webserver und sicherheit

securico · 30. Aug 2008

salü
ich habe es endlich geschaft, dass meine website auf meinem ds108j läuft. jedoch ich habe ein bisschen bedenken wegen der sicherheit? wie sicher ist meine website? wie sicher bin ich im netzwerk?`bestehen irgendwelche zusätzlichen gefahren? wie kann ich mich schützen?
fragen über fragen
ich würde mich freuen, wenn ihr nem noob helfen könnt :-D

Anzeige · 30. Aug 2008

Hallo securico,

Bücher und Hardware zum Thema gibt es bei Amazon: webserver und sicherheit

_TokTok_ · 30. Aug 2008

Zur Absicherung der Website siehe diesen Artikel im wiki

securico · 30. Aug 2008

hmm, verstehe ich nicht ganz. ich will ja den zugriff auf die webseite nicht eingrenzen

ahjo, kleine anmerkung am rande, ich habe phpmyadmin im web ordner drin

_TokTok_ · 30. Aug 2008

securico schrieb:
ahjo, kleine anmerkung am rande, ich habe phpmyadmin im web ordner drin

zumindest hier solltest Du den Zugriff eingrenzen, würde ich zumindest tun.

Du fragtest wie man sich schützen kann, .htaccess is ne Möglichkeit.

Was willst Du denn eigentlich vermeiden/verhindern? Deine Frage ist etwas unkonkret. Ich behaupte mal, dass Deine Webseite auf der DS so sicher oder unsicher ist wie bei einem Hoster.

securico · 30. Aug 2008

also ich habe derzeit 3 websites auf nem vserver in deutschland, doch das sind unnötige kosten finde ich, desshalb wil ich die auf meinen homeserver ziehen.
phpmyadmin werde ich gleich ma absichern

_TokTok_ · 30. Aug 2008

securico schrieb:
also ich habe derzeit 3 websites auf nem vserver in deutschland, doch das sind unnötige kosten finde ich, desshalb wil ich die auf meinen homeserver ziehen.
phpmyadmin werde ich gleich ma absichern

Das kommt natürlich auf den traffic und Deine Bandbreit an, die Leistung eines vservers bietet die DS mit Sicherheit nicht.

securico · 30. Aug 2008

Bandbreite: da nicht viel auf den websites läuft, wird nicht viel benötigt
Traffic: is mir schnurz :-D

stehe nur grad vor dem rätsel wie ich dat mit meinem nameserver subdomains und den mails mache. hmm, ich geh ma zum Dr. Google

edit: hab nu .htaccess für phpmyadmin erstellt, aber nu erreich ich phpmyadmin nich mehr :-|

_TokTok_ · 30. Aug 2008

securico schrieb:
hab nu .htaccess für phpmyadmin erstellt, aber nu erreich ich phpmyadmin nich mehr :-|

Gibts dazu ne Fehlermeldung? Wird das Passwort nich akzeptiert?

.:@rpy:. · 31. Aug 2008

Ich finde, am sichersten ist phpMyAdmin in einem anderen als einem Öffentlichen WebOrdner aufgehoben.Es sei denn, man benötigt den Zugriff von Aussen.

Zum Thema Sicherheit;

Solange man nur den Port 80 offen hat, halte ich Sicherheitsbedenken in Bezug auf die Synobox für unangebracht, solange keine Administrativen Funktionen erreichbar sind.

Mit dem phpMyAdmin im WebOrdner hast du allerdings Administrative Funktionen erreichbar gemacht...eine Potenzielle Sicherheitslücke?!?

Sicherheit ist daher ganz individuell zu sehen; umso mehr erreichbare Funktionen, umso mehr Angriffsmöglichkeiten.

Von daher halte ich die Syno schon für sicherer als einen Hoster, da ich es mir ja aussuchen kann, ob Administrative Funktionen überhaubt dem WWW zugänglich gemacht werden oder nicht...bei einem Hoster komme ich ja mit Benutzernamen und Kennwort überall hin (wo ich auch hin darf...).

Auf meiner Syno hingegen betreibe ich phpMyAdmin im Management als 3rdParty ganz ohne Passwort...eine Horrorvorstellung auf einem Öffentlichen Hoster...

securico · 31. Aug 2008

_TokTok_ schrieb:
Gibts dazu ne Fehlermeldung? Wird das Passwort nich akzeptiert?

das passwort wird nicht mehr abgefragt

es kommt ne synology fehlermeldung: Es tut uns Leid, die von Ihnen gesuchte Seite konnte nicht gefunden werden.

_TokTok_ · 31. Aug 2008

Hast Du beide Anleitungen aus dem wiki befolgt? Sprich, die zu phpmyadmin und .htaccess ?

securico · 31. Aug 2008

hab phpmyadmin wie aufgeführt eingerichtet. vor ich das mit .htaccess gemacht hab, ging es.
also vieleicht hab ichs ja falsch verstanden, aber ich muss einfach den ordner in den beiden .htaccess ändern auf volume1/web/phpmyadmin/passwd

_TokTok_ · 31. Aug 2008

securico schrieb:
hab phpmyadmin wie aufgeführt eingerichtet. vor ich das mit .htaccess gemacht hab, ging es.
also vieleicht hab ichs ja falsch verstanden, aber ich muss einfach den ordner in den beiden .htaccess ändern auf volume1/web/phpmyadmin/passwd

Der Pfad steht in Anführungsstrichen und beginnt mit /

"/volume1/web/passwd/admin.pw"

"/volume1/web/passwd/normal.pw"

Wenn der Ordner passwd unter phpmyadmin liegt, musst Du das entsprechend anpassen

securico · 31. Aug 2008

jo, hab das so geändert, doch wenn ich auf phpmyadmin zugreiffen will, kommt ständig die synology fehlerseite dass diese seite nicht vorhanden ist.

_TokTok_ · 31. Aug 2008

Probier doch mal folgendes: Den Ordner passwd auf ein anderes share packen, bspw. system und dann in den .htaccess-dateien auf diesen ordner verweisen

itari · 31. Aug 2008

Dran denken, dass die Zugriffs-Rechte der .htaccess manchmal Probleme machen - am besten immer mit chmod 644 .htaccess dicht machen.

itari

securico · 31. Aug 2008

also bevor ichs im phpmyadmin verzeichnis gemacht hab, hatte ichs genauso wie in der anleitung, also das ganze web verzeichnis. und da funktionierte es, also ich wurde nach pw gefragt. aber nun im phpmyadmin verzeichnis nicht

securico · 31. Aug 2008

itari schrieb:
Dran denken, dass die Zugriffs-Rechte der .htaccess manchmal Probleme machen - am besten immer mit chmod 644 .htaccess dicht machen.

itari

und wie mache ich das?

_TokTok_ · 31. Aug 2008

securico schrieb:
also bevor ichs im phpmyadmin verzeichnis gemacht hab, hatte ichs genauso wie in der anleitung, also das ganze web verzeichnis. und da funktionierte es, also ich wurde nach pw gefragt. aber nun im phpmyadmin verzeichnis nicht

In der Anleitung steht doch, dass eine .htaccess nicht nur das Verzeichnis schützt in dem sie sich befindet, sondern auch deren Unterordner. Du brauchst im Unterordner phpmyadmin also keine weitere .htaccess-Datei, wenn du schon im Ordner web eine liegen hast. Es sei denn, Du willst für das phpmyadmin Verzeichnis andere Berechtigungen oder Einstellungen die in der .htaccess festgelegt werden

securico schrieb:
und wie mache ich das?

Per telnet an der DS anmelden, in den web Ordner wechseln und chmod 644 .htacces eingeben

flicflac · 02. Sep 2008

@securico

Schreib mal, ob es dir nun gelungen ist, deine phpMyAdmin effizient zu sichern. Denn das dies unbedigt notwendig ist, kannst du meinem Protokoll des von der IP-Adr 70.164.3.72 ausgehenden vorgestrigen Hackversuches auf eine meiner Stationen ersehen:

http://flicflac.dynalias.net/Synology/HackProtokoll20080831.txt

da die über 77'000 Zeichen den erlaubten Rahmen von 10'000 in diesem Forum bei weitem sprengen

(und natürlich wird dieser Link 2009 nicht mehr gültig sein ...)