Apache tylko w lokalnej sieci za firewallem - bezpiecznie? Opcje

[darnok1986]

Witam,

Jako tako ogarniam temat funkcjonalnosci Apache, php itd. Natomiast jestem zielony jesli chodzi o wzgledy bezpieczenstwa, a z tego co wiem, ataki na Apache sie zdarzaja. Otoz:

Czy zainstalowanie Apache na serwerze w firmie za firewallem + antywirus i inne zabezpieczenia, ktory mialby dzialac na zasadzie localhost - dostep do stron www mieliby tylko ludzie polaczeni z siecia firmy - czy takie rozwiazanie jest bezpieczne? Laczysz sie z siecia firmy, odpalasz stronke i jest. Nie masz polaczenia z siecia ale masz polaczenie z netem - wtedy polaczenia z apachem oczywiscie nie ma.

Przykladowo, zamieszczenie mini aplikacji na Apachu, w ktorej ludzie wpisuja dane i przesylaja je przez maila dalej do administratora (juz nawet nie przez funkcje mail() php, ale na zasadzie generowania automatycznej wiadomosci w Outlooku i przeslaniu jej dalej przez uzytkownia)- czy to moze sie wiazac z jakims niebezpieczenstwem, atakiem, mozliwoscia przejecia danych?

Sorry, jesli moje pytanko okaze sie trywialne. Za wszelki odpowiedzi dziekuje
Pzdr
Konrad

[devnul]

w dzisiejszych czasach nic nie jest w 100% bezpieczne. Na Twoim miejscu jeśli nie zajmujesz się projektami głowic termojądrowych albo czymś równie ciekawym nie przejmowałbym się aż tak przesadnie bezpieczeństwem - pamiętaj że wszystko jest dla ludzi i wygdę użytkowania postawiłbym przed paranoicznymi zabezpieczeniami. Postaw serwer z paczek jakiejś dystrybucji i dbaj o to żeby był możliwie aktualny do tego poczytaj trochę o konfiguracji serwera i śmiało wystawiaj go na zewnątrz zamiast robić problem użytkownikom. Poza tym w 99.99999% przypadków próby ataku nie są wymierzone w samego apacha bo ten przy domyślnych ustawieniach nie daje zbyt wiele potencjalnemu napastnikowi, atakuje się raczej ssh serwer dns, interpreter php (a raczej dziurawe aplikacje) albo serwery bazodanowe, samego apacha możę spotkać co najwyżej DoS

[darnok1986]

Hej,

devnul dzieki za porady. Mam watpliwosci co do:

Postaw serwer z paczek jakiejś dystrybucji i dbaj o to żeby był możliwie aktualny do tego poczytaj trochę o konfiguracji serwera i śmiało wystawiaj go na zewnątrz zamiast robić problem użytkownikom.

Miales na mysli skorzystanie po prostu z serwera komercyjnego zamiast bawic sie we wlasny web serwer?
No wlasnie takie rozwiazanie niestety odpada. Jako ze aplikacja ma dzialac w wewnetrznej firmowej sieci, to nie moze byc wystawiona nigdzie na zewnatrz, tylko musi siedziec w zamknietej sieci.

Podsumowujac:
Jezeli aplikacja postawiona na Apachu nie ma zadnych powiazan z php, a sam Apache jest "czysty" i nie ma zainstalowanych zadnych rozszerzen typu php, mySQL itd, to niebezpieczenstwo jak napisales jest znikome?

Jezeli natomiast aplikacja dzialalaby na zasadzie przekazywania danych za posrednictwem php, to wtedy "dziurawy" skrypt php moglby byc zrodlem zagrozenia?
Przykladowo prosty skrypt php na kilka wierszy z odczytywaniem i przekazywaniem danych dalej.

Pozdrawiam i dzieki za lekcje oswiecania (IMG:style_emoticons/default/smile.gif)
Konrad

[devnul]

Miales na mysli skorzystanie po prostu z serwera komercyjnego zamiast bawic sie we wlasny web serwer?
No wlasnie takie rozwiazanie niestety odpada. Jako ze aplikacja ma dzialac w wewnetrznej firmowej sieci, to nie moze byc wystawiona nigdzie na zewnatrz, tylko musi siedziec w zamknietej sieci.

nie, miałem na myśli postawienie z paczek(np repozytorium debiana) bez zabawy we własne ustawienia, kompilację itp
ale skoro musisz to zabezpiecz wywołania tylko do sieci wewnętrznej w której adresację masz np w postaci 192.168.10.x albo do puli adresów IP należących do firmy - dla reszty rób deny i tyle

Podsumowujac:
Jezeli aplikacja postawiona na Apachu nie ma zadnych powiazan z php, a sam Apache jest "czysty" i nie ma zainstalowanych zadnych rozszerzen typu php, mySQL itd, to niebezpieczenstwo jak napisales jest znikome?

tak

Jezeli natomiast aplikacja dzialalaby na zasadzie przekazywania danych za posrednictwem php, to wtedy "dziurawy" skrypt php moglby byc zrodlem zagrozenia?
Przykladowo prosty skrypt php na kilka wierszy z odczytywaniem i przekazywaniem danych dalej.

dokładnie

[darnok1986]

Ok, a co w przypadku takiego rozwiazania:
Na "czystym" Apachu znajduje sie plik xml, oraz aplikacja napisana we flashu, ktora pobiera dane z pliku xml(ktory jest aktualizowany co jakis czas), przetwarza je i pokazuje w jakis tam sposob. XML tez jest forma magazynowania i przekazywania danych, ale chyba teoretycznie bezpieczniejsza niz php?

co do:

postawienie z paczek(np repozytorium debiana) bez zabawy we własne ustawienia, kompilację itp

wybacz, ale duzo z tego nie zrozumialem jako ze nigdy nie bawilem sie w debiana.

Natomiast utworzenie puli adresow IP nalezacej do firmy - oznacza to, ze Apache da sie skonfigurowac w ten sposob, zeby dostep do WWW mialy tylko uzytkownicy kompow o okreslonym IP nalezacym do tej puli? Jezeli tak, to wydaje sie to calkiem skuteczne i bezpieczne (a moze sie myle i to tez da sie latwo obejsc?)

Dzieki i pozdrawiam,
Konrad

[devnul]

Na "czystym" Apachu znajduje sie plik xml, oraz aplikacja napisana we flashu, ktora pobiera dane z pliku xml(ktory jest aktualizowany co jakis czas), przetwarza je i pokazuje w jakis tam sposob. XML tez jest forma magazynowania i przekazywania danych, ale chyba teoretycznie bezpieczniejsza niz php?

w tym kontekście tak - w innym można polemizować tutaj jest to praktycznie zwykły plik tekstowy z jakimiś tam cyferkami który nie jest przetwarzany przez użytkownika w żaden sposób więc nie ma możliwości żeby ktoś wstrzyknął coś do niego i "coś napsuł".

wybacz, ale duzo z tego nie zrozumialem jako ze nigdy nie bawilem sie w debiana.

OMG... jako że nigdy nie bawiłeś się w debiana to i najwyraźniej masz blade (żeby nie powiedzieć zerowe) pojęcie o tym co robisz, a raczej próbujesz dlatego polecam albo zapłacić komuś kto zrobi to za Ciebie i zrobi to dobrze albo się doszkolić. Żeby zrozumieć moją wcześniejszą wypowiedź polecam skorzystanie z 3 pierwszych linków poniżej. Żeby zrozumieć coś więcej w tym temacie polecam przeczytać i nauczyć się tego co jest pod linkiem 4 i dalej wklikując się za kolejnymi odnośnikami z tej strony

co to jest debian? => http://pl.wikipedia.org/wiki/Debian
co to jest repozytorium => http://pclinuxos.org.pl/repo
co to jest paczka => http://www.linuxportal.pl/linux_podstawy/i...gramowania.html
jak korzystać z google => http://www.google.pl/support/websearch/bin...p;answer=134479

Natomiast utworzenie puli adresow IP nalezacej do firmy - oznacza to, ze Apache da sie skonfigurowac w ten sposob, zeby dostep do WWW mialy tylko uzytkownicy kompow o okreslonym IP nalezacym do tej puli? Jezeli tak, to wydaje sie to calkiem skuteczne i bezpieczne (a moze sie myle i to tez da sie latwo obejsc?)

jakby się nie dało to bym nie pisał żebyś tak zrobił
krótko i na temat => http://www.techit.pl/Artykuly/Podstawowe-k...Apache,326.html

Dzieki i pozdrawiam,
Konrad

daruj sobie w każdym poście pozdrawianie i ściskiwanie - to nie e-mail.