Veilig een webserver en FTP runnen

Als je dit soort zaken veilig wilt doen, dan regel je een goede firewall en zorg houdt je in de gaten of er voor de betreffende applicaties geen exploits 'ontdekt' worden.

Ook zou ik eerder gebruik maken van *nix voor dit soort zaken. Mijn persoonlijke keuze voor dit soort servers is FreeBSD. En dat draait dan ook al 9 jaar naar volle tevredenheid.

Persoonlijk heb ik mijn web/ftp server virtueel draaien op mijn server (Windows Server 2008). Dat betekent dus dat via de webserver nooit toegang tot de rest van de server mogelijk is.

Verder heb je natuurlijk een goede firewall nodig welke de benodigde poorten forward naar het ip van de virtuele server en de rest goed dichtzet

Puur voor mezelf wezen experimenteren met de volgende pakketten:
ubuntu 8.10
phpmyadmin (beheren van je databases)
mysql (type databases)
php5 (taal om de website in php te kunnen maken)
webmin (handig voor het beheren voor je firewall, mail, ftp)
Joomla! (Ben nooit goed geweest in het programmeren van een website. Hier zit dan ook al een template die je heel makkelijk kan bewerken)
PHPBB forum (puur om het allemaal even uit te proberen ook een forum neergezet.)

Heb nog geen tot weinig ervaring met het maken van website's, maar ben gewoon even bezig geweest met experimentern of ik het allemaal aan de praat kon krijgen.

Website is hier te zien (particuliere website) : http://tryout.xs4all.nl

Op zich een prima systeem hierboven, alleen kan ik hierbij aanraden om webmin niet onder de standaard poort te draaien, en om phpmyadmin en phpbb niet onder de standaard map of de standaard Apache alias te installeren.

Als je een webserver draait en je kijkt door de logbestanden van de firewall (als je die gebruikt) en van de server applicaties dan zie je dat je continu door botnets wordt getest op zwakheden. Als je dit verkeer zo nu en dan een beetje analyseert krijg je eigenlijk al een redelijk beeld van waar de zwakheden zitten; de mensen die achter de botnets zitten hebben lange lijsten van bekende zwakheden in webservices en veelgebruikte naam/wachtwoord combinaties en laten die mogelijkheden door de bots één voor één uittesten. Vroeger zag je vaak de hele rij aanvallen uitgevoerd worden vanaf één IP-adres en kon je dus een firewall policy daarop toepassen, tegenwoordig worden de aanvallen gedistribueerd en is er niet zo makkelijk een patroon in te ontdekken. Wel merk je bijvoorbeeld dat voor inloggen op afstand (ssh e.d.) de meeste wachtwoorden worden uitgetest voor 'root' en 'admin', die accounts kun je dus beter afschermen voor verkeer van buitenaf. Ook zie je dat veel wordt getest op oude vulnerabilities van IIS, van bekende CMS'en (vooral PHPBB) en van admin panels (zoals phpmyadmin). Vandaar dat het (naast dat je de updates goed moet bijhouden) ook wel slim is om deze voorzover dat kan achter een niet-zo-standaard poort of webadres te laten draaien. Dan vist 95% van de bots naast het net.

Nog een paar algemene tips:

• Houd je webserver super-overzichtelijk en zorg dat je alle processen die op de server draaien weet te herkennen, dat je weet wanneer ze normaal draaien, onder welke gebruiker ze horen te draaien, in welke mappen die gebruiker mag lezen en schrijven, hoe de logbestanden eruit zien, enzovoort.
  Als je geen uitgebreide ervaring hebt met het systeem lukt je dit niet in één keer. Begin met alleen de services open die je echt nodig hebt, en vul dat aan op het moment dat dat nodig is. Documenteer welke software je installeert en welke versies, en houd de updates bij.
• Installeer hetzelfde systeem op een productieserver en een backup/testserver en mirror de home folders. Zo kun je nieuwe software op je gemak uittesten, en als je merkt dat iets niet klopt kun je beide servers vergelijken.
• Zet geen SMTP open voor je mail, dat geeft zoveel gedoe met spamproblematiek tegenwoordig, laat dat lekker aan je provider over.
• Het is prima om met webmin te beginnen als je Linux nog niet goed kent, maar ik kan je aanraden om ook met een terminal in te loggen om te kijken waar de instellingen in de /etc map worden aangepast door webmin, en hoe dat eruit ziet. Dat verschaft je snel inzicht in het systeem, waardoor je niet meer volledig afhankelijk bent van webmin, wat handig is voor als je dingen wilt doen die buiten het stramien van webmin vallen, of als je een noodgeval hebt (webmin doet wat fout of gaat plat). Op een gegeven moment ben je 't zo gewend en kun je webmin eraf gooien. Installeer dan wel mc, dan kun je makkelijk door de mappen bladeren vanuit de terminal.

Ik zelf gebruik ubuntu server op mijn virtuele web/ftp server, werkt allemaal via commandline maar eigenlijk kun je alles kant en klaar via packages installeren voor een basis web en ftp server.

Zeker in combinate met een online howto is dat zeker goed en veilig op te zetten, ook met weinig linux ervaring. Zie bijvoorbeeld deze links:

http://ubuntuexperiment.w...talling-apache-php-mysql/
http://ubuntuforums.org/showthread.php?t=79588

Daarnaast is het risico sowieso beperkt natuurlijk als je virtueel werkt, zo lang je maar goede backups van je webserver maakt kan er weinig gebeuren