Hallo crewo,

das ist zwar alles super-wichtig - keine Frage - sollte allerdings nicht Thema von edomi sein,
sondern gehört eher in den Bereich Netzwerkgrundlagen bzw. Konfigurationen.

Somit bin ich mir nicht ganz sicher, ob das hier in diesem Forum richtig ist ...
Nichts für ungut!

Gruß
Thorsten

Wenn die LAN-Infrastruktur als das sichere „Dorf“ gesehen wird und die HW + SW darin als freie „Radikale“, dann ja, ansonsten sind so ziemlich alle Punkte in #1 in Bezug auf den Server selbst (Edomi) keine reine Netzwerkthemen … Alles und mehr kann theoretisch am Server selbst konfiguriert werden.

Hallo, habe selbst schon überlegt genau dieses Thema zu eröffnen.

Da mein Wissen in diesem Bereich sehr lückenhaft ist, und da ich sicherlich anderen ebenfalls so geht, finde ich dieses Thema sehr wichtig und auch angebracht dies hier im Forum zu diskutieren

Gruß Timo

Eigentlich ist es ganz einfach:

Sofern EDOMI physisch gegen unberechtiges Zugreifen geschützt ist, spielt "nur" der Zugriff per Netzwerk eine Rolle. Standardmäßig sind einige Dienste aktiviert und im Netzwerk verfügbar, damit das Entwickeln und Testen vereinfacht wird - dies sind im Wesentlichen: HTTP, FTP, SSH und mySQL.

SSH und FTP sind per root-Passwort (das man während der CentOS-Installation vergibt) abgesichert. HTTP ist natürlich nicht abgesichert und mySQL ist ebenfalls nicht abgesichert, damit man problemlos per mySQL-Clientprogramm die Datenbank bearbeiten kann (für Entwickler interessant).

Wer mag kann natürlich den mySQL-Port schließen bzw. mySQL so konfigurieren, dass kein Zugriff von aussen (LAN) möglich ist - damit die Schwiegermutter im Gästezimmer nicht auf die Idee kommt in der Datenbank zu schnüffeln...

Das ist eigentlich auch schon alles, was es zum Thema "Sicherheit" zu sagen gibt...

MIT sehe das ebenfalls als angebracht hier, sonst hätte ich das ja nicht geschrieben - edomi bringt ja ein OS quasi "out of the box" mit, d.h. wenn wir hier Tipps und Empfehlungen sammeln, können die sehr spezifisch auf edomi gemünzt werden und helfen damit auch unerfahrenen Anwendern, die eventuell auch zu denen zählen die ihr LAN nicht immer voll im Griff haben gegen Angriffe von aussen.

Ich jedenfalls würde mich freuen, wenn wir hier gemeinsam etwas gesammelt bekommen und kann es auch dann gerne in die Wiki übernehmen mit Screenshots versehen.

Das meiste was gaert oben schreibt erschlägt sich mit iptables-Config, deaktivieren von FTP (braucht man nicht, man nehme SFTP, das geht dann über SSH) und ein vernünftiges Root-Passwort. Aber ich z.B. bräuchte Hilfe bei iptables, hab mich da schon einmal ausgesperrt ausversehen und selbst wenn ich es hinbekomme (Anleitungen gibts ja genug) könnte ich nicht beurteilen, obs passt was ich da gemacht habe. Eventuell gibts ja hier einen, der sich damit auskennt?

okay ... okay ... es kann nicht schaden das ins Wiki zu packen! - War für mich nur irgendwie "andere Baustelle".
Sollte auch nicht als Kritik/Angriff gewertet werden. ... deswegen ja auch "NIchts für ungut"
:-)

+1 für ein sicheres Grundsysten

Gerade wenn man Edomi nicht als Softwarekomponente sondern als komplettes System betrachten soll. (Edomi verwaltet das System, etc)

Sorry für die schroffe Aussage aber das halte ich für genau den falschen Ansatz. Ein Entwickler schafft auch ein Passwort bei der Anmeldung einzugeben.

Natürlich schafft das ein Entwickler so gerade noch Ich habe mich missverständlich ausgedrückt: Wollte sagen, dass der mySQL-Remotezugriff "offen" ist, damit es Entwickler leichter haben.

Nochmal: EDOMI ist sicher genug - ein mySQL-Passwort nützt überhaupt nix, denn auf die Dateien dahinter kann man so oder so zugreifen (sofern man eben Zugriff auf den Server erlangt).

gaert ich gebe dir mit Einschränkungen noch recht, doch sobald sich dein Projekt größerer Beliebtheit erfreut (was ich mir wünschen würde ) dann wird das auch automatisch auf den Plan der Script-Kiddies landen, nach offen im Netz zugänglichen Installationen zu suchen. Nun könnte man sagen hier ist jeder selbst schuld, aber in meinen Augen spricht nichts dagegen hier jetzt schon etwas dagegen zu unternehmen.

Hallo zusammen,

ich halte das Thema ebenfalls für sehr wichtig und kann von mir auch sagen, dass ich nicht zu 100% sattelfest bin, was Netzwerksicherheit angeht.

Habe ich es aus den vorangegangenen Posts richtig vestanden, dass Edomi prinzipiell sicher ist, sofern ich keine Portforwards im Router auf meinen Edomi-Server eingerichtet habe? Und das, obwohl die Updates von CentOS abgeschaltet sind? (Außer natürlich, der Nachbarsjunge hackt mein WLAN )

Wie "sicher" ist eigentlich das Codeschloss Visuelement? Wenn ich es richtig sehe macht der Browser einen ajax-call zum Server, der dann die Eingabe des Users mit dem Code vergleicht. Wenn der Code richtig ist kommt in der Response ein "true" zurück. Soweit eigentlich "sicher", da der Vergleich ja nicht im Browser, sondern auf dem Server stattfindet. Wenn ich mir im Chrome Debugger aber den Netzwerk-Traffic anschaue wird der richtige Code bereits vorher an den Browser geschickt. Beispiel:

codeschloss_response.png
Wenn der Vergleich eh auf dem Server passiert, ist das doch eigentlich nicht notwendig.

Das ist richtig - und liegt daran, dass pauschal alle "Variablen" an die Visuelemente übermittelt werden. Dies ist natürlich in diesem Fall nicht notwendig, bzw. kontraproduktiv. Aber: Das "Codeschloss" ist ohnehin nicht wirklich sicher, sofern man im Quelltext stöbert oder diesen einfach manipuliert. Die gesamte Visu ist nicht wirklich sicher, schließlich könnte man ja auch auf anderem Wege beliebige "Ajax-Requests" absetzen, JS-Variablen ändern, usw.

Wenn also die Schwiegermutter im Gästezimmer.......