Hallo Ubuntuusers,
momentan beschäftige ich mich zum ersten Mal genauer mit Servern und habe mir zu Hause auf dem Rechner Apache installiert. Habe im Internet schon einiges gelesen, trotzdem habe ich die ein oder andere offene Frage und würde mich freuen, wenn mir der ein oder andere seine Erfahrungen bzw. Konfigurationen mitteilen könnte.
Sollte auf dem Server ein extra Benutzerkonto für den Webserver erstellt werden? Oder reicht das normale Konto bei der Installation, das via sudo mit passendem Passwort root-Rechte erlangen kann? Wie sieht die Benutzer- und Rechteverwaltung bei euch aus?
Verwendet ihr evtl. sogar eine chroot-Umgebung? Scheint bei Linux aber wohl eher kein Sicherheitsfeature zu sein, oder?
Müssen eigentlich nach der Installation von Apache irgendwelche Firewall-Regeln gemacht werden (z. B. mit iptables)? Aber die Server in Rechenzentren sind ja normalerweise schon mit guten Routern und Hardware-Firewalls vom Internet abgeschirmt, oder? Oder müssen da trotzdem noch auf dem System Einstellungen gemacht werden?
Wenn man auf Ubuntu Server ausschließlich Apache installiert hat, dann lauscht der Computer eigentlich nur, ob ein anderer Rechner via Port 80 oder 443 eine Verbindung aufbauen möchte, richtig? Ansonsten sollte von außerhalb eigentlich niemand eine Verbindung aufbauen können - ist das so richtig?
Wenn man für andere Personen die Website hostet und ihnen die Möglichkeit geben möchte, selbst Daten hochzuladen: Wie macht ihr das bei euch mit der Benutzerverwaltung. Legt ihr dann für jede Website einen neuen Account an, verwendet ihr SFTP? Wie kann man das einstellen, dass dieser Benutzer dann ausschließlich auf den Ordner für seine Website zugreifen kann?
Verwendet ihr Sicherheits-Module wie mod_security oder mod_evasive? Wie sind eure Erfahrungen damit?
Habt ihr ansonsten noch irgendwelche Security-Tipps bzw. Anmerkungen?
Danke schonmal!
Freundliche Grüße
user32847