[daddo]

Situatsioon siis selline, et viimasel ajal pikemat aega jooksutanud oma dyn.ee domeeni taga apachet, php'd ja mysqli.... nüüd aga mingil imelikul põhjusel tegelane, kes haldab seda seebikarbikest pöördus minu poole murega, et tema kardab, et minu see webserver on jube suur turvaauk nende teadmatute IE kasutajate võrgus... olevat seebikarp kunagi näidanud justkui mingit logit, et mingi aadress üritanud connectida minu masinaga, mille puhul traceroute näidanud miskit aadressit, kus nii õudne sõna nagu "china" sees... ja see külvas muidugi paanikat, et minu arvuti ongi juba hackerite kontrolli all... samas ise pole kogu selle aja jooksul ühtegi sellele viitavat sümptomit tuvastanud... Ise eelistan juba jupp aega IE-le Firefoxi ja Operat, Outlook expressi asemel Thunderbird ja The Bat!, masinal peal kaspersky antiviirus ja zonealarm personal firewall...

Ühesõnaga, tundub nagu, et suht koht kõikide käepäraste vahenditega on asi parema kontrolli all kui (kahjuks) enamusel arvutikasutajatel...
Minu küsimus aga siis selles, et kas Apachel, PHP-l ja MySqli kallale on märkimisväärselt võimalik(um) port 80 kaudu kallale minna? Endale tundub küll, et asjaga pisut üle pingutatud. Ei ole nagu kohe mitte mingil moel Iganädalaste IE turvaaukude kõrval kõrvu hakanud info, et neis open-source serveritel mingid turvaaugud sees oleksid.
Teie arvamused.

Samas, soovitusi võiks kah siia kirja panna... ise alustuseks plaanin port 80-ne vaid *.ee domeenile lahti jätta...

[airm]

Kus on seos seebikarbi ja sinu serveri vahel?

[daddo]

mul vist juhe liialt koos... seos?

no seebikarbist tuleb mulle see võrk... ja apache siis mu oma masinas... ehk väidetavasti olevat mu eelmises postis kirjeldatud masin ülejäänud IE turvaaukudest kubisevas LANis vist kõige-kõige nõrgem masin...

[airm]

Kas su serverisse suunatakse porte ka väljastpoolt? Või mängid sisevõrgus ainult?

Kui ei suunata, siis saada ta sinna, kus selg ja jalad oma nime kaotavad.
Kõige nõrgem lüli on ja jääb tihend, kes laseb aukudest kubiseval tarkvaral(updatemata) ja aitab kaasa
mõne hiireklõpsul backdoore oma arvutisse installida.

[daddo]

ka väljastpoolt, port 80.

kuid ise olen ka seisukohal, et nõrgemad lülid on just need teadmatuses kasutajad, mitte mu apache weebiservu...

seda enam, kui rutiinseteks uudisteks on IE/M$ järjekordsed turvaaugud, mitte apachest leitud turvaaugud... vimaseid isegi ei meenu, et üldse oleks kuulnud...

[marqs]

neid teisi wini kaste ohustavad vaid e-postiga levivad viirused ja kasutajate oma lollus ning piraiha. ükski uss väljast nendeni ei jõua ja ükski skänn neid ei näe.
sinu kast on 24/7 (meelevaldne oletus) aga külastajaile valla. kõik need kiddied, kes juhtumisi seda seebikarpi kompavad, näevad aga sinu apache. arvesta ka endale ise teed rajavadaid usse.
kui sa sellele seepikarbi haldajale ka andsid mõista, et sul on apache+mysql+php värk ja sellise turvalise triioga ei karda sa keda kuraditki, siis tal ehk isegi on põhjust natuke muretseda. neis kõigis on auke olnud, suure hulga mass-näotsutamised ohvrid ju seda kompotti kasutavadki (tõsi, platvorm ei ole tavaliselt win). tunduvalt ohtlikumad ja tavalisemad on aga augud rakendustes, mida oma serveril käiad (phpbb, oma loodud kood).

http://www.apacheweek.com/features/security-13
http://www.apacheweek.com/features/security-20

[Deep Fury]

[daddo]

no nii sinisilmne polegi olnud, et see nüüd märkimisväärselt turvaline lahendus oleks, kuid minumeelest on natuke naiivne ajada sellist turvalisust taga võrgus, kus ilma mu serverita vohavad sellised wormid... kuigi asi tulemüüri taga väliselt, siis Wini instalaltsioon võrgu juhe taga pole lihtsalt võimalik, enne antiviiruse update ja windows update loeb rõõmsalt countdowni reboodini... ehk minu arusaam on, et pole mõtet lappida väiksemat turvaauku, kui suurem on kõrval... Küll aga miks mitte...

teema sai ka sellepärast, et siis vastavaid soovitusi saada: et siis asi kolid mingi muu pordi peale näiteks? scänni vastu see ei aita, aga konkreetselt port 80 näppimine peaks aga kasutu olema sel juhul...