Webserver völlig autark möglich?
Hallo zusammen,
ich habe eine völlig autarke Webanwendung (eigenes Framework mit PHP,JS, SQL), ua. zur Auswertung von Maschinen/Sensor Daten und deren Visualisierung, sowie entsprechende Signale zurück an das Gerät als Steuerbefehl.
Alle Daten(!) von und zum server sind ausschliesslich Rohdaten, die durch eigene Funktionen wieder den ursprünglichen Zweck erfüllen.
Meine vorstellung ist dazu ein autarker Webserver (Ubuntu mit Plesk ohne Schnickschnack Tools von Drittanbietern) der tatsächlich nur über die Ports 443 (https), 22 (SFTP), 587 (SMTPS) zugäglich ist.
Da stellen sich mir folgende Fragen:
Ist das realistisch oder wie kann das erreicht werden?
Ist eine PHP-Installation mit Maria-DB tatsächlich autark?
Wie sicher ist Plesk ohne Zusatz-tools von Drittanbietern?
Wäre prima hier konstruktive Kritik/Inputs zu erhalten
Vielen Dank.
ich habe eine völlig autarke Webanwendung (eigenes Framework mit PHP,JS, SQL), ua. zur Auswertung von Maschinen/Sensor Daten und deren Visualisierung, sowie entsprechende Signale zurück an das Gerät als Steuerbefehl.
Alle Daten(!) von und zum server sind ausschliesslich Rohdaten, die durch eigene Funktionen wieder den ursprünglichen Zweck erfüllen.
Meine vorstellung ist dazu ein autarker Webserver (Ubuntu mit Plesk ohne Schnickschnack Tools von Drittanbietern) der tatsächlich nur über die Ports 443 (https), 22 (SFTP), 587 (SMTPS) zugäglich ist.
Da stellen sich mir folgende Fragen:
Ist das realistisch oder wie kann das erreicht werden?
Ist eine PHP-Installation mit Maria-DB tatsächlich autark?
Wie sicher ist Plesk ohne Zusatz-tools von Drittanbietern?
Wäre prima hier konstruktive Kritik/Inputs zu erhalten
Vielen Dank.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5373033593
Url: https://administrator.de/forum/webserver-voellig-autark-moeglich-5373033593.html
Ausgedruckt am: 22.12.2024 um 13:12 Uhr
19 Kommentare
Neuester Kommentar
Mahlzeit.
Ein separates Netzwerk (VLAN) auf der Firewall / dem Router und Switches einrichten.
Anschließend die gewünschten Ports mit entsprechendem Regelwerk versehen und nur Zugriff darauf und auf den Webserver für gewünschte Clients / Maschinen erlauben.
Damit ist das Teil vom übrigen Netzwerk abgeschottet.
Das sollte schnell zum Fliegen gebracht werden können.
Gruß
Marc
Ein separates Netzwerk (VLAN) auf der Firewall / dem Router und Switches einrichten.
Anschließend die gewünschten Ports mit entsprechendem Regelwerk versehen und nur Zugriff darauf und auf den Webserver für gewünschte Clients / Maschinen erlauben.
Damit ist das Teil vom übrigen Netzwerk abgeschottet.
Das sollte schnell zum Fliegen gebracht werden können.
Gruß
Marc
ich habe eine völlig autarke Webanwendung (eigenes Framework mit PHP,JS, SQL)
Meine vorstellung ist dazu ein autarker Webserver (Ubuntu mit Plesk ohne Schnickschnack Tools von Drittanbietern) der tatsächlich nur über die Ports 443 (https), 22 (SFTP), 587 (SMTPS) zugäglich ist.
Meine vorstellung ist dazu ein autarker Webserver (Ubuntu mit Plesk ohne Schnickschnack Tools von Drittanbietern) der tatsächlich nur über die Ports 443 (https), 22 (SFTP), 587 (SMTPS) zugäglich ist.
Ein Webserver kann mit Ports 22 und 587 nichts anfangen. Also es soll vermutlich deutlich mehr sein, als nur ein Webserver, vermutlich eben auch SSH und Mailserver. Aber selbst das geht natürlich problemlos.
Jeder Webserver oder Mailserver ist autark und arbeitet vor sich hin. Macht halt nur keinen Sinn, wenn dann niemand darauf zugreifen kann, daher der Anschluss an die weite Welt.
Nur, wie auch bei den anderen, die Frage, was Du mit autark meinst: Autark ohne Verbindung ins LAN oder Internet? Dann geht natürlich kein Mailverkehr, aber sonst ist das problemlos möglich, solange die eingesetzten Serverdienste nicht nach Hause telefonieren müssen (Lizenzabfragen oä).
Gruß
DivideByZero
Wie "autark" darf es denn sein? Generell kannst du den Server natürlich völlig dichtnageln -> selbst Port 80/443 brauchst du nicht, dann setzt du eben via Port 22 nen SSH-Tunnel (oder direkt nur via VPN) davor. Ob du dann https oder plain http machst ist dir überlassen - weil bei https brauchst du ja irgendwie wieder nen Zertifikat...
Dein PHP / MySQL / Apache kann natürlich auch auf dem Server laufen, ist sogar bei kleineren Umgebungen der normale Standard. Ich würde allerdings auf Plesk dann auch verzichten - das ding is in 5 min per Hand auch ohne eingerichtet und Plesk ist nur eine zusätzliche mögliche Schwachstelle...
Dein PHP / MySQL / Apache kann natürlich auch auf dem Server laufen, ist sogar bei kleineren Umgebungen der normale Standard. Ich würde allerdings auf Plesk dann auch verzichten - das ding is in 5 min per Hand auch ohne eingerichtet und Plesk ist nur eine zusätzliche mögliche Schwachstelle...
autarker Webserver (Ubuntu mit Plesk ohne Schnickschnack Tools von Drittanbietern) der tatsächlich nur über die Ports 443 (https), 22 (SFTP), 587 (SMTPS) zugäglich ist.
Blech oder VM mit Debian o.ä., Dienste drauf, die Du brauchst (Web, Mail, SSH), autarker geht es nicht. Container geht sicher auch.Jeder Server ist "autark" - bis Du ihn mit anderen verbindest OK, eine VM ist natürlich nicht ganz autark i.e.S., die braucht schon ihren Host. Ebenso ein Container. Die Maschine ist dennoch isoliert. Der Terminus autark ist in der Tat schwierig zu interpretieren.
Ich trenne bei Servern grundsätzlich nach Funktion und ich denke, da bin ich nicht allein
Viele Grüße, commodity
Hallo
Da stellen sich mir folgende Fragen:
Ist das realistisch oder wie kann das erreicht werden?
Ist eine PHP-Installation mit Maria-DB tatsächlich autark?
Wenn du intern meinst und ggf. ohne Internet nach der Instalaltion --> Ja
Gruß
ich habe eine völlig autarke Webanwendung (eigenes Framework mit PHP,JS, SQL), ua. zur Auswertung von Maschinen/Sensor Daten und deren Visualisierung, sowie entsprechende Signale zurück an das Gerät als Steuerbefehl.
Alle Daten(!) von und zum server sind ausschliesslich Rohdaten, die durch eigene Funktionen wieder den ursprünglichen Zweck erfüllen.
Meine vorstellung ist dazu ein autarker Webserver (Ubuntu mit Plesk ohne Schnickschnack Tools von Drittanbietern) der tatsächlich nur über die Ports 443 (https), 22 (SFTP), 587 (SMTPS) zugäglich ist.
Das widerspricht sich, wenn du Plesk einsetzt.Alle Daten(!) von und zum server sind ausschliesslich Rohdaten, die durch eigene Funktionen wieder den ursprünglichen Zweck erfüllen.
Meine vorstellung ist dazu ein autarker Webserver (Ubuntu mit Plesk ohne Schnickschnack Tools von Drittanbietern) der tatsächlich nur über die Ports 443 (https), 22 (SFTP), 587 (SMTPS) zugäglich ist.
Da stellen sich mir folgende Fragen:
Ist das realistisch oder wie kann das erreicht werden?
Ist eine PHP-Installation mit Maria-DB tatsächlich autark?
Wie sicher ist Plesk ohne Zusatz-tools von Drittanbietern?
Wozu Plesk für Apache, PHP und MySQL?Gruß
Moin,
das was @Avoton geschrieben hat, plus
lg,
Slainte
das was @Avoton geschrieben hat, plus
Die Ports für FTP & HTTP,
Wenn du nach den Protokollen fragst, bist du datensicherheits/-schutz technisch schon raus!... haben ausschlisslich Zugriff auf das zugewiesene Verzeichnis mit Unterverzeichnissen, oder?
Sofern du die Dienste korrekte konfiguriert hast, die Verzeichnisberechtigungen korrekt sind und die Dienste und dein PHP Code keine Fehler oder Schwachstellen beinhalten: Ja, wahrscheinlich.lg,
Slainte
Insgesamt geht es mir um eine höchstmögliche Datensicherheit,
für geschulte Administratoren ein Witz, bei dieser Prämisse Ubuntu und Plesk einzusetzen. Aber es gibt auch Leute, die das mit dem IIS machen würden - da bist Du doch schon bedeutend weiter Das, was die Kollegen vorstehend schreiben, ist völlig korrekt. Eitelkeiten bitte mal kurz ablegen. Nur weil Du ein paar Erfahrungen im Serverbetrieb hast, heißt das nicht, dass Du das (auch nur einigermaßen) sicher umsetzen kannst. Du verstehts ja von den administrativen Grundlagen wenig bis nichts, sonst wäre Plesk wohl kein Thema. Fail2ban z.B. ist auch keine Funktion von Plesk sondern kannst Du auf jedem Linux-Server installieren. Anpassen musst Du es ohnehin, da genügt die Plesk-UI ganz sicher nicht.
Wenn das ein wichtiges Projekt ist, holt man sich Adminstratoren ins Boot (oder lernt selbst ein paar Jahre). Wenn das eine eher exotische Eigenentwicklung ist, braucht man für den Pilotbetrieb nicht
höchstmögliche Datensicherheit,
(was immer das ist) und wird sie auch nicht gewährleisten können, indem man das in einem Forum abklärt. Da können sich die Kollegen hier im Forum noch so viel Mühe geben (was viele tun). Du bist ja scheinbar nicht mal vom Plesk wegzubekommen.Damit was Positives bleibt: Natürlich kannst Du mit dem Angebot eines jeden Hosters einen einigermaßen sicheren Server betreiben. Da sind Ubuntu und Plesk ja oft im Team. Das ist dann aber sicher nicht höchstmögliche Sicherheit und natürlich hängt es auch davon ab, wie Du es einrichtest. Man muss halt Vorsichtig sein, mit solch anspruchsvollen Formulierungen - und in den Ansprüchen realistisch bleiben.
Viele Grüße, commodity
Was genau ist denn an Plesk auszusetzen, wo sind denn genau die schwachstellen?
Alter Finne! Du bist Entwickler. Plesk ist Software. Du solltest wissen, wie man Schwachstellen von Software recherchiert. (Das Finden ist noch ein ganz anderes Thema).https://www.cvedetails.com/vulnerability-list/vendor_id-1049/Plesk.html
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=plesk
Der Punkt ist, dass man in sicheren Umgebungen nur Dienste einsetzt, die zwingend für den Betrieb der Software benötigt werden und/oder der Sicherheit dienen. Selbst die Administration wird dann eingeschränkt. Einen sicherheitsrelevanten Server würde ich zB nicht einmal per SSH ins Netz hängen, sondern ein VPN vorschalten. Und ich bin nur ein kleiner Quereinsteiger-Admin mit ein paar Minikunden.
doch brauchbare Lösungsansätzen von den Profis wäre auch nicht schlecht
Mal richtig lesen wäre auch nicht schlecht Leseschwäche ist ja immer ein Thema in der IT. Insbesondere die, bei der nur gelesen wird, was man gern lesen wollte. Konkret (und sehr konstruktiv) vorgeschlagen wurde (hier nochmals zur Kenntnis):
- Auf Plesk verzichten
- Auf Ubuntu verzichten
- mindestens Debian einzusetzen
- Fail2ban selbständig einzusetzen
- Dienste zu beschränken
- Ports zu beschränken
- Verzeichnisberechtigungen zu beschränken
- Code härten
- https://frankenphp.dev/ anzusehen
- Nicht FTP und HTTP einzusetzen - beides überholte und längst ersetzte Protokolle
- Kenntnisse und Erfahrungen zu erwerben - eine leider häufig unterschätzte Maßnahme - der Weg hier ins Forum ist ein erster guter Schritt - es gibt auch etliche weitere
- Administrator hinzuziehen
Und weil Du oben konkret fragst: Ja, ein verantwortlicher Administrator beachtet in der Praxis diese Punkte - soweit sie technischer Natur sind (also den Code härten würde ich nicht. Das muss der machen, der ihn geschrieben hat ). In maximal sicheren Umgebungen kommt noch einiges hinzu, z.B. administratives Berechtigungsmanagement, interne Sicherheit, externe physische Sicherheit, Backupmanagement, etablierte Prozesse/Unternehmenspolicies, Dokumentationsprozesse, Monitoring, Audits, Pentests fallen mir dazu spontan ein.
Ich finde es wirklich super, wenn Du eine relevante Software entwickelst (die hoffentlich Open Source ist, damit sie sicher bleibt/noch sicherer wird - Vorsicht vor Jia Tan!). Bleib dabei und setze das um. Für den administrativen Teil muss da aber noch vieles wachsen. Wenn Du die Ressourcen dafür nicht hast: Schaffe Dir ein Team. Ohne geht es ohnehin nicht, wenn man was von Relevanz macht. Wenn Ihr dann die Prozesse geplant habt, werden Deine Fragen auch konkreter und hier beantwortbarer als die Ausgangsfrage des Threads.
Oder spring einfach ins kalte Wasser. Es gibt andere, die sich deutlich weniger für (vielleicht) relevantere Daten einsetzen - jedenfalls haben die offenbar hier nicht gefragt:
Microsoft habe sich eine »Kaskade vermeidbarer Fehler« geleistet, die die Folge einer unzureichenden Sicherheitskultur seien.
https://www.spiegel.de/netzwelt/netzpolitik/microsoft-regierungskommissi ...Allerdings hat MS wahrscheinlich auch mehr Budget für die daraus folgenden Haftungsstreitigkeiten
Viele Grüße und good luck, commodity
Fangen wir doch mal einfach an - du solltest als SW-Entwickler doch schonmal die Grundregel gehört haben das jede (nicht-triviale) Software fehler hat, oder? Dabei spielt es gar keine Rolle ob du die als Einzelkämpfer baust - oder da Konzerne mit 100.000 Leuten hinterstehen. Warum glaubst du also das Plesk davon ausgenommen ist? Nur das du damit eine potenzielle Angriffsfläche direkt mal ins Web stellst, gute Idee, oder?
Dann ist immer noch die Frage - wer soll am Ende denn auf deinen Webserver zugreifen dürfen? Denn davon hängt ja ab wie sicher man den bauen kann und will. Wenn es sich um eine überschaubare Gruppe zB. handelt würde ich eben den Zugriff nur per SSH (und dann entsprechende SSH-Tunnel) erlauben. Alternativ per VPN wenns zB von Firmen benötigt wird (dann geht nen Site-2-Site und fertig). Denn grade hier gilt eben: Jeder Dienst der im Internet gar nicht erreichbar ist bedeutet auch automatisch das dieser Dienst nicht so häufig angegriffen wird. FTP würde ich dabei mal eben direkt mit durch SCP (Windows zB. WinSCP als Client) ersetzen - schon kann ich mir das zusätzliche Protokoll direkt komplett einsparen UND habe die Übertragung gleich noch gesichert (und noch einige andere nette Seiteneffekte dazu). Bei SSH noch root-Login abschalten und am besten auch noch password-auth deaktivieren (dann solltest du nur einen Weg haben falls dein Key mal verloren geht - zB. via Konsole), dann ist SSH schon recht sicher.
Ob du jetzt am Ende Ubuntu, Debian oder eines der anderen 100.000 Distri-Pakete nimmst halte ich dagegen erstmal für sekundär. Die Distri an sich macht nicht die Sicherheit aus, das macht eher die Person davor. Wenn ich bei nem Debian einfach nur alles raufballere ist das nicht besser oder schlechter als wenn ich das bei ubuntu mache. Am Ende muss eh die Person davor dafür sorgen das die Systeme auch abgesichert und gepflegt werden. Solange die Distri also noch gepflegt wird ist das _für mich_ eher eine Geschmacksfrage.
Dann ist immer noch die Frage - wer soll am Ende denn auf deinen Webserver zugreifen dürfen? Denn davon hängt ja ab wie sicher man den bauen kann und will. Wenn es sich um eine überschaubare Gruppe zB. handelt würde ich eben den Zugriff nur per SSH (und dann entsprechende SSH-Tunnel) erlauben. Alternativ per VPN wenns zB von Firmen benötigt wird (dann geht nen Site-2-Site und fertig). Denn grade hier gilt eben: Jeder Dienst der im Internet gar nicht erreichbar ist bedeutet auch automatisch das dieser Dienst nicht so häufig angegriffen wird. FTP würde ich dabei mal eben direkt mit durch SCP (Windows zB. WinSCP als Client) ersetzen - schon kann ich mir das zusätzliche Protokoll direkt komplett einsparen UND habe die Übertragung gleich noch gesichert (und noch einige andere nette Seiteneffekte dazu). Bei SSH noch root-Login abschalten und am besten auch noch password-auth deaktivieren (dann solltest du nur einen Weg haben falls dein Key mal verloren geht - zB. via Konsole), dann ist SSH schon recht sicher.
Ob du jetzt am Ende Ubuntu, Debian oder eines der anderen 100.000 Distri-Pakete nimmst halte ich dagegen erstmal für sekundär. Die Distri an sich macht nicht die Sicherheit aus, das macht eher die Person davor. Wenn ich bei nem Debian einfach nur alles raufballere ist das nicht besser oder schlechter als wenn ich das bei ubuntu mache. Am Ende muss eh die Person davor dafür sorgen das die Systeme auch abgesichert und gepflegt werden. Solange die Distri also noch gepflegt wird ist das _für mich_ eher eine Geschmacksfrage.