Wie sorgt GN2 netwerk für eine sichere Konfiguration der Webserver?
Um unberechtigten Zugriff anderer Kunden auf Ihre Daten zu unterbinden, haben wir umfangreiche Maßnahmen getroffen. Zum einen läuft der Webserver in einer “Sandbox” und ist damit vom eigentlichen Rechner isoliert. Damit ist es nicht möglich, auf die Systemdateien zuzugreifen und diese zu manipulieren. Die Kundenaccounts sind durch harte Quotas voneinander getrennt, damit ist selbst bei Kompromittierung eines Accounts durch einen Hack kein Übergreifen auf andere Accounts möglich. Außerdem läuft jeder Kunde unter einer eigenen Unix-User-Id, Skripte werden unter dieser User-Id ausgeführt, so dass damit Dritte nicht auf Ihre Daten zugreifen können (beachten Sie bitte hierzu auch den Artikel zur Rechtevergabe). Natürlich kontrollieren wir permanent den Sicherheitsstatus der Systeme und spielen notwendige Updates umgehend ein. Damit sind optimale Voraussetzungen für die Sicherheit Ihres Hostingaccounts getroffen.
Wie kann ich Verzeichnisse auf dem Webserver mit Passwort schützen?
Die einfachste Möglichkeit ist die Nutzung des htaccess-Generators, nach dem Download entpacken, die xssen.php in das zu schützende Verzeichnis hochladen (Verzeichnis muß die Rechte 777 haben) und im Browser folgende URL aufrufen http://domain.tld/verzeichnis/xssen.php. Anschließend in der Eingabemaske Benutzername und Passwort vergeben, ab sofort ist das Verzeichnis geschützt. Einen guten Online-Editor für .htaccess-Dateien finden Sie hier.
Meine Webseite ist gehackt worden, was soll ich tun?
Als erstes sollte die Seite offline geschaltet bzw. deaktiviert werden, um eine genaue Ursachenforschung betreiben zu können. Am besten leiten Sie die Domain vorerst auf ein anderes Verzeichnis weiter, damit kein direkter Zugriff mehr möglich ist. Außerdem bitten wir um umgehende Information per Mail. Anschließend suchen Sie im Zugriffsprotokoll des Webservers nach der Ursache des Hacks, sollten Sie dazu nicht in der Lage sein, können Sie uns per Mail damit beauftragen. Ist die Ursache geklärt, spielen Sie ein sauberes Backup der Daten und Datenbank zurück, ändern alle Passworte, spielen die notwendigen Updates ein, um die Sicherheitslücke zu fixen und schalten die Seite wieder online.
Was sind die richtigen Rechte für Ordner und Verzeichnisse auf dem Webspace?
Ihr Webspace liegt auf einem Unix-Dateisystem. Hier können Rechte für den Besitzer der Datei, die Gruppe, zu der der Besitzer gehört sowie für alle anderen Benutzer mittels chmod gesetzt werden. Bei Interesse finden Sie bei Wikipedia weitere Erläuterungen und Links zu diesem Thema.
Um Ihre Daten vor unbefugtem Zugriff und Manipulation zu schützen, ist die richtige Rechtevergabe für Dateien und Verzeichnisse auf dem Webspace wichtig. Folgende Einstellungen gewährleisten die größtmögliche Sicherheit, für statische Inhalte (html, Bilder, etc.) 640, für dynamische Inhalte (Perl- und PHP-Skripte) 700, für Dateien, die von Skripten ausgelesen werden (Konfigurationsdateien, etc.) 600. Für Verzeichnisse ist 710 die richtige Einstellung.
Beim FTP-Upload werden vom Server die Rechte schon restriktiv vergeben, allerdings ist bei Dateien eine Unterscheidung zwischen statischen und dynamischen Inhalten nicht möglich, deshalb erhalten alle Dateien 640, Verzeichnisse werden wie empfohlen auf 710 gesetzt. Ändern können Sie die Rechte mit dem FTP-Programm Ihrer Wahl durch Rechtsklick auf die entsprechende Datei oder Verzeichnis und den Menüpunkt Eigenschaften.
Bei unseren Webhosting-Angeboten gehören alle Kunden einer Gruppe an. Mit den Rechten dieser Gruppe läuft auch der Webserver-Prozess. Dies hat zur Folge, dass Dateien und Verzeichnisse, welche vom Webserver angezeigt werden sollen, von der Gruppe gelesen werden können müssen. Daher sollten statische Inhalte wie HTML-Seiten, Bilder und downloadbare Dateien als Rechte für die Gruppe das Leserecht vergeben, für den Benutzer sollte sowohl lesen als auch Schreiben möglich sein. Skripte werden bei uns jedoch mit den Rechten des Besitzers der Dateien ausgeführt. Aus diesem Grund benötigt für Sie nur der Besitzer Lese/Schreib/Ausführungszugriff. Dateien, welche ausschließlich von Skripten gelesen oder geschrieben werden, können mit den gleichen Rechten wie die Skripte versehen werden, wobei hier das Ausführungsrecht nicht benötigt wird. Dies gilt insbesondere auch für Konfigurationsdateien, welche wichtige Daten enthalten können und unbedingt geschützt werden sollten!
Was muß ich tun, um bestmöglich vor Hackern und anderen Attacken geschützt zu sein?
Dafür gibt es mehrere Regeln. Als erstes sind sichere Passworte für Kundenbackend, FTP, etc. Pflicht. Sichere Passworte bestehen aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Geben Sie außerdem die Passworte nicht weiter. Ein weiterer wichtiger Punkt sind ordentlich gesetzte Rechte für Dateien und Verzeichnisse. Auf unseren Servern werden beim FTP-Upload normalerweise schon die richtigen Rechte gesetzt, allerdings sollte dies trotzdem noch kontrolliert und bei Bedarf angepasst werden. Ausführlicher wird die Rechteproblematik in einem eigenen Artikel erläutert.
Außerdem sollte man regelmäßig Webportale aufsuchen, die über aktuelle Sicherheitslücken berichten, SecurityFocus und milw0rm sind hier unsere Empfehlung. Beide Seiten bieten auch RSS-Feeds an. Bei Bekanntwerden einer Lücke muß umgehend ein Update erfolgen, die Zeiten zwischen Bekanntwerden der Schwachstellen und erfolgreichen Attacken ist extrem kurz.
