התקנת שרת אינטרנט (לא משנה מאיזו משפחה) חושפת את פורט 80 שלו לעולם. זו (פחות או יותר) הדרך היחידה בה יוכלו לפרוץ לו אל המחשב.
אבל גם אפאצ'י וגם דרופל מספקות מנגנוני אבטחה כך שלא ניתן לפרוץ אל המחשב \ השרת. אם לא עושים שטויות (כמו לתת הרשאת כתיבה ליוזר של אפאצ'י לספריות שהוא לא אמור לכתוב אליהן (בדרופל הוא אמור לכתוב רק אל sites/SITENAME_OR_DEFAULT/files) ותו לא.
בנוסף לכך, אם זה על המחשב האישי, מן הסתם אין לו כתובת IP קבועה, מה שמקשה על האקרים לסרוק את פורט 80 שלו.
בשביל אבטחת מידע מוגברת הייתי ממליץ להוסיף rule ב- iptables של המחשב (אם לינוקס) או ליצור rule במנגנון חומת האש של הווינדוס שלו.
אני מפתח מספר שנים אתרים על הלפטופ שלי (אובונטו) והוא מעולם לא נחשף לבעיות של אבטחת מידע. (הצלחתי להרוס אותו בעצמי מדי פעם, אבל זה כבר נושא אחר ;-) )
קודם כל לפני הכל חשוב להבין שברגע שאתה חושף כניסה למחשב, כלומר תוכנה המקשיבה לפורט (כן גם תוכנות ה-IM), אתה בסכנה.
אתה אף פעם לא יכול להיות בטוח איזה באגים ישנם בתוכנה המקשיבה לפורט ואיך אפשר לנצל אותם, ולכן קודם כל עדיף שלא לחשוף. MESSANGER למשל היא פירצה איומה.
אם כבר אתה חושף, כמו במקרה שלנו שאין ברירה, אז כנראה ש-FIREWALL, IPTABEL או כל כלי אחר היא התשובה ואסור לעבוד ללא אחת מהגנות מסוג זה!
אמנם ישנן הגנות למינהן בדרופל ובשרתי ה-WEB אבל צריך לזכור שזו סביבת פיתוח ועל כן מטבעה חשופה.
אמנם שה-IP שלך משתנה בכל חיבור, אבל למצוא אותכם זה לא ממש קשה, למשל דרך תוכנות ה-IM שאתם משתמשים. ישנם עוד דרכים לאתר אתכם , שלא לדבר על פריצות מזדמנות.
ועוד הצעה למי שיכול להרשות לעצמו:
FIREWALL חיצוני למחשב - אם רב עבודתכם במקום אחד רצוי לרכוש FW חיצוני למחשב.
מוריד עומס מהמחשב שלכם, ומוסיף עוד שכבת הגנה טובה שיכולה לעשות הרבה הבדל. אני לא סומך על מערכות ההפעלה בטח לא
יכול להיות שמודולים מסוימים של apache גם יהיו פתוחים לפרצות לכן
אל תאפשר מודולים של הרחבה לפני שאתה שאתה חוקר את היבט האבטחה של אותו מודול
ותזהרו מפרסומות ! סביבות פיתוח אתרים שהם לא קוד פתוח משלבים פניות נסתרות לשרתי פרסומות , ולפעמים אותם שרתי פסומות נפרצים ואז כל מי שפונה אליהם מקבל iframe זדוני במקום פרסומת
אז בקיצור תשתמשו בדרופל וקוד פתוח ולא dreamweaver
"רוב ה bots סורקים לאפלקציות" - זו בדיוק הבעיה,
קודם כל רב ולא כל, וגם בלי קשר אתה לא יודע איזה באג חדש תפגוש ומי ימנסה לנצל אותו.
כתפיסת אבטחה בסיסית אסור לך לסמוך על האפליקציה עצמה שתגן עליך
למשל, כאשר מנסים לבדוק איך לפרוץ דרך תוכנה כגון APACHE, למשל בודקים איך היא מתנהגת בזמן STACK OVERFLOW כשלמעשה היא אינה מתנהגת כרגיל - האם גם אז אפשר לסמוך עליה? האם גם אז המודולוים הקיימים יתנהגו נכון? האם בכלל אפשר לדעת? התשובה לא תמיד ברורה ומדוייקת.
דוגמא הקלאסית לעניין הזה הוא IIS4 הידוע, שכל ילד יכול לפרוץ בעזרת תוכנת RETINA שניצלה מצב בעייתי זה וידעה לחדור לשרת עליו יושב ה-IIS4 בלחיצת כפתור.
למעשה אתה אף פעם לא יודע איזה באגים תפגוש, בתוכנה, בקומפיילר/סנדבוס שהיא משתמשמשת וכו' ולכן שיכבת הגנה נוספת היא פתרון נדרש.
באתר PRODUCTION כדאי מאד שיהיה FIREWALL שידע גם לזהות התקפות ולחסום אותן (למשל התקפות המתחילות בעומס על השרת), ורצוי גם שידע לזהות את תקשורת ה-HTTP הרצה בין השרת לגולש וידע לזהות אי-תאימויות העלולות להצביע על התקפה ולחסום אותם עוד לפני שמגיעות לשרת ולחסום אותן.
את בנית השרת משאירים לאנשי האפצ'י, את האבטחה שלו משאירים לאנשי אבטחת המידע
אין ספק שחשוב לבדוק את קינפוג האתר, המודולים של שרת ה-WEB וכו'
אבל זה בהחלט לא מספיק.
ישנם מספיק IPTABLE וFW חינמים, חלקם אפילו קוד פתוח, אז למה לא להשתמש?
לא הייתי גולש לאתר הבנק שלי לבצע פעולות בחשבוני אם הייתי יודע שכל אבטחת המידע שלו מסכמת בקינפוג נכון, בדיקת מודולים, אי הכנסת פרוסומות, וכו'
באתר PRODUCTION כדאי מאד שיהיה FIREWALL שידע גם לזהות התקפות ולחסום אותן (למשל התקפות המתחילות בעומס על השרת), ורצוי גם שידע לזהות את תקשורת ה-HTTP הרצה בין השרת לגולש וידע לזהות אי-תאימויות העלולות להצביע על התקפה ולחסום אותם עוד לפני שמגיעות לשרת ולחסום אותן.
אני לא יודע איך לעשות הדברים האלה , אשמח לקבל "לידים"/קישורים לתחילת למידה
איך FIREWALL יודע לזהות DOS ?
ומה הכוונה בלזהות אי תאימיוית ב HTTP ?
שאלת שאלה גדולה מאד, וקשה לי מאד לתת ליד שכן את הידע שלי צברתי בעבודה וניסיון (כן, ניסיונות לניצול פרצות אבל בצורה חוקית בסיבבת מעבדה).
למעשה אין דרך אמיתי ללמוד את הנושא אלא אם כן אתה עוקב אחרי רשימות ה-bug track למינהן וכו'
אולי דרך טובה להתחיל יכולה להיות בללמוד את חמרי הלמידה לבחינות כגון: https://www.isc2.org/ http://www.comptia.org/certifications/listed/security.aspx
אבל חשוב לזכור שזהו רק בסיס, והם בשום אפן לא מכסות את הידע הנדרש.
לדעתי בחינות אלה נועדו לכסות את הישבנים של גופים כגון בנקים שיוכלו לטעון שהאנשים שלהם מקצועיים, ולהגן על עצמם מתביעות משפטיות
למעשה אין תואר (יש נסיונות אבל לא יותר) העוסק בתקשורת ואבטחת מידע ולכן הבחינות הנ"ל קיימות.
כנראה שהאבטחה הטובה ביותר שתוכל לקבל היא מה-FW המסחריים כגון CHECKPOINT CISCO וכו'
ועוד כדאי לציין שFW מבוססי חומרה הם הבטוחים ביותר
כאיש CHECKPOINT לשעבר שטיפל והיה אחראי על הטיפול בלקוחתיה הגדולים והחשובים של החברה אני ממליץ בחם על ה-FW של CHECKPOINT, הוא ייתן מענה לכל הדרישות הנ"ל ועל עוד רבות וחשובות
כל FW מונע denial-of-service attack) DoS attack) בדרכו שלו, למשל הדרך הפשוטה ביותר – אם יותר מ-N בקשות ל"חיבורים" מגיעים מ-IP מסוים בזמן נתון ה-FW לא מעביר את הבקשות לשרת ה-WEB, זה כמובן לא מספיק כי אפשר ל"פזר" את הבקשות לnספר כתובות IP כמו שעשו באותה התקפה על מיקרוסופט לכבוד יום הולדתו של ביל גייטס
לאי תאימויות בפרוטוקול אני מתייחס לעובדה שלכל MESSAGE הנשלח מצד אחד לשני, ישנו אחד או יותר MESSAGES האמורים לחזור מצד שני לראשון, כלומר אם צד ראשון שלח הודעת GET צד שני אמור להחזיר 200 OK או אחת מהודעות השגיאה. אם במקום זה צד שני ישלח כתגובה הודעת GET בעצמו זה מראה על בעיה, או למשל אם צד שני ישלח הרבה הודעות 200 OK זה גם מצביע על בעיה ואולי על נסיון לגרום נזק.
הFW יודע "להקשיב" לתקשורת הרצה, הוא גם מכיר את הפרוטוקול ויודע לוודא את תקינות ההודעות של הפרוטוקול והסדר בהם הם נשלחות
כל FW מונע denial-of-service attack) DoS attack) בדרכו שלו, למשל הדרך הפשוטה ביותר – אם יותר מ-N בקשות ל"חיבורים" מגיעים מ-IP מסוים בזמן נתון ה-FW לא מעביר את הבקשות לשרת ה-WEB, זה כמובן לא מספיק כי אפשר ל"פזר" את הבקשות לnספר כתובות IP כמו שעשו באותה התקפה על מיקרוסופט לכבוד יום הולדתו של ביל גייטס
לאי תאימויות בפרוטוקול אני מתייחס לעובדה שלכל MESSAGE הנשלח מצד אחד לשני, ישנו אחד או יותר MESSAGES האמורים לחזור מצד שני לראשון, כלומר אם צד ראשון שלח הודעת GET צד שני אמור להחזיר 200 OK או אחת מהודעות השגיאה. אם במקום זה צד שני ישלח כתגובה הודעת GET בעצמו זה מראה על בעיה, או למשל אם צד שני ישלח הרבה הודעות 200 OK זה גם מצביע על בעיה ואולי על נסיון לגרום נזק.
הFW יודע "להקשיב" לתקשורת הרצה, הוא גם מכיר את הפרוטוקול ויודע לוודא את תקינות ההודעות של הפרוטוקול והסדר בהם הם נשלחות
תודה על ההסבר , נושא רשתות ואבטחה באמת מרתק , אין זמן ללמוד הכל לכן כל אחד צריך להתמחות במשהו ולקבל שירות מאחרים בנושאים אחרים :)
לדעתי למפתח אתרים במחשב האישי , אפשר פשוט להגביל פניות ל apache רק מ ה localhost או מ ה lan ונראה לי שזה יהיה מספיק בטוח
אני משתמש ב-WAMPSERVER, ובעיקרון אפשר לקבוע עבורו אם הוא פתוח לעולם או לא. וגם אם הוא פתוח לעולם, עדיין צריך לפתוח את הפורט בראוטר - אם אני לא טועה הפורט בראוטר לא פתוח אוטומטית.
אפשר להשתמש בכלי הבא: http://nmap-online.com כדי לסרוק את ה-IP שלכם און ליין ולבדוק אילו פורטים פתוחים. אני אנחש כי אצל רובכם יתגלה שספקיות האינטרנט השאירו את הפורט של הראוטר שלכם פתוח כדי שהן יוכלו לתמוך בכם מרחוק, אם יש תקלות...
פעם הדיפולט של wamp היה להשאיר אותו פתוח, אבל עכשיו לא.
כעיקרון אפשר להגביל את הפורטים שאפאצ'י מאזין להם ע"י דירקטיב
Listen 127.0.0.1:80
ובכל מקרה- רוב האנשים שמתכננים להתקין שרת ביתי יש להם כבר ראוטר. ורוב הראוטרים הנורמלים משמשים כפיירוול חיצוני (אא"כ הגדירו אותם כ-DMZ, וזו לא ההגדרה הדיפוליטיבית).
יש לנו באתר מדריכים שונים, הכוללים מדריך להתקנת דרופל על המחשב המקומי או על שרת אירוח באינטרנט, כמו גם מדריכים לעיצוב ופיתוח.
בעזרת המדריכים השונים באתר ובעזרת קבוצות הדיון שלנו, אפשר למצוא את כל המידע הנחוץ להקמה והתאמה אישית של אתרי דרופל. כדאי לבדוק גם את ערוצי התמיכה הנוספים שלנו
אני לא כזה מומחה באבטחת מידע,
אני לא כזה מומחה באבטחת מידע, אבל בכל זאת אגיב:
התקנת שרת אינטרנט (לא משנה מאיזו משפחה) חושפת את פורט 80 שלו לעולם. זו (פחות או יותר) הדרך היחידה בה יוכלו לפרוץ לו אל המחשב.
אבל גם אפאצ'י וגם דרופל מספקות מנגנוני אבטחה כך שלא ניתן לפרוץ אל המחשב \ השרת. אם לא עושים שטויות (כמו לתת הרשאת כתיבה ליוזר של אפאצ'י לספריות שהוא לא אמור לכתוב אליהן (בדרופל הוא אמור לכתוב רק אל sites/SITENAME_OR_DEFAULT/files) ותו לא.
בנוסף לכך, אם זה על המחשב האישי, מן הסתם אין לו כתובת IP קבועה, מה שמקשה על האקרים לסרוק את פורט 80 שלו.
בשביל אבטחת מידע מוגברת הייתי ממליץ להוסיף rule ב- iptables של המחשב (אם לינוקס) או ליצור rule במנגנון חומת האש של הווינדוס שלו.
אני מפתח מספר שנים אתרים על הלפטופ שלי (אובונטו) והוא מעולם לא נחשף לבעיות של אבטחת מידע. (הצלחתי להרוס אותו בעצמי מדי פעם, אבל זה כבר נושא אחר ;-) )
שלומי צדוק
דרופל בממשל זמין
תודה רבה שלומי - לפחות להדיוט
תודה רבה שלומי - לפחות להדיוט כמוני בענייני אבטחה זו בהחלט נשמעת דעת מומחה.
| פרקטיקול - בונים לך אתר דרופל | עזרה מידית בקבוצה שלנו בפייסבוק! | שיעורי דרופל דרך האינטרנט
חשפת - נפגעת קודם כל לפני הכל
חשפת - נפגעת
קודם כל לפני הכל חשוב להבין שברגע שאתה חושף כניסה למחשב, כלומר תוכנה המקשיבה לפורט (כן גם תוכנות ה-IM), אתה בסכנה.
אתה אף פעם לא יכול להיות בטוח איזה באגים ישנם בתוכנה המקשיבה לפורט ואיך אפשר לנצל אותם, ולכן קודם כל עדיף שלא לחשוף. MESSANGER למשל היא פירצה איומה.
אם כבר אתה חושף, כמו במקרה שלנו שאין ברירה, אז כנראה ש-FIREWALL, IPTABEL או כל כלי אחר היא התשובה
ואסור לעבוד ללא אחת מהגנות מסוג זה!
אמנם ישנן הגנות למינהן בדרופל ובשרתי ה-WEB אבל צריך לזכור שזו סביבת פיתוח ועל כן מטבעה חשופה.
אמנם שה-IP שלך משתנה בכל חיבור, אבל למצוא אותכם זה לא ממש קשה, למשל דרך תוכנות ה-IM שאתם משתמשים. ישנם עוד דרכים לאתר אתכם , שלא לדבר על פריצות מזדמנות.
ועוד הצעה למי שיכול להרשות לעצמו:
FIREWALL חיצוני למחשב - אם רב עבודתכם במקום אחד רצוי לרכוש FW חיצוני למחשב.
מוריד עומס מהמחשב שלכם, ומוסיף עוד שכבת הגנה טובה שיכולה לעשות הרבה הבדל. אני לא סומך על מערכות ההפעלה בטח לא
כש אני מסתכל על הלוג של
כש אני מסתכל על הלוג של apache אז רוב ה bots סורקים לאפלקציות
המורכבות עליו ולא תוקפים apache עצמו
אז אני חושב שלהתקין apache לבד לא חושף המחשב לשום סכנות
אבל תחשוב טוב איך אתה מקנפג אותו ואיזה אתרים אתה מתקין עליו
בנוסף יש אפשרות לחסום ולהגביל גישה לאתרים שבתוך apache בלי צורך בלהשתמש
ב firewall
http://httpd.apache.org/docs/2.2/howto/access.html
http://httpd.apache.org/docs/2.2/misc/security_tips.html
יכול להיות שמודולים מסוימים של apache גם יהיו פתוחים לפרצות לכן
אל תאפשר מודולים של הרחבה לפני שאתה שאתה חוקר את היבט האבטחה של אותו מודול
ותזהרו מפרסומות ! סביבות פיתוח אתרים שהם לא קוד פתוח משלבים פניות נסתרות לשרתי פרסומות , ולפעמים אותם שרתי פסומות נפרצים ואז כל מי שפונה אליהם מקבל iframe זדוני במקום פרסומת
אז בקיצור תשתמשו בדרופל וקוד פתוח ולא dreamweaver
yakoub abaya
"רוב ה bots סורקים לאפלקציות"
"רוב ה bots סורקים לאפלקציות" - זו בדיוק הבעיה,
קודם כל רב ולא כל, וגם בלי קשר אתה לא יודע איזה באג חדש תפגוש ומי ימנסה לנצל אותו.
כתפיסת אבטחה בסיסית אסור לך לסמוך על האפליקציה עצמה שתגן עליך
למשל, כאשר מנסים לבדוק איך לפרוץ דרך תוכנה כגון APACHE, למשל בודקים איך היא מתנהגת בזמן STACK OVERFLOW כשלמעשה היא אינה מתנהגת כרגיל - האם גם אז אפשר לסמוך עליה? האם גם אז המודולוים הקיימים יתנהגו נכון? האם בכלל אפשר לדעת? התשובה לא תמיד ברורה ומדוייקת.
דוגמא הקלאסית לעניין הזה הוא IIS4 הידוע, שכל ילד יכול לפרוץ בעזרת תוכנת RETINA שניצלה מצב בעייתי זה וידעה לחדור לשרת עליו יושב ה-IIS4 בלחיצת כפתור.
למעשה אתה אף פעם לא יודע איזה באגים תפגוש, בתוכנה, בקומפיילר/סנדבוס שהיא משתמשמשת וכו' ולכן שיכבת הגנה נוספת היא פתרון נדרש.
באתר PRODUCTION כדאי מאד שיהיה FIREWALL שידע גם לזהות התקפות ולחסום אותן (למשל התקפות המתחילות בעומס על השרת), ורצוי גם שידע לזהות את תקשורת ה-HTTP הרצה בין השרת לגולש וידע לזהות אי-תאימויות העלולות להצביע על התקפה ולחסום אותם עוד לפני שמגיעות לשרת ולחסום אותן.
את בנית השרת משאירים לאנשי האפצ'י, את האבטחה שלו משאירים לאנשי אבטחת המידע
אין ספק שחשוב לבדוק את קינפוג האתר, המודולים של שרת ה-WEB וכו'
אבל זה בהחלט לא מספיק.
ישנם מספיק IPTABLE וFW חינמים, חלקם אפילו קוד פתוח, אז למה לא להשתמש?
לא הייתי גולש לאתר הבנק שלי לבצע פעולות בחשבוני אם הייתי יודע שכל אבטחת המידע שלו מסכמת בקינפוג נכון, בדיקת מודולים, אי הכנסת פרוסומות, וכו'
נכתב על ידי אבנר: באתר
באתר PRODUCTION כדאי מאד שיהיה FIREWALL שידע גם לזהות התקפות ולחסום אותן (למשל התקפות המתחילות בעומס על השרת), ורצוי גם שידע לזהות את תקשורת ה-HTTP הרצה בין השרת לגולש וידע לזהות אי-תאימויות העלולות להצביע על התקפה ולחסום אותם עוד לפני שמגיעות לשרת ולחסום אותן.
אני לא יודע איך לעשות הדברים האלה , אשמח לקבל "לידים"/קישורים לתחילת למידה
איך FIREWALL יודע לזהות DOS ?
ומה הכוונה בלזהות אי תאימיוית ב HTTP ?
yakoub abaya
שאלת שאלה גדולה מאד, וקשה לי
שאלת שאלה גדולה מאד, וקשה לי מאד לתת ליד שכן את הידע שלי צברתי בעבודה וניסיון (כן, ניסיונות לניצול פרצות אבל בצורה חוקית בסיבבת מעבדה).
למעשה אין דרך אמיתי ללמוד את הנושא אלא אם כן אתה עוקב אחרי רשימות ה-bug track למינהן וכו'
אולי דרך טובה להתחיל יכולה להיות בללמוד את חמרי הלמידה לבחינות כגון:
https://www.isc2.org/
http://www.comptia.org/certifications/listed/security.aspx
אבל חשוב לזכור שזהו רק בסיס, והם בשום אפן לא מכסות את הידע הנדרש.
לדעתי בחינות אלה נועדו לכסות את הישבנים של גופים כגון בנקים שיוכלו לטעון שהאנשים שלהם מקצועיים, ולהגן על עצמם מתביעות משפטיות
למעשה אין תואר (יש נסיונות אבל לא יותר) העוסק בתקשורת ואבטחת מידע ולכן הבחינות הנ"ל קיימות.
כנראה שהאבטחה הטובה ביותר שתוכל לקבל היא מה-FW המסחריים כגון CHECKPOINT CISCO וכו'
ועוד כדאי לציין שFW מבוססי חומרה הם הבטוחים ביותר
כאיש CHECKPOINT לשעבר שטיפל והיה אחראי על הטיפול בלקוחתיה הגדולים והחשובים של החברה אני ממליץ בחם על ה-FW של CHECKPOINT, הוא ייתן מענה לכל הדרישות הנ"ל ועל עוד רבות וחשובות
כל FW מונע denial-of-service attack) DoS attack) בדרכו שלו, למשל הדרך הפשוטה ביותר – אם יותר מ-N בקשות ל"חיבורים" מגיעים מ-IP מסוים בזמן נתון ה-FW לא מעביר את הבקשות לשרת ה-WEB, זה כמובן לא מספיק כי אפשר ל"פזר" את הבקשות לnספר כתובות IP כמו שעשו באותה התקפה על מיקרוסופט לכבוד יום הולדתו של ביל גייטס
לאי תאימויות בפרוטוקול אני מתייחס לעובדה שלכל MESSAGE הנשלח מצד אחד לשני, ישנו אחד או יותר MESSAGES האמורים לחזור מצד שני לראשון, כלומר אם צד ראשון שלח הודעת GET צד שני אמור להחזיר 200 OK או אחת מהודעות השגיאה. אם במקום זה צד שני ישלח כתגובה הודעת GET בעצמו זה מראה על בעיה, או למשל אם צד שני ישלח הרבה הודעות 200 OK זה גם מצביע על בעיה ואולי על נסיון לגרום נזק.
הFW יודע "להקשיב" לתקשורת הרצה, הוא גם מכיר את הפרוטוקול ויודע לוודא את תקינות ההודעות של הפרוטוקול והסדר בהם הם נשלחות
נכתב על ידי אבנר: כל FW מונע
כל FW מונע denial-of-service attack) DoS attack) בדרכו שלו, למשל הדרך הפשוטה ביותר – אם יותר מ-N בקשות ל"חיבורים" מגיעים מ-IP מסוים בזמן נתון ה-FW לא מעביר את הבקשות לשרת ה-WEB, זה כמובן לא מספיק כי אפשר ל"פזר" את הבקשות לnספר כתובות IP כמו שעשו באותה התקפה על מיקרוסופט לכבוד יום הולדתו של ביל גייטס
לאי תאימויות בפרוטוקול אני מתייחס לעובדה שלכל MESSAGE הנשלח מצד אחד לשני, ישנו אחד או יותר MESSAGES האמורים לחזור מצד שני לראשון, כלומר אם צד ראשון שלח הודעת GET צד שני אמור להחזיר 200 OK או אחת מהודעות השגיאה. אם במקום זה צד שני ישלח כתגובה הודעת GET בעצמו זה מראה על בעיה, או למשל אם צד שני ישלח הרבה הודעות 200 OK זה גם מצביע על בעיה ואולי על נסיון לגרום נזק.
הFW יודע "להקשיב" לתקשורת הרצה, הוא גם מכיר את הפרוטוקול ויודע לוודא את תקינות ההודעות של הפרוטוקול והסדר בהם הם נשלחות
תודה על ההסבר , נושא רשתות ואבטחה באמת מרתק , אין זמן ללמוד הכל לכן כל אחד צריך להתמחות במשהו ולקבל שירות מאחרים בנושאים אחרים :)
לדעתי למפתח אתרים במחשב האישי , אפשר פשוט להגביל פניות ל apache רק מ ה localhost או מ ה lan ונראה לי שזה יהיה מספיק בטוח
yakoub abaya
שמחתי לעזור :) על ה-LAPTOP
שמחתי לעזור :)
על ה-LAPTOP שלי אני לא מאפשר פניות ל-APACHE מה-LAN אלה רק במקרים ספציפיים מכיוון שאני עובד לא רק מהבית,
ובכל מיקרה FW או IPTABLE חובה
אני משתמש ב-WAMPSERVER,
אני משתמש ב-WAMPSERVER, ובעיקרון אפשר לקבוע עבורו אם הוא פתוח לעולם או לא. וגם אם הוא פתוח לעולם, עדיין צריך לפתוח את הפורט בראוטר - אם אני לא טועה הפורט בראוטר לא פתוח אוטומטית.
אפשר להשתמש בכלי הבא: http://nmap-online.com כדי לסרוק את ה-IP שלכם און ליין ולבדוק אילו פורטים פתוחים. אני אנחש כי אצל רובכם יתגלה שספקיות האינטרנט השאירו את הפורט של הראוטר שלכם פתוח כדי שהן יוכלו לתמוך בכם מרחוק, אם יש תקלות...
פעם הדיפולט של wamp היה
פעם הדיפולט של wamp היה להשאיר אותו פתוח, אבל עכשיו לא.
כעיקרון אפשר להגביל את הפורטים שאפאצ'י מאזין להם ע"י דירקטיב
Listen 127.0.0.1:80
ובכל מקרה- רוב האנשים שמתכננים להתקין שרת ביתי יש להם כבר ראוטר. ורוב הראוטרים הנורמלים משמשים כפיירוול חיצוני (אא"כ הגדירו אותם כ-DMZ, וזו לא ההגדרה הדיפוליטיבית).
אורן זוסמן