:strip_icc():strip_exif()/u/270010/user.jpg?f=community)
Beste mensen,
Na al tijden een thuisservertje draaiende te houden vraag ik me toch steeds weer af of alles wat ik doe wel een beetje veilig blijft. Nou hoor ik jullie al zeggen zet dat ding gewoon dicht naar buiten toe maar het is juist een beetje mijn speeltuintje en vind het leuk om er mee te klooien.
Als ex-webdev weet ik toch wel het 1 en ander van serverconfiguratie maar moet toegeven dat ik bij lange na niet alles weet, zeker niet al komt het aan op veiligheidsgebied.
Dus vandaar deze post, gewoon uit leergierigheid wil ik weten wat jullie er van denken. even een klein introotje over de server waarover we praten;
- OS: Windows 7 Pro (en ik hoor iedereen al zeggen waarom geen win server OS of gewoon Linux, hier heb ik zo mijn redenen voor)
- HTTP Servers: Apache 2.2.19 en IIS 7 met PHP en Dotnet (ook voor apache dmv een module, enkel 2.0). Beide enkel toegankelijk via 256bit SSL.
- Database: MySQL 5.5.14
- FTP Server: Filezilla 0.9.39
- De specs van het systeem in kwestie; Sempron 140 met unlocked core (equivalent aan X2 4400E), 2GB RAM, 6 HD's met totaal van 8TB (waarvan 2TB mirrored, dus effectief 7TB beschikbaar. Doet dienst als NAS). En dat alles op een online 20Mbit abootje, 1Mbit up.
De server is toegankelijk vanuit mijn subdomeintje mocht je willen poken;
https://server.josnienhuis.nl
Waarop je uitkomt op mijn eigen creatie, mijn server console.
Een mede reden van het maken van dit topic is dat ik nogal beginnersfouten had gemaakt waar ik achter kwam na een post te plaatsen bij een nieuwsartikel hier, bedankt Boogie voor het zo aardig zijn om het even te melden. Ik had per ongeluk Indexes nog in de htdocs options staan waardoor je de content van verschillende webexposed directories kon opvragen. Inmiddels dat uiteraard al dichtgetimmerd maar de content die op te vragen was, was nou ook niet zo schokwekkend verder.
Nou vraag ik me af, zie ik nog meer over het hoofd? Moet ik me meer inlezen in server beveiliging (let wel het blijft een beetje hobby projectje, vrije tijds ding, tis niet m'n werk)? Als het aankomt op injection e.a. zaken aan de programmeerkant van dit verhaal schat ik mezelf wel capabel genoeg en heb ik de volste vertrouwen dat het daar wel ok zit.
Dus bij deze de vraag hebben jullie nog tips voor deze beetje noob op server configuratie gebied? Het staat je vrij om is proberen te poken tegen de webfrontend om te zoeken naar gaten. Ik snap dat ik met het posten van dit topic ook wel wat meer ogen richt op mijn server. Maar op die manier komen er wellicht ook meer dingen naar voren die ik zelf over het hoofd zie.
Dus alle tips zijn welkom. Alvast bedankt!
p.s.
Ik draai deze server setup nu al enkele jaren (wel steeds wijzigend in configuratie en wat niet) en heb nog nooit echte problemen ondervonden.
Na al tijden een thuisservertje draaiende te houden vraag ik me toch steeds weer af of alles wat ik doe wel een beetje veilig blijft. Nou hoor ik jullie al zeggen zet dat ding gewoon dicht naar buiten toe maar het is juist een beetje mijn speeltuintje en vind het leuk om er mee te klooien.
Als ex-webdev weet ik toch wel het 1 en ander van serverconfiguratie maar moet toegeven dat ik bij lange na niet alles weet, zeker niet al komt het aan op veiligheidsgebied.
Dus vandaar deze post, gewoon uit leergierigheid wil ik weten wat jullie er van denken. even een klein introotje over de server waarover we praten;
- OS: Windows 7 Pro (en ik hoor iedereen al zeggen waarom geen win server OS of gewoon Linux, hier heb ik zo mijn redenen voor)
- HTTP Servers: Apache 2.2.19 en IIS 7 met PHP en Dotnet (ook voor apache dmv een module, enkel 2.0). Beide enkel toegankelijk via 256bit SSL.
- Database: MySQL 5.5.14
- FTP Server: Filezilla 0.9.39
- De specs van het systeem in kwestie; Sempron 140 met unlocked core (equivalent aan X2 4400E), 2GB RAM, 6 HD's met totaal van 8TB (waarvan 2TB mirrored, dus effectief 7TB beschikbaar. Doet dienst als NAS). En dat alles op een online 20Mbit abootje, 1Mbit up.
De server is toegankelijk vanuit mijn subdomeintje mocht je willen poken;
https://server.josnienhuis.nl
Waarop je uitkomt op mijn eigen creatie, mijn server console.
Een mede reden van het maken van dit topic is dat ik nogal beginnersfouten had gemaakt waar ik achter kwam na een post te plaatsen bij een nieuwsartikel hier, bedankt Boogie voor het zo aardig zijn om het even te melden. Ik had per ongeluk Indexes nog in de htdocs options staan waardoor je de content van verschillende webexposed directories kon opvragen. Inmiddels dat uiteraard al dichtgetimmerd maar de content die op te vragen was, was nou ook niet zo schokwekkend verder.
Nou vraag ik me af, zie ik nog meer over het hoofd? Moet ik me meer inlezen in server beveiliging (let wel het blijft een beetje hobby projectje, vrije tijds ding, tis niet m'n werk)? Als het aankomt op injection e.a. zaken aan de programmeerkant van dit verhaal schat ik mezelf wel capabel genoeg en heb ik de volste vertrouwen dat het daar wel ok zit.
Dus bij deze de vraag hebben jullie nog tips voor deze beetje noob op server configuratie gebied? Het staat je vrij om is proberen te poken tegen de webfrontend om te zoeken naar gaten. Ik snap dat ik met het posten van dit topic ook wel wat meer ogen richt op mijn server. Maar op die manier komen er wellicht ook meer dingen naar voren die ik zelf over het hoofd zie.
Dus alle tips zijn welkom. Alvast bedankt!
p.s.
Ik draai deze server setup nu al enkele jaren (wel steeds wijzigend in configuratie en wat niet) en heb nog nooit echte problemen ondervonden.
[ Voor 3% gewijzigd door jozuf op 14-07-2011 20:02 ]
:strip_icc():strip_exif()/u/367047/crop58348647ab028_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/18606/crop63ebc46666763_cropped.jpg?f=community)