Project

General

Profile

wie macht man https statt http

Added by Otmar Ripp almost 4 years ago

hallo,

nachdem ich mich nun mehr und mehr auf kivitendo einlasse es langfristig zu benutzen, denke ich ist es an der Zeit über Sicherheit nachzudenken.
Mein eigener 1. Serverversuch dürfte aktuell noch löchrig wie Schweizer Käse sein.

Keylogin statt passwort , root login sperren , nicht ssh port 22 verwenden, keine eingehenden mails akzeptieren, unnötige Dienste stoppen, hab ich verstanden und setze ich gerade um.

Aber mir macht der http:// Server ( Apache2) Sorgen mit all seinen Möglichkeiten.
Ich könnte theoretisch den Apache Server und die kivi Anwendung nach intern verlagern, aber die postgres DB brauche ich im Netz weil da ein Anderer Anwendungsserver Stammdatenzugriff braucht auf fester IP.
Frage 1. Bringt das was oder nutzlos weil sich das Problem dann nur vom http Server auf den postgres Server verschiebt.
Frage 2: Gibts alternativ nen super schlanken http server der kaum was zuläßt, wo man besser überblickt was der zulässt, der aber mit kivi läuft ?
Frage 3: bringt https was ? Oder ist das nur die verschlüsselung der Übertragungsdaten? Mitlesen was sich auf Port 80 tue wär mir weniger wichtig.
Ich will aber verhindern, daß jemand zerstörerisch tätig wird oder irgendwas auf dem Server lesen / schreiben / starten kann außer perl via kivi was eben sein muss.

Kurz und gut gibts irgendwo kompakte Tips zu dieser Art von Themen ?

Gruss Otmar Ripp


Replies (3)

RE: wie macht man https statt http - Added by G. Richardson almost 4 years ago

Wenn man nicht mit VPN arbeitet ist ein basic authenticate in Kombination mit https eine prima Möglichkeit, das nach außen hin abzuschotten, damit man erst ein Passwort eingeben muß bevor man überhaupt auf die kivi-Seite gelangt. So machen wir das meist, und machen Port 80 gar nicht erst auf. Da haben wir aber nur mit Apache Erfahrung.

Wenn jemand den unverschlüsselten Traffic mitliest kann er auch die Zugangspasswörter mitschneiden und sich damit selber einloggen und Schabernack treiben, das Argument "Mitlesen auf Port 80 wäre mir egal" ist also nicht so gut.

RE: wie macht man https statt http - Added by Wulf Coulmann almost 4 years ago

Ich könnte theoretisch den Apache Server und die kivi Anwendung nach intern verlagern, aber die postgres DB brauche ich im Netz weil da ein Anderer Anwendungsserver Stammdatenzugriff braucht auf fester IP.

hier sollte man Datenbank (tcp Port 5432) getrennt von http(s) (tcp Port 80/443) betrachten. Wenn unterschiedliche Server auf die Datenbank zugreifen ist es am sinnvollsten diese via verschluesselten privaten Tunnel zu verbinden (postgres auf ssl/tls zu packen ist viel Muehevoller). Dafuer bietet sich OpenVpn oder Tinc an.

Wenn der 2. Anwendungsserver sauber administriert wird, waere es auch eine Ueberlegung Kivitendo mit auf diesen zu verlagern und von Intern via Internet auf Kivitendo zuzugreifen. Somit haette man nur noch einen Server.

Ich wuerde mir ueberlegen, einen erfahrenen Admin mit in's Boot zu holen fuer Konzept und Erstinstallation, von dem laesst man sich das Setup erklaeren hat dann viel gelernt und kann die Wartung eventuell selbst uebernehmen. Das lohnt sich bestimmt.

Frage 2: Gibts alternativ nen super schlanken http server der kaum was zuläßt, wo man besser überblickt was der zulässt, der aber mit kivi läuft ?

Fuer http(s) ist es Geschmacksache ob man den Alleskoenner Apache2 verwendet, fuer den man mehr Beispielkonfigurationen findet, oder lieber etwas schlankeres.
Bei jedem, ob nginx, apache oder sonst ein httpd sollte man sicherstellen, dass Authentifikation ausschliesslich ueber ssl/tls moeglich ist. Ein schlankerer httpd ist nicht sicherer als ein "grosser".

Frage 3: bringt https was ?

ja, der komplette Verkehr ist verschluesselt, man benoetigt aber auch ein Zertifikat um diese Verschluesselung zu realisieren.

Frohes neues und erfolgreiches 2016 ! RE: wie macht man https statt http - Added by Otmar Ripp almost 4 years ago

HALLO UND DANKE,

werde mich dann dann wohl auch so verhalten https Installation lernen und den Port 80 dicht machen.
Stimmt, das mit den Passwörtern hatte mich auch noch gewurmt.

Grüße

Otmar Ripp

    (1-3/3)