"Sicherheit" von ISPConfig 3

z0d!aC^

New Member
Guten Tag Howtoforge-Community,

Vorweg: Ich bin "sehr auf maximal erreichbare" Sicherheit bedacht. Deswegen würde ich am liebsten auch alles per SSH machen auf meinem dedizierten Server. Dennoch wissen wir ja alle das Zeit gleich Geld ist und ich verschiedene Arbeitsprozeduren gerne vereinfachen möchte. Auf der Suche nach einem anständigen Hosting Control Panel bin ich dann schließlich auf ISPConfig gestoßen und habe mir auch die Doku gekauft und auf einer Testmaschine ein bisschen ausprobiert was das Panel alles so kann. ;)

Schlussendlich wäre ich mit allem einverstanden und würde es nun auch gerne produktiv einsetzen in Verbindung mit Bind & Dovecot.

Was mir aber noch ein bisschen Bauchschmerzen bereitet ist meine Unwissenheit über das Handling der Sicherheit von den Entwicklern des Panels. Google konnte mir in erster Linie nicht diesen Wissensdurst stillen und somit richte ich meine Frage an euch alle.

Welche Erfahrungen habt ihr mit dem Panel gemacht? Gab es in der Vergangenheit schon Vorkommnisse im Bezug auf Verwundbarkeit des Panels? Im Manual hieß es auch das ISPConfig alle Dienste selbständig konfiguriert. Ist dies nur rudminentär oder sind es schon an sich übernehmbare Einstellungen sodass man als Administrator Nachts wieder ruhig schlafen kann.

Mir ist natürlich klar das es keine 100%ige Sicherheit in der IT Welt gibt und das ich bei verschiedenen Dingen selber anpacken muss - angefangen bei SSH absicherung bis hin zu regelmäßigem aktualisieren des Systems.

Viel für den Anfang, ich hoffe das ich keinem hier auf den Schlips trete falls diese Frage schon mal in etwaiger Form aufgekommen sein soll. Dann bitte ich dies zu entschuldigen.
 

Till

Administrator
Es gab bislang keine ernsthaften sicherheitskritischen Bugs, daher hast Du bei Google dazu auch nichts gefunden.

Die Dienste sind sicher vorkonfiguriert. Du kannst das ganze natürlich immer noch verfeinern, indem Du die Config Templates anpasst und z.B. betimmte Funktionen für PHP deaktivierst. Wichtig ist natürlich immer, dass Du ach sichere Optionen für z.B. PHP in ISPConfig wählst, wie z.B. php-fcgi und SuExec anstatt mod_php.
 

z0d!aC^

New Member
Gut das klärt dann die Tatsache mit Google. Schön :)

Wichtig ist natürlich immer, dass Du ach sichere Optionen für z.B. PHP in ISPConfig wählst, wie z.B. php-fcgi und SuExec anstatt mod_php.

Das ist ja wohl das mindeste. ;) Bisher habe ich das auch immer so realisiert das für jeden vHost dementsprechend ein neuer Prozess spawnt mit den Berechtigungen des jeweiligen Kunden/Benutzers.

Vielen Dank Till für deine Schnelle Antwort! Ich bin froh endlich mal ein Projekt gefunden zu haben das langlebig ist und seine Sache ernst nimmt. :)
 

nowayback

Well-Known Member
Moinsen z0d!aC (müssen Namen so kompliziert sein?!)

Die Sicherheit ist auch für mich immer so ein Thema und deswegen teste ich nun schon eine ganze Weile ISPConfig, auch hinsichtlich SQL Injection und solche Späße. Bisher ist mir aber noch nichts begegnet was mir groß Kopfschmerzen bereitet hätte.

Es gibt nur eines was mich stört, und zwar das phpmyadmin per default aktiviert wird und ich das nach jedem Update wieder ausdokumentieren muss. Nichts kritisches also.

Die Configs die ISPConfig anlegt, sehen soweit brauchbar aus. Hier und da kann man - wenn man will - noch das ein oder andere anpassen, aber das liegt auch immer daran wie man das System einsetzen will. Für die breite Masse passt es.

Hier noch der ultimative Sicherheitstipp: Installiere nichts, was du nicht auch wirklich benötigst :D

Viel Spaß damit
Grüße
nwb
 

z0d!aC^

New Member
Moinsen z0d!aC (müssen Namen so kompliziert sein?!)

Damals wollte man "cool" sein, heute ist es Gewohnheit und es gehört zu einem. :p;)

...auch hinsichtlich SQL Injection und solche Späße. Bisher ist mir aber noch nichts begegnet was mir groß Kopfschmerzen bereitet hätte.

Kommt das nicht auch zum Teil auf die Webapplikationen an die man einsetzt? Wenn man Zeit und Lust hat kann man ja auch Spielereien wie "GreenSQL" einsetzen. Wobei das aber wiederrum dann Arbeit mit sich bringt beim einrichten.

Hier noch der ultimative Sicherheitstipp: Installiere nichts, was du nicht auch wirklich benötigst :D

Der ist in der Tat mehr als ultimativ und den berhezige ich seit ich meinen ersten Server angemietet habe. ;)

Danke für dein schönes Feedback, sehr ausführlich.
 

z0d!aC^

New Member
Stimmt! Beim schreiben war ich Gedanklich schon bei der Konfiguration der vHosts. ;) Deshalb die paradoxe Aussage meinerseits. :D
 

Till

Administrator
Es gibt nur eines was mich stört, und zwar das phpmyadmin per default aktiviert wird und ich das nach jedem Update wieder ausdokumentieren muss. Nichts kritisches also.

Was meinst Du denn damit? PHPMyadmin ist weder Bestandteil von ISPConfig noch wird es von ISPConfig konfiguriert. PHPMyadmin gehört zur jeweiligen Linux Distribution und wird auch nur über die zur Distribution gehörige Config datei konfiguriert, also z.B. die /etc/apache2/conf.d/phpmyadmin.conf unter Debian und Ubuntu und diese Datei wird von ISPConfig nicht geändert.
 

z0d!aC^

New Member
Gibt es eigentlich eine Mailinglist zu ISPConfig 3 bei der man sich dann eventuell eintragen könnte um immer auf dem Laufendem zu sein? :)
 

Werbung

Top