expertenaustausch > comm.software.* > comm.software.webserver

Sven Hartge (22.08.2018, 13:53)
Jan Novak <repcom> wrote:
> Am 20.08.18 um 16:44 schrieb Sven Hartge:


> Sehr interessante Seite (nicht nur zum Apache). Habe ich gleich weiter
> geleitet :-)


Dazu kommt natürlich folgendes:

Die Chance, dass jemand einen Fehler findet, behebt und dann auch prüft,
ob dieser Fehler so oder so ähnlich auch in älteren Versionen vorhanden
ist, sinkt natürlich mit der Zeit immer weiter. Auf nahe Null, sobald
die älteren Version nicht mehr offiziell gewartet werden.

Somit besteht eine nicht gerade kleine Chance, dass die Apache2.4-Fehler
auch auf Apache2.2 funktionieren, es sich nur niemand den Aufwand
gemacht hat, das zu verifizieren.

Alles in allem also ein heikles Spiel, vor allem bei Angriffen, die
keinen Log-Eintrag o.ä. hinterlassen aber dennoch funktioniert haben.

Da bekommst du dann gar nicht mit, dass das System dir gar nicht mehr
gehört. Die Aussage "ist bisher nichts passiert" halte ich daher für ein
wenig sehr weit aus dem Fenster gelehnt.

Jan Novak (23.08.2018, 13:17)
Am 22.08.18 um 13:53 schrieb Sven Hartge:
> Dazu kommt natürlich folgendes:
> Die Chance, dass jemand einen Fehler findet, behebt und dann auch prüft,
> ob dieser Fehler so oder so ähnlich auch in älteren Versionen vorhanden
> ist, sinkt natürlich mit der Zeit immer weiter. Auf nahe Null, sobald
> die älteren Version nicht mehr offiziell gewartet werden.


.... stimmt unbestreitbar ...

> Die Aussage "ist bisher nichts passiert" halte ich daher für ein
> wenig sehr weit aus dem Fenster gelehnt.


Ich pflichte dir 100%ig bei. Ich kann die Leitung nur darauf hinweisen.

Dennoch sei an zu merken, dass die Software leider nicht einfach so
umgestellt werden kann, weil der Apache seinerzeit mit eigenen
Erweiterungen kompiliert wurde und nicht bin-kompatibel zum Repository ist.

Ich hatte dem Unternehmen in einer VM deren Lösung auf Standard Paketen
der Distribution vorgeführt (mit sehr viel Anpassungen). Leider lief
alles nur 99%ig ...und somit nicht (in deisem Moment) einsetzbar.
Seis drum, ich habe es schriftlich an die Leitung weiter gegeben. Nun
heisst es abwarten ...

Jan
Sven Hartge (23.08.2018, 14:17)
Jan Novak <repcom> wrote:

> Dennoch sei an zu merken, dass die Software leider nicht einfach so
> umgestellt werden kann, weil der Apache seinerzeit mit eigenen
> Erweiterungen kompiliert wurde und nicht bin-kompatibel zum Repository ist.


Ja, dann sind die Schmerzen, wenn man sich selbst in einen Wall-Garden
einmauert.

Wie schon vorgeschlagen wäre mein erster Schritt, das System in eine DMZ
zu sperren, einen Proxy davor zu schalten, damit Angriffe auf das
HTTP-Protokoll und SSL erst einmal abgeblockt oder zumindest deutlich
erschwert werden.

Das ermöglicht dann auch eine einfachere Migration auf ein neues System,
welches man dann erst einmal abgesichert intern aufsetzen kann und
dann einfach den Proxy umbiegt, sobald man es produktiv nehmen will.
(Und wenn dann doch etwas nicht funktioniert, dann schaltet man den
Proxy auf das alte System zurück und keinem fällt etwas auf.)

Jan Novak (13.09.2018, 11:08)
Am 17.08.18 um 19:24 schrieb Sven Hartge:
> Jan Novak <repcom> wrote:
> BTW:
> Durch das Rewrite wird Alias gar nicht ausgewertet, weil alles schon
> vorher nach .. umgeschrieben wird.
> Den HTTP-VHost auf Port 80 kannst du daher deutlich einfacher gestalten:
> <VirtualHost *:80>
> ServerAlias [2 aliase]
> DocumentRoot [dir]
> Redirect permanent /
> </VirtualHost>


Brauche ich tatsächlich auch DocumentRoot ?

jan
Sven Hartge (13.09.2018, 14:42)
Jan Novak <repcom> wrote:
> Am 17.08.18 um 19:24 schrieb Sven Hartge:


>> Den HTTP-VHost auf Port 80 kannst du daher deutlich einfacher gestalten:
>> <VirtualHost *:80>
>> ServerAlias [2 aliase]
>> DocumentRoot [dir]
>> Redirect permanent /
>> </VirtualHost>


> Brauche ich tatsächlich auch DocumentRoot ?


Wenn du es nicht angibst, dann wird das aus der globalen Konfiguration
genommen.

Ich habe dafür immer ein Dummy-Verzeichnis nach der Methode
"/srv/www/dummy", welches einfach eine leere index.html enthält, das ich
dort angebe, um nicht ausversehen durch einen Fehler doch Dinge
freizugeben.


Ähnliche Themen