Kaikkea palvelimen ylläpitoon liittyvää.

GoA:
Itse olen tällä hetkellä asentanut koneelle Windows Server 2003 ohjelmiston. Tuon ohjelman trial-version voi jokainen imuroida Microsoftin sivuilta. Tuon mukana tulee monenmonta erilaista mahdollisuutta ylläpitää palvelinta joista IIS nimistä palvelua käytetään internetsivuston ylläpitoon. Juuri tuo on itsellänikin käytössä.

Tällä hetkellä mietityttää juuri oman palvelimen tietoturva. Jotta tuo oma internetsivusto toimisi täytyy palomuurista avata tiettyjä portteja koska muulloin ulkopuoliset eivät pääse hakemaan tietoja palvelimelta. Mutta millainen tietoturvariski nuo avoimet portit ovat? Entä mitä voisi tehdä parantaakseen tietoturvaa? Ja tiedän että RTFM täytyy soveltaa, Kotona odottaa tällä hetkellä muutama iso pdf-dokumentti servun ylläpidosta.

Tietoturvaa voisit lisätä ainakin vaihtamalla IIS:n vaikka Apacheen :)

En nyt tiedä oikein millaiseen käyttöön olet ko. purkkia laittamassa, mutta oikeat palomuurithan ovat rautaa tai eivät ainakaan pyöri samalla koneella, kuin itse internet-palvelut.

Avoimet portit eivät sinällään ole tietoturvariski, kunhan niiden lävitse kulkee vain haluttua tietoa.

Toki tietoturvaan liittyy pitkälti sekin, että millaisia (esim. webbisovelluksia) siellä ajetaan. Reikäisten php-versioiden tms. ajelu tekee parhaatkin palomuurit hyödyttömiksi.

meinaan jos rauta niin yleensä weba serverit laitetaan DMZ porttiin(joka ei ole varsinaisesti yhteydessä sisäverkkkoon) palomuurissa
ja silloin tietenkin avataan vain tarvittavat portit.

yleensä kaikki etä ylläpito muodostaa tietoturva riskin, mutta tietenkin salattu yhteys auttaa asiaa.

tietenkin kaikki päivitykset mitä löytyy kannattaa ajaa servoon.

oiskohan ollu halvimmat rautapalomuureja saa jostain 300 ylöspäin.

[muokattu 29.4.2004 09:40]

Palvelimen asetuksissa kannattaa kiinnittää huomiota tietoturvan suhteen:
0. softan pitämiseen ajan tasalla
- päivitykset
1. mahdollisiin murtautumisreittihin
- palomuurissa aukiolevat julkiset palvelut sekä niiden omat asetukset
- voiko murto tapahtua epäsuorasti, ts. kiertää useamman palvelun kautta
2. siihen mitä mahdollinen murtautuja voi tehdä
- käyttöoikeusasetukset
- prosessien ajaminen omalla rajatulla käyttäjätunnuksella
3. seurantaan
- ilman seurantaa mahdotonta huomata mahdollinen hyökkäys
4. jälkihoitoon
- VARMENNUS (ts. backup)
- palvelimen palautus jos jotain ikävää pääsee kaikesta huolimatta tapahtumaan: pitäisi olla helppoa ja nopeaa, mutta yleensä ei ole kumpaakaan

Esimerkki siitä miten monimutkaisella tavalla voi tunkeutua palvelimelle useamman tietoturva-aukon kautta:
1. MsSql:n perusasennuksessa asentui (ainakin aikaisemmin) sp_exec (yms) stored procedure jolla pystyi ajamaan minkä tahansa käyttöjärjestelmän komennon (.exe)
2. Jos verkkosovelluksessa käytetään command objektin sijasta merkkijonojen yhdistämistä sql-lauseiden muodostukseen, voidaan verkkosovelluksen muodostama sql-lause myrkyttää ja muokata se muotoon jolla käynnistetään vaikkapa IE hakemaan hyökkääjän määrittämästä urlista sivu.
3. Jotakin IE:n tietoturva-aukkoa hyväksikäyttäen sivu voisi ajaa palvelimella mitä tahansa, esim etähallintasoftan asennuspaketin

Esimerkin toteutumisen voisi estää ainakin seuraavilla tempuilla:
1. Softan päivitys, jolloin IE:llä ei ole tietoturva-aukkoa jota voisi käyttää hyväksi.
2. MsSql:n asetusten läpikäyminen, ylimääräisten stored proceduren poisto, monirivisten sql-lauseiden käytön esto, yms yms.
3. Käyttäjätunnuksen, jolla MsSql ajetaan, tiedostotason oikeuksien rajaaminen tarpeeksi tiukasti, ts. käyttäjätunnuksella ei voisi esim käynnistää mitään ajettavia ohjelmia jolloin vaikka hyökkääjä pääsisi sp_exec stored procedureen käsiksi, siitä ei olisi hyötyä.
4. Verkkosovelluksen koodaaminen oikein jolloin sql:ää ei pääsee myrkyttämään.

Linkkejä:

Microsoft Baseline Security Analyzer - tarkistaa että perusasetukset ovat kunnossa ja ehdottaa parannuksia jos löytää mahdollisia ongelmapaikkoja

Windows Server 2003 Security Guide - hieman lisälukemista

10 Steps to Help Secure (Microsoft) SQL Server 2000 - linkki kusee, klubitus laittaa välilyöntejä

[muokattu 3.5.2004 17:29]

styrOX:
oiskohan ollu halvimmat rautapalomuureja saa jostain 300? ylöspäin.

D-Link DI-604 irtoaa alle viidelläkympillä..

GoA:
Ja tottakai rautapalomuuri olisi parempi...

No ei se välttämättä joka tilanteessa ole paras ratkaisu. Asiaa puidaan esim. täällä

itse aloin ainaskin leikkimään apachella josta löytyy opas täältä:
http://www.ohjelmointiputka.net/oppaat.php <---tuolta löytyy jotain melko hyödyllistä jos ei ole esim minkään näköistä osaamist php:sta tj...

ihan kätevää, mutta tietoturvasta en pahemmin tiedä mitään jne... ja palomuurina softaa koska en yleisestikään pidää servua pystyssä niin turha hankkia rautaa jne... :)

GoA:
Kerio Personal ei asennu.
Zonealarm - ei asennu.

Mikäs näissä on vikana, kun eivät kumpikaan asennu?

Debian+samba+apache+mysql+php. Toimii :) Ja palomuurin virkaa hoitaa iptables.

GoA:
Palomuuri tuottaa täällä päänvaivaa. Nykyään kun jotenkin trendinä on tehdä palomuureista hienoja karkkeja jotka sitten ovat raskaita ja täynnä jotain ei tarpeellisia ominaisuuksia. Nyt kun vielä server 2003 on vähän kranttu noiden suhteen niin pikkuisella meneekin sormi suuhun. :)

Nämä olen testannut: Norton firewall 2003, raskas, huonot konffausmahollisuudet, tuntuu helposti tekevän jotain automaattisesti josta en tykkää.

Jos et tarvitse karkkeja ja automatiikkaa, niin olisiko kenties syytä kokeilla käyttöjärjestelmään itseensä integroitua palomuuria? Sen konffaus ei liene vaikeata.

DominikH:
Debian+samba+apache+mysql+php. Toimii :) Ja palomuurin virkaa hoitaa iptables.

Debianin asennus ja käyttö on yllättävänkin helppoa. Apt-getillä saa kaikki ennalta paketoidut sovellukset asennettua todella nopeasti ja kätevästi. Ja niitä on paljon.

Erittäin suositeltava vaihtoehto tuon windows 2003 server-trialin tilalle :)

Debian on tietysti ehkä vähän liian pelkistetty distro ensimmäiseksi Linuxiksi. Jos haluaa vähän win-tyyppisempää toimintaa, voinee aloittaa vaikka Mandrakesta tai Fedorasta.

Helppoa asennusta kaipaaville voin suositella Red Hattiä. CD:t sisään ja puolen tunnin päästä kone on käyttövalmis.

Paitsi että Redhattia ei enää ole, vaan on Red Hat Enterprise ja Fedora. Red Hat Enterprise maksaa, joten vaihtoehto lienee silloin Fedora.

Tässä on pieni yhteenveto asiasta.

Kehityskäyttössä graafinen käyttöliittymä on hyvä ja tarpeellinen, mutta palvelinkäyttöön en kyllä lähtisi asentamaan linuxista versiota jossa tulee X ja muut ikkunointikilkkeet mukana.

offtopikkina oman koti-(j2ee)-kehitysympäristön tärkeimmät osat:
Windows XP
Apache Tomcat 5.x - j2ee-palvelin
Hibernate - olio/relaatiokanta-rajapinta joka tukee yleisimpiä tietokantoja
Intellij Idea 4.x - tästä ei IDE parane

...

vielä kun jaksaisi töiden jälkeen tehdä jotain kotona

[muokattu 3.5.2004 20:12]

toni:
Helppoa asennusta kaipaaville voin suositella Red Hattiä. CD:t sisään ja puolen tunnin päästä kone on käyttövalmis.

Sitä paitsi toikin on vähän suhteellista. Mun ensimmäinen Linux-asennus ei mennyt ihan noin kivuttomasti. Kyseessä oli läppäri, johon yritin saada rinnakkain win2000:n kanssa redhatin 6.x -versiota. Se rinnakkaisuuden asentaminen meni vielä ilman että wintoosan master boot record olisi kärsinyt, tosin siihenkin piti hieman käyttää pähkäilyä. Kun asennus oli ohi, kävi ilmi, että ko. redhatin versio ei tukenut kaikkea rautaa mitä läppärissä oli. Olisi pitänyt ruveta etsimään erillisiä ajureita video- ja verkkokorteille ja kääntää ne sorsista asti - erityisen kivaa puuhaa kun sekä verkkoyhteys että graafinen käyttis olivat poissa pelistä.

Sen jälkeen kun redhatin versio 7.0 tuki kaikkea läppärin sisältämää rautaa suoraan, oli asennus kuin lastenleikkiä entiseen verrattuna.

vaavu:
Paitsi että Redhattia ei enää ole, vaan on Red Hat Enterprise ja Fedora. Red Hat Enterprise maksaa, joten vaihtoehto lienee silloin Fedora.

Oho. Oon ollut pimennossa...

Mutta kumpikohan sitten on kalliimpi Red Hat Enterprise vai Windows 2003 Server? ;)

GoA:
käyttiksen oma palomuuri on surkea. Onhan se vähän parantunut XP ajoista mutta siltikään en siihen luottaisi.

Puhutko nyt käytettävyydestä vai luotettavuudesta?