Toon posts:

apache 1.3.x veilig genoeg?

Pagina: 1
Acties:

vrijdag 16 april 2004 09:38

Acties:
  • Trunksmd
  • Registratie: Juli 2002
  • Laatst online: 13-02 10:05

Trunksmd

Topicstarter
Naar aanleiding van dit artikel ( nieuws: Onderzoek naar veiligheid webservers in Nederland ) begon ik me een beetje zorgen te maken over mijn eigen kleine webserver. Ik draai nu al een aantal maanden naar volle tevredenheid op een oude p166, 32 Mb RAM een apache 1.3.28 server. Het is vrij simpel, geen php, sql etc eraan gekoppeld. Onderliggend OS is slackware 9.1. De server draait achter een router waarop alleen poort 80 en de poort voor ssh (22 dacht ik) openstaat. Buiten apache en ssh staat er op de slackware server helemaal niets. Er kan maar 1 persoon inloggen (de root gebruiker). Verder zijn er geen accounts. Mijn apache server loopt zonder dat ik als root ingelogd ben. Ik ben nog te nooberig om te weten hoe dat kan, want slackware zorgt hier bij de installatie zelf voor. Ssh en apache server staan onder beheer van inetd.
Is dit veilig genoeg? Moet ik nog patches downloaden? Moet ik overstappen op versie 2.0? Waarom wordt deze vrijwel nooit standaard in de linuxdistributies meegeleverd en geïnstalleerd? Ik lees in het artikel dat oudere versie kwetsbaarder zouden kunnen zijn. Wanneer ik in de security buglist van apache kijk, zijn de meest kwetsbare bij mijn versie geëlimineerd. Maar toch, hè? Graag hoor ik jullie mening. Misschien maak ik me voor niks ongerust.

vrijdag 16 april 2004 09:55

Acties:
  • Zwerver
  • Registratie: Februari 2001
  • Niet online

Zwerver

Trunksmd schreef op 16 april 2004 @ 09:38:
Naar aanleiding van dit artikel ( nieuws: Onderzoek naar veiligheid webservers in Nederland ) begon ik me een beetje zorgen te maken over mijn eigen kleine webserver. Ik draai nu al een aantal maanden naar volle tevredenheid op een oude p166, 32 Mb RAM een apache 1.3.28 server. Het is vrij simpel, geen php, sql etc eraan gekoppeld. Onderliggend OS is slackware 9.1. De server draait achter een router waarop alleen poort 80 en de poort voor ssh (22 dacht ik) openstaat. Buiten apache en ssh staat er op de slackware server helemaal niets. Er kan maar 1 persoon inloggen (de root gebruiker). Verder zijn er geen accounts. Mijn apache server loopt zonder dat ik als root ingelogd ben. Ik ben nog te nooberig om te weten hoe dat kan, want slackware zorgt hier bij de installatie zelf voor. Ssh en apache server staan onder beheer van inetd.
Is dit veilig genoeg? Moet ik nog patches downloaden? Moet ik overstappen op versie 2.0?
Je moet niks, laten we dat even voorop stellen
Waarom wordt deze vrijwel nooit standaard in de linuxdistributies meegeleverd en geïnstalleerd? Ik lees in het artikel dat oudere versie kwetsbaarder zouden kunnen zijn. Wanneer ik in de security buglist van apache kijk, zijn de meest kwetsbare bij mijn versie geëlimineerd. Maar toch, hè? Graag hoor ik jullie mening. Misschien maak ik me voor niks ongerust.
Als jij in de security buglist nog dingen tegenkomt die je apache kwetsbaar maken (je zegt de meest kwetsbare, hoe zit het met de niet zo kwetsbare?) dan is je apache niet veilig. Alleen, je draait 1.3.28, de nieuwste versie van apache is onderhand 1.3.28. Je kan toch zien welke modules je draait?

Als je deze modules
mod_digest
mod_alias
mod_rewrite
niet draait dan ben je met 1.3.28 wel veilig. Wil je van die mod_alias en mod_rewrite af, dan zou ik gewoon 1.3.29 installeren dan zijn die bugs eruit. Verder geeft de security list van apache 1.3.x heel duidelijk weer welke bugs er gefixed zijn in jou versie en welke niet. Al met al lijkt mijn vraag je een beetje een paniekreactie. Ik kijk het nog even aan, maar als er geen nuttige reply's opkomen gooi ik hem dicht, mede omdat er eigenlijk geen discussie mogelijk is op deze vraagstelling

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

vrijdag 16 april 2004 10:08

Acties:
  • silentsnake
  • Registratie: September 2003
  • Laatst online: 04-02 04:29

silentsnake

Ik denk dat je je sowieso niet zo veel zorgen hoeft te maken. Ik bedoel, voor een cracker is een thuis servertje helemaal niet interesant. Zolang je het niet te makkelijk maakt voor die gasten (telnet ipv SSH bijvoorbeeld) ben je heus wel veilig hoor.

vrijdag 16 april 2004 10:20

Acties:
  • Creepy
  • Registratie: Juni 2001
  • Laatst online: 20-02 23:46

Creepy

Tactical Espionage Splatterer

silentsnake schreef op 16 april 2004 @ 10:08:
Ik denk dat je je sowieso niet zo veel zorgen hoeft te maken. Ik bedoel, voor een cracker is een thuis servertje helemaal niet interesant. Zolang je het niet te makkelijk maakt voor die gasten (telnet ipv SSH bijvoorbeeld) ben je heus wel veilig hoor.
Je zou niet de eerste zijn die zoiets heeft van "ah, een thuis server, hier valt toch niets te halen", gehackt wordt, en er een executable op je machine wordt geplaatst die ervoor zorgt dat er vanaf jou machine gehackt kan worden ;)

"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney

vrijdag 16 april 2004 11:23

Acties:
  • Robtimus
  • Registratie: November 2002
  • Laatst online: 16:37

Robtimus

me Robtimus no like you

Trunksmd schreef op 16 april 2004 @ 09:38:
Moet ik overstappen op versie 2.0? Waarom wordt deze vrijwel nooit standaard in de linuxdistributies meegeleverd en geïnstalleerd?
RedHat heeft al sinds versie 8.0 Apache 2.0 meegeleverd, hij heet er alleen httpd.

Maar gewoon overstappen op 1.3.29, dan is er geen probleem zolang de bak goed geconfigged is.

More than meets the eye
There is no I in TEAM... but there is ME
system specs

vrijdag 16 april 2004 11:48

Acties:
  • Niek
  • Registratie: Februari 2001
  • Laatst online: 11-02 12:26

Niek

f.k.a. The_Surfer

Versie 2.0.x is niet perse veiliger dan 1.3.x. Sterker nog, als je kijkt bij http://securityfocus.com/bid/vendor/ zijn er de laatste tijd redelijk veel vulnerabilities ontdekt in Apache2. Verder zegt versienummering eigenlijk helemaal niks. Je kan een ontzettend oude Apache versie draaien die toch secure is door alle patches ervoor te installeren. Als je Gentoo of Debian draait is dit een kwestie van regelmatig glsa-check draaien en security.debian.org in je sources.list zetten.
Ook is het belangrijk om een goede firewall draaien (doe je al lees ik) en SSH regelmatig updaten (<3.6 is exploitable). Verder heb je voor slackware ook zo'n update progje (swaret oid), ik weet niet of die ook aan security updates doet maar je zou eens kunnen overwegen dat te installeren om je systeem up-to-date en gepatched te houden.
Overigens stelt het onderzoek bijzonder weinig voor, lees eens de reacties op WW.

À vaincre sans péril, on triomphe sans gloire - Pierre Corneille

vrijdag 16 april 2004 11:59

Acties:
  • Robtimus
  • Registratie: November 2002
  • Laatst online: 16:37

Robtimus

me Robtimus no like you

The_Surfer schreef op 16 april 2004 @ 11:48:
Ook is het belangrijk om een goede firewall draaien (doe je al lees ik) en SSH regelmatig updaten (<3.6 is exploitable).
3.7.1p1 had zelfs nog een exploit, die hebben ze toen verholpen in 3.7.1p2. Ik weet alleen niet wat ze hebben verholpen in 3.8p1.

More than meets the eye
There is no I in TEAM... but there is ME
system specs

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq