Bezpečnost webového serveru

Chtěl bych zjistit zda přináší provozování HTTP serveru na počítači bezpečnostní rizika a pokud ano, tak jaká.
Jedná se o kontrétní případ, a sice instalaci EasyPHP (tedy HTTP server Apache) na počítač s Windows 2000 Server (nebo 2003 to teď nevím jistě). Odpovědná osoba se údajně sprovoznění vlastního webového serveru brání kvůli těmto rizikům (odpovědná osoba neznamená v tomto případě osoba znalá věci). Na počítači na kterém by měl Apache běžet jsou především uložena důvěrná data (samozřejmě ale budou mimo adresáře dostupné z webu).
Budu vděčen za každý názor. Jedinou podmínkou je zachování Windows (tedy žádný Linux), EasyPHP je pouze má volba ale myslím že v tomhle ohledu rizika nehrozí.
(Btw je mi jasné že je potřeba dodržovat základní bezpečností principy na provozovaných stránkách, např. neumožnit upload a následné spuštění libovolného souboru.)
Pouzivat PHP jako mod apache. Jednoznacne to prinasi lepsi bezpecnost nez pouzivat ho jako extra CGI. Docela podminka je NTFS. Je nutne vytvorit pro webovy server extra ucet a nastavit prava pro pristup jen do adresaru webu + adresare, do nichz smi server hrabat. Zbytek disku sluzbe odeprit. V nastaveni services pouzij pro apache tento extra ucet. Takhle by to mohlo byt imho docela bezpecne...
provozovat public (rozumej z Internetu dosazitelny) webserver na stroji, kde jsou ulozena *jakakoli* citlivava data, je sebevrazda.
Tak mám pocit že Sojkovec a jkt si trochu odporují. Nějaký další názor? Protože teď vůbec nevím na čem jsem.
mno asi takhle - cim vic sluzeb bude nejaky stroj poskytovat, tim vetsi je pravdepodobnost, ze se ti tam neco po. navic v kazdem programu muzou byt ruzny bugy, klidne i v apachovi.

pokud si muzes dovolit, aby cely svet dostal pristup k tvym tajnym datum, rozjed si tam webserver.
No má tajná data to nejsou :-)
Opravdu mi chceš říct, že když na počítači běží webový server (a přes routery je povolen jen port 80), že je možné z toho počítače dostat všechna data?
Pokaždé když je jakkoliv (funkčně) připojen k netu tak to nějak de :-)
Pokud nemas dostatecne zabezpeceny web server, tak je vsechno mozny.
S dobre zabezpecenym webserverem by se to vsak nemelo stat.

Kdyby webservery nebyly duverihodne, myslis si, ze by pak existoval neco jako internetbanking, ci internetove obchody? Mam pocit, ze nektere z nich jedou i na Microsoftu.
samozrejme, ze pouha existence httpd nabindovaneho na port 80 neimplikuje nutnou kompromitaci systemu. na druhou stranu, myslis si, ze internetbanking webserver jede na stejnem stroji, jako databaze uctu?

proste ja bych si to na svem stroji nelajsnul.
jinak to, jak moc je stroj firewallovany, je zcela irelevantni - dokazu si predstavit buffer overflow pri parsovani HTTP requestu, ktery v kombinaci s local privilege escalation dokaze udelat divy ;-)
>> pouha existence httpd nabindovaneho na port 80 neimplikuje nutnou kompromitaci systemu

Lol. To je věta. Právě mi explodovala hlava. Dík:)
No tak jinak - je nějaký podstatný bezpečnostní rozdíl v tom, jestli:

a) webový server je samostatný počítač obsahující jen data webového serveru a je zapojen do intranetu spolu s počítači které obsahují případně i důvěrná data

b) webový server je na počítači na kterém přímo jsou nějaká důvěrná data
Myslim, že pokud splníš, to co vyjmenoval Sojkovec, tak už to bude viset převážně na samotné aplikaci, která na tom poběží - musíš mít pořádně ošetřený chybový stavy.
Dobrý den,

sháním peknou knížku o SEU.



Rad bych nejakou zajimavou knihu, strucnou a uznavanou.
Nechci nic zbytecne draheho a preplacaneho (nejsem zacatecnik).

DIKY za TIP.
23k > no a co to má společného s tímhle tématem? Proč si nezaložíš vlastní thread, mě docela ta otázka co jsem položil zajímá z pracovního hlediska tak nepotřebuju aby se téma rozhovoru převedlo na knihy o SEO.
> No tak jinak - je nějaký podstatný bezpečnostní rozdíl v tom, jestli:
>
> a) webový server je samostatný počítač obsahující jen data
> webového serveru a je zapojen do intranetu spolu s počítači
> které obsahují případně i důvěrná data
>
> b) webový server je na počítači na kterém přímo jsou nějaká důvěrná data

jiste, je v tom velmi podstatny rozdil, reseni B je ulpna sebevrazda, reseni A je akceptovatelnejsi, ale taky bych to nedelal. Ne na stejnem L2 segmentu :-). Pokud chces nejak poradit, zkus popsat topologii site.
Topologii sítě ti nepopíšu protože je to hodně komlikovaná síť do které já vůbec nevidím :-) Nejsem žádný síťový expert ani to není náplní mojí práce, právě proto se ptám zde na fóru.
(V současné době je v této síti využito přes 7500 IP adres z 65536 možných.)

To jako chceš říct, že webový server jde bezpečně vytvořit jenom na počítači, který je zavřený sám v místnosti oddělený od světa 2 metry tlustou stěnou a připojený pouze přímo na internet, nikoliv na žádnou podnikovou síť?
v podstate tak nejak :-). Rika se tomu DMZ. Co jsem koukal na tvuj web, tak jsi asi z vsb.cz - co je na tom stroji za "duverna data"?
Jeremy rulez
http://kumst.net/jeremy.php
:D
Tak tohle je první téma co jsem na wz nepochopil:))
tom: vlámat se jde všude. a jestli někam ne, tak je správce toho serveru paranoidní geek;)
jiste, vsechno jde, ale proste urcite veci se vazne nedelaji :-). Jinak pokud to das na nejaky stroj, na jehoz kompromitaci nebude zase az tak moc zalezet (tj. napriklad nema pridelena stejna pristupova privilegia k zdrojum lokalni site jako bezne pocitace sekretarek), nevidim problem. Lidove receno - dohodni se s adminem :-) a pichni to do nejake zasuvky, ze ktere se k woknum na stolech beznych zamestnancu nedostanes (resp. dostanes stejne blbe, jako z internetu).
No asi takhle - Apache bych spouštěl na našem katedrálním serveru protože je to dost výkonný stroj. Jsou na něm konta studentů a zaměstnanců naší katedry (tedy principiálně nic extra tajného, žádné čísla kreditek atd., jen osobní dokumenty). A jak už jsem uvedl je na něm Win2003 server. Do jiné síťové zásuvky bych ho nedával, ani jiné HW změny bych nedělal. Jde jen o to, jestli hrozí extra výrazné nebezpečí ve stavu v jakém to je.
aha, takze mas k dispozici nejakou win2k3 masinu, ktera obsluhuje NT domenu pro tvou katedru, slouzi teda jako "autorizacni server" pro nejakych dalsich n pocitacu (overovani kont, ulozeni $HOME,...). Ja bych na tom webserver z principu nepoustel. Zkus najit nejaky jiny stroj, na webserver ti vazne staci neco stareho nevykonneho, p2@200MHz je naprosto OK...
Tome sry ale tohle sem sem nepsal. Psal sem to do jineho threadu. Se asi tohle forum zblaznilo :/
23k - v pohodě a pokud to byla chyba fóra, tak se ti omlouvám já ;-)