Contao-Camp 2024
Ergebnis 1 bis 5 von 5

Thema: Server-Sicherheit bei mehreren Kunden auf einem Server

  1. #1
    Wandelndes Contao-Lexikon Avatar von tab
    Registriert seit
    22.10.2013.
    Beiträge
    10.060
    Contao-Projekt unterstützen

    Support Contao

    Standard Server-Sicherheit bei mehreren Kunden auf einem Server

    Ich stelle das Thema einfach mal in den Raum, in der Hoffnung auf sachliche Diskussion und überzeugende Argumente.
    Aber es ist auch eine Frage an diejenigen unter euch, die Kunden auf ihre Server lassen. Also eventuell z.B. Agenturen oder Leute, die ein kleines (oder größeres) Shared Webhosting betreiben.
    In diesem Fall ist die Serversicherheit noch wichtiger als sonst - und auch viel schwerer, falls überhaupt, zu erreichen. Es geht mir hier nicht (nur) um die Sicherheit des Servers als Ganzem, also Schutz gegen Hacker von aussen, sondern insbesondere auch um die Sicherheit der Kundendaten gegen Zugriff durch andere Kunden auf dem Server.

    Einerseits sehe ich, dass einige, auch größere, Shared Hoster "Sicherheitseinstellungen" wie open_basedir nicht aktivieren, die Verwendung von PHP-Funktionen wie exec(), passthru() usw zulassen und auch mit FollowSymlinksIfOwner Match kein Problem zu haben scheinen. Andere verzichten auch auf chroot beim SSH-Zugang. Ich nenne hier erst einmal keine Namen.

    Andrerseits quillt das Web über von Warnungen von (möglicherweise selbst ernannten) Experten und Serveradmins, die das aus Sicherheitsgründen strikt ablehnen.

    Handeln die Ersteren einfach grob fahrlässig oder verhindern sie den Zugriff ihrer Kunden auf fremde Daten auf andere Weise? Sind die Letzteren schlicht nicht fähig, ihre Server bzw die darauf gespeicherten Kundendaten mit anderen Massnahmen (mit passenden Unix-Rechten etc) zu sichern oder sichern sie sich einfach bestmöglich gegen mögliche Schadenersatzforderungen von Kunden ab? Wie haltet ihr es in der Beziehung?

    Gerade für Contao ist ja z.B. aus Performancegrunden die komplette Deaktivierung von open_basedir empfohlen und diverse "problematische" PHP-Funktionen (exec(), passthru() oder ähnliche) sind dafür notwendig, insbesondere auch für den Contao-Manager. Rechtlich kann es durchaus problematisch sein, wenn man Sicherheitsmaßnahmen nicht trifft, weil man sie für unnötig oder auch unwirksam hält - oder schlimmer noch aus reinen Performancegründen. Bei einer derartigen Lage ist es für beide Seiten ohne Problem möglich, einen Gutachter zu finden, der sich in ihrem Sinne ausspricht. Also kann man nur hoffen, dass im Falle einer Klage die Richter dann im eigenen Sinne entscheiden, was alles andere als sicher ist. Insofern mag es tatsächlich so sein, dass man - auch gegen seine eigene Überzeugung - umstrittene Sicherheitsmassnahmen treffen sollte, um sich keinen juristischen Risiken auszusetzen.

    Meine persönliche Konsequenz ist derzeit, eine Shared Hosting Situation tunlichst zu vermeiden, also wenn, dann nur Projekte eines Kunden pro Server zu hosten.

  2. #2
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    33.898
    Partner-ID
    10107

    Standard

    Zitat Zitat von tab Beitrag anzeigen
    Gerade für Contao ist ja z.B. aus Performancegrunden die komplette Deaktivierung von open_basedir empfohlen
    Nicht für Contao, sondern generell. open_basedir bietet außerdem keinen ausreichenden Schutz. Du musst dafür sorgen, dass alle Kunden in ihrem eigenen Prozess laufen.
    » sponsor me via GitHub or PayPal or Revolut

  3. #3
    Wandelndes Contao-Lexikon Avatar von tab
    Registriert seit
    22.10.2013.
    Beiträge
    10.060
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Zitat Zitat von Spooky Beitrag anzeigen
    Nicht für Contao, sondern generell. open_basedir bietet außerdem keinen ausreichenden Schutz. Du musst dafür sorgen, dass alle Kunden in ihrem eigenen Prozess laufen.
    Ja, ist mir schon klar. Das reicht aber nicht, zumindest darf ich dann statische Dateien nicht direkt vom Apache ausliefern lassen. Ansonsten sind anscheinend Angriffe von "innen" unter Ausnutzung von Race Conditions per Symlink auch bei FollowSymlinksIfOwnerMatch möglich. Wenn der Apache statische Dateien für alle Kunden ausliefern soll und dabei unter seinem eigenen User läuft, dann muss er zumindest Lesezugriff auf all diese Dateien haben. Wenn er den hat, können die Sicherheitsprobleme mit FollowSymlinksIfOwnerMatch über den Apache ausgenutzt werden. Ich habe allerdings im Web Hinweise auf einen Kernel-Patch gefunden, der das verhindern soll. Der müsste freilich nach jedem Kernel-Update wieder durchgeführt werden. Eine Alternative mag sein, jedem Kunden einen eigenen Apache zu spendieren, siehe z.B. Webgo. Außerdem, wer garantiert mir, dass mir die Tatsache, dass open_basedir an sich keinen ausreichenden Schutz bietet, im Falle einer Klage helfen würde?
    Es ist wohl einigermaßen unumstritten, dass es wenigstens eine zusätzliche Sicherheit bietet. Es wird ja auch keine Diebstahlversicherung zahlen, wenn ich mein Auto oder Haus nicht abschliesse und dann nach einem Diebstahl argumentiere, dass das ja sowieso keinen ausreichenden Schutz geboten hätte.

  4. #4
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    33.898
    Partner-ID
    10107

    Standard

    Zitat Zitat von tab Beitrag anzeigen
    Ja, ist mir schon klar. Das reicht aber nicht, zumindest darf ich dann statische Dateien nicht direkt vom Apache ausliefern lassen.
    Keine Ahnung wie das Shared Hoster machen - aber ich würde vermuten auch der Web Server Prozess läuft nicht als root/www-data.
    » sponsor me via GitHub or PayPal or Revolut

  5. #5
    Wandelndes Contao-Lexikon Avatar von tab
    Registriert seit
    22.10.2013.
    Beiträge
    10.060
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Zumindest auf meinem Server tut er das. Ein apache2 Prozess unter root und vier unter www-data. Und ich fürchte, zumindest bei Plesk tut er das auch . Muss mal schauen, wie ich bei den verschiedenen Webhostern an die Info drankomme .

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •