinen Windows Umgebung von dem her kann mir mein Ausbilder auch nicht sehr viel weiterhelfen.

Eins noch:

Du musst ihn ja nicht komplett öffentlich machen. Mach ihn nur vom LAN aus zugänglich und sperr den Zugriff von außen z.B. über die /etc/hosts.deny oder /etc/hosts.allow, dann musst du schon wesentlich weniger Bedenken haben

Ich will bzw. muss die Seite öffentliche machen, sonst könnten externe Unternehmen nicht auf unsere Projektdaten zugreifen. Ich wollte eig nur wissen ob die Standardkonfiguration ausreicht oder ob man im Punkto Sicherheit noch einiges beachten muss.

Grüße

hiaws

[flashpixx]

Ich wollte eig nur wissen ob die Standardkonfiguration ausreicht oder ob man im Punkto Sicherheit noch einiges beachten muss.

Ich vertraue als Administrator niemals einer Standardkonfiguration.

[schepp]

Nein, mit Standard-Config würde ich keinen Apache im Internet stehen lassen. Für zusätzliche Sicherheit sind je nach deiner Netzwerk-Umgebung bestimmte Sicherheitseinstellung sinnvoll und notwendig. Zudem kann man noch Module wie z.B. mod_security oder mod_evasion in Apache einbinden.

Ich würde dir bei deinem momentanen Kenntnisstand davon abraten einen Webserver im Internet zu betreiben. Ich denke du solltest erstmal im LAN üben.

[dano0b]

bisschen was zur verarbeitung:

http://httpd.apache.org/docs/2.1/de/vhosts/

bisschen was zur sicherheit(in diesem bereich gibt es noch wesentlich mehr)

Security Tips - Apache HTTP Server

bisschen was zu den konfigurationsdateien

Configuration Sections - Apache HTTP Server

und natürlich die links die dort jeweils verknüpft sind

wenn man z.b. verschiedene userid pro projekt verwenden möchte sollte man sich auch mit

Multi-Processing Modules (MPMs) - Apache HTTP Server

auseinander setzen stichworte peruser oder itk

aber grundsätzlich erst lokal üben und danach öffentlich publizieren