"Sicherheit" von ISPConfig 3

[z0d!aC^]

Guten Tag Howtoforge-Community,

Vorweg: Ich bin "sehr auf maximal erreichbare" Sicherheit bedacht. Deswegen würde ich am liebsten auch alles per SSH machen auf meinem dedizierten Server. Dennoch wissen wir ja alle das Zeit gleich Geld ist und ich verschiedene Arbeitsprozeduren gerne vereinfachen möchte. Auf der Suche nach einem anständigen Hosting Control Panel bin ich dann schließlich auf ISPConfig gestoßen und habe mir auch die Doku gekauft und auf einer Testmaschine ein bisschen ausprobiert was das Panel alles so kann.

Schlussendlich wäre ich mit allem einverstanden und würde es nun auch gerne produktiv einsetzen in Verbindung mit Bind & Dovecot.

Was mir aber noch ein bisschen Bauchschmerzen bereitet ist meine Unwissenheit über das Handling der Sicherheit von den Entwicklern des Panels. Google konnte mir in erster Linie nicht diesen Wissensdurst stillen und somit richte ich meine Frage an euch alle.

Welche Erfahrungen habt ihr mit dem Panel gemacht? Gab es in der Vergangenheit schon Vorkommnisse im Bezug auf Verwundbarkeit des Panels? Im Manual hieß es auch das ISPConfig alle Dienste selbständig konfiguriert. Ist dies nur rudminentär oder sind es schon an sich übernehmbare Einstellungen sodass man als Administrator Nachts wieder ruhig schlafen kann.

Mir ist natürlich klar das es keine 100%ige Sicherheit in der IT Welt gibt und das ich bei verschiedenen Dingen selber anpacken muss - angefangen bei SSH absicherung bis hin zu regelmäßigem aktualisieren des Systems.

Viel für den Anfang, ich hoffe das ich keinem hier auf den Schlips trete falls diese Frage schon mal in etwaiger Form aufgekommen sein soll. Dann bitte ich dies zu entschuldigen.

[Till]

Es gab bislang keine ernsthaften sicherheitskritischen Bugs, daher hast Du bei Google dazu auch nichts gefunden.

Die Dienste sind sicher vorkonfiguriert. Du kannst das ganze natürlich immer noch verfeinern, indem Du die Config Templates anpasst und z.B. betimmte Funktionen für PHP deaktivierst. Wichtig ist natürlich immer, dass Du ach sichere Optionen für z.B. PHP in ISPConfig wählst, wie z.B. php-fcgi und SuExec anstatt mod_php.

[z0d!aC^]

Gut das klärt dann die Tatsache mit Google. Schön

Zitat:

Zitat von Till

Wichtig ist natürlich immer, dass Du ach sichere Optionen für z.B. PHP in ISPConfig wählst, wie z.B. php-fcgi und SuExec anstatt mod_php.

Das ist ja wohl das mindeste. Bisher habe ich das auch immer so realisiert das für jeden vHost dementsprechend ein neuer Prozess spawnt mit den Berechtigungen des jeweiligen Kunden/Benutzers.

Vielen Dank Till für deine Schnelle Antwort! Ich bin froh endlich mal ein Projekt gefunden zu haben das langlebig ist und seine Sache ernst nimmt.

[nowayback]

Moinsen z0d!aC (müssen Namen so kompliziert sein?!)

Die Sicherheit ist auch für mich immer so ein Thema und deswegen teste ich nun schon eine ganze Weile ISPConfig, auch hinsichtlich SQL Injection und solche Späße. Bisher ist mir aber noch nichts begegnet was mir groß Kopfschmerzen bereitet hätte.

Es gibt nur eines was mich stört, und zwar das phpmyadmin per default aktiviert wird und ich das nach jedem Update wieder ausdokumentieren muss. Nichts kritisches also.

Die Configs die ISPConfig anlegt, sehen soweit brauchbar aus. Hier und da kann man - wenn man will - noch das ein oder andere anpassen, aber das liegt auch immer daran wie man das System einsetzen will. Für die breite Masse passt es.

Hier noch der ultimative Sicherheitstipp: Installiere nichts, was du nicht auch wirklich benötigst

Viel Spaß damit
Grüße
nwb

[z0d!aC^]

Zitat:

Zitat von nowayback

Moinsen z0d!aC (müssen Namen so kompliziert sein?!)

Damals wollte man "cool" sein, heute ist es Gewohnheit und es gehört zu einem.

Zitat:

Zitat von nowayback

...auch hinsichtlich SQL Injection und solche Späße. Bisher ist mir aber noch nichts begegnet was mir groß Kopfschmerzen bereitet hätte.

Kommt das nicht auch zum Teil auf die Webapplikationen an die man einsetzt? Wenn man Zeit und Lust hat kann man ja auch Spielereien wie "GreenSQL" einsetzen. Wobei das aber wiederrum dann Arbeit mit sich bringt beim einrichten.

Zitat:

Zitat von nowayback

Hier noch der ultimative Sicherheitstipp: Installiere nichts, was du nicht auch wirklich benötigst

Der ist in der Tat mehr als ultimativ und den berhezige ich seit ich meinen ersten Server angemietet habe.

Danke für dein schönes Feedback, sehr ausführlich.

[nowayback]

Zitat:

Kommt das nicht auch zum Teil auf die Webapplikationen an die man einsetzt?

Ja klar, aber ist ISPConfig denn keine?

Grüße
nwb

[z0d!aC^]

Stimmt! Beim schreiben war ich Gedanklich schon bei der Konfiguration der vHosts. Deshalb die paradoxe Aussage meinerseits.

[Till]

Zitat:

Es gibt nur eines was mich stört, und zwar das phpmyadmin per default aktiviert wird und ich das nach jedem Update wieder ausdokumentieren muss. Nichts kritisches also.

Was meinst Du denn damit? PHPMyadmin ist weder Bestandteil von ISPConfig noch wird es von ISPConfig konfiguriert. PHPMyadmin gehört zur jeweiligen Linux Distribution und wird auch nur über die zur Distribution gehörige Config datei konfiguriert, also z.B. die /etc/apache2/conf.d/phpmyadmin.conf unter Debian und Ubuntu und diese Datei wird von ISPConfig nicht geändert.

[z0d!aC^]

Gibt es eigentlich eine Mailinglist zu ISPConfig 3 bei der man sich dann eventuell eintragen könnte um immer auf dem Laufendem zu sein?

[Till]

Das ISPConfig Projekt hat einen Email Newsletter, mit dem wir über neue Updates informieren. Du kannst Dich hier eintragen (unten links im Menü):

ISPConfig 3 « ISPConfig – Hosting Control Panel