Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
Sicherheit bei mySQL und Client/Server-Verbindung

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sicherheit
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
curana



Anmeldungsdatum: 27.11.2004
Beiträge: 41

BeitragVerfasst am: 07. Feb 2005 13:00   Titel: Sicherheit bei mySQL und Client/Server-Verbindung

Hallo.
Ich habe heute mal wieder ein paar Fragen, die ich versuche zu gliedern sodass sie einfach behandelt werden können:

1) Wie kann ich für eine webbasierte Client/Server-Verbindung sicherstellen, dass nur ein bestimmter PC Zugriff auf die Oberfläche hat?
-> Ich hab mal was von Zertifikaten für den IE oder Mozilla etc. gehört, die man installieren kann?! Welche Software muss man da einsetzen bzw. in welche Richtung muss ich da suchen?

2) Ist VPN die sicherste Möglichkeit?

3) Wie sicher würdet ihr eine Verbindung mit SSL (ist 128 Bit das höchste?) einschätzen?
-> Hier geht es nur um die Verbindung an sich, es ist klar dass SSL keine Authentifizierungsmethode ist!

4) Ist mySQL eine sichere Datenbank? Kann ich ohne das Admin-Passwort die Daten lesen, angenommen ich "klaue" die Festplatte?

Wäre schön, wenn ihr mir da ein paar Meinungen oder Tipps sagen/geben könntet.

Danke.
 
Benutzer-Profile anzeigen Private Nachricht senden

elwood67



Anmeldungsdatum: 19.05.2004
Beiträge: 232
Wohnort: Nürnberg

BeitragVerfasst am: 07. Feb 2005 19:44   Titel: Fragen

zu 1)
Welche Oberfläche?
Zugriffe regelst Du am besten über die iptables Einstellungen. Hier kannst Du genau sagen, welche IP mit welchem Protokoll über welchen Port auf Deinen Dienst darf.

zu 2)
kommt darauf an, was Du vorhast. VPN ist ja auch nur ein Oberbegriff für verschiedene Szenarien und beschreibt eigentlich nur die Tunnelung von Verbindungen. Internet!

zu 3)
Auch bei SSL kann der Server vom Client ein Zertifikat verlangen, also auch eine Authentifizierung. Das mit den Zertifikaten kommt nicht immer nur vom Server.

zu 4)
Du kannst die Daten in einer mysql Datenbank verschlüsseln. Nur wo liegt dann dieser Schlüssel??!! Also wenn man Gefahr läuft, dass die Platte "geklaut" werden kann, dann muß man sich keine Gedanken mehr darum machen, ob mysql sicher ist...
_________________
Gruß Jürgen
_______________________
Rechner: P4 mit Suse 9.2
_______________________
Und versammeln unsere eigene Armee, um diese Massenvernichtungswaffe zu entschärfen, die wir heute noch unseren Präsidenten nennen...
 
Benutzer-Profile anzeigen Private Nachricht senden

curana



Anmeldungsdatum: 27.11.2004
Beiträge: 41

BeitragVerfasst am: 09. Feb 2005 10:35   Titel:

Danke, das hat mir schonmal weitergeholfen.

Mit Oberfläche meine ich bspw. eine Internetseite oder sowas. Will die eben bestmöglich nach außen schützen, bzw. den widerrechtlichen Zugriff auf die Datenbank.


Zuletzt bearbeitet von curana am 20. Mai 2007 22:54, insgesamt 1-mal bearbeitet
 
Benutzer-Profile anzeigen Private Nachricht senden

klopskuchen
prolinux-forum-admin


Anmeldungsdatum: 26.06.2004
Beiträge: 1444

BeitragVerfasst am: 09. Feb 2005 12:32   Titel:

> Mit Oberfläche meine ich bspw. eine Internetseite oder sowas.

Wenn du den Zugriff von nur bestimmten Clienten auf HTML-Dokumente meinst, über die
die Datenbank abgefragt werden kann- das fällt unter die Zugriffskontrolle des Webservers.
Bei Apache sind htaccess und htusers deine Freunde.
Die Rechteverteilung der Datenbanken selbst regelst du so wie den Rest des Systems-
mit den "stinknormalen" Lesr-, Schreib- und Ausführungsrechten.
Der mysql-client bietet zwar "eigene" Befehle für die Rechtekontrolle im Datenbankverzeichnis.
Allerdings nutzen die ohnehin die onboard-tools wie chmod usw.

MfG, Klopskuchen
_________________
When all else fails, read the instructions .
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

curana



Anmeldungsdatum: 27.11.2004
Beiträge: 41

BeitragVerfasst am: 09. Feb 2005 12:35   Titel:

Ich will im Grunde die HTML-Dokumente per PHP und mysql sichern, weil ich bei htaccess diese Abfragefenster nicht schön finde.
Außerdem will ich nicht nur per Passwort und Benutzername sichern.

Daher geht es mir primär auch um die Sicherheit der Datenbank.

Kann man per PHP an htaccess übergeben?
 
Benutzer-Profile anzeigen Private Nachricht senden

klopskuchen
prolinux-forum-admin


Anmeldungsdatum: 26.06.2004
Beiträge: 1444

BeitragVerfasst am: 09. Feb 2005 13:05   Titel:

> Ich will im Grunde die HTML-Dokumente per PHP und mysql sichern,
> weil ich bei htaccess diese Abfragefenster nicht schön finde.
Zum Verständnis: Möchtest du einen gesicherten Bereich im Dokumentenverzeichnis des Webservers einrichten,
auf den man nur mit Passwort Zugriff erhält?
Oder sind es mehr allgemeine "Sorgen" um deine Datenbanken?
Die Datenbankabfrage erfolgt über php-scripts die du schreibst. Anders kommt ein client (wenn alles iO. ist)
da nicht ran. Die Administration von mysql ist eine andere Geschichte. Die erfolgt über direkten Zugriff über
entweder tools wie mysqladmin auf Port 3306 (<-default) oder lokales Schreiben in den betreffenden Verzeichnissen
(eingeschränkt).
Das heisst also das ein webclient das bekommen kann was du mit einem phpscript zulässt. Die Filterung des Ports
auf dem mysql horcht ist eine andere Geschichte.
Apache sowie mysql haben eine sehr gute und umfangreiche Dokumentation dabei. Mit der kannst du dir so ziemlich
alles selbst beantworten. Das das aber nicht von heute auf morgen geht dürfte klar sein?!

MfG, Klopskuchen
_________________
When all else fails, read the instructions .
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

curana



Anmeldungsdatum: 27.11.2004
Beiträge: 41

BeitragVerfasst am: 09. Feb 2005 13:23   Titel:

Ich will, dass keiner auf die Datenbank zugreifen kann, wenn er nicht angemeldet ist über User/PW.

Das ist mein Hauptanliegen. Desweiteren würde ich gerne Dateien (PDFs oder sowas) gegen Zugriff von außen schützen, außer man ist eben angemeldet. Aber ich denke da ist das hier vielleicht das falsche Forum.
 
Benutzer-Profile anzeigen Private Nachricht senden

klopskuchen
prolinux-forum-admin


Anmeldungsdatum: 26.06.2004
Beiträge: 1444

BeitragVerfasst am: 09. Feb 2005 13:43   Titel:

> Ich will, dass keiner auf die Datenbank zugreifen kann, wenn er nicht angemeldet ist über User/PW.
Na dann doch htaccess und htusers. Was ist so schlimm an den pop-ups? Irgendwo müssen die Zugangsdaten
ja eingegeben werden. Die Zugangsdaten können zwar mit der url mitgegeben werden, aber die meisten Leute
benutzen in erster Linie Bookmarks und/ oder Links.

> Desweiteren würde ich gerne Dateien (PDFs oder sowas) gegen Zugriff von außen schützen...
Du willst Dateien _bereitstellen_ aber wiederum nicht freigeben? Oder nur an bestimmte Clienten?
-> Zugriffskontrolle Apache
Such dir mit google mal ein paar HowTos zum Thema LAMP. Wenn du weisst wie das ganze überhaupt funktioniert
erledigen sich deine Fragen von selbst.

MfG, Klopskuchen
_________________
When all else fails, read the instructions .
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

curana



Anmeldungsdatum: 27.11.2004
Beiträge: 41

BeitragVerfasst am: 09. Feb 2005 13:48   Titel:

Ich hab das vielleicht bissl unklar dargestellt. Ich such mal in anderen Foren, vielleicht wird mir dann eher klar was ich brauche.

Mein Problem ist eigentlich nur das Schützen von "Nicht-Internetseiten", sozusagen. Bzw. das Problem ist das, dass ich nicht das htaccess-Fenster will.

Dennoch danke für deine Mühen.
 
Benutzer-Profile anzeigen Private Nachricht senden

elwood67



Anmeldungsdatum: 19.05.2004
Beiträge: 232
Wohnort: Nürnberg

BeitragVerfasst am: 10. Feb 2005 16:04   Titel: naja php halt....

Nehmen wir an, es sollen user auf die Datenbank zugreifen.
Also eigtetnlich macht das ja PHP und nicht der User. Wink

Hier mal eine kleine "Grafik" (Sind alles PHP Seiten):

[Startseite] ->Link-> [Loginseite] -> Login okay? -> [Datenausgabe]
-> Login falsch -> [Fehlerseite]. ----> !Kein Zugriff

Soll heissen, wenn der User/Passwort in der Datenbank existiert, darf er auch rein und bekommt die Seiten angezeigt. PHP wird auf dem Server "gemacht" und die fertigen Seiten zum Browser geschickt.

Es kommt keiner über den Browser auf Deine Datenbank....normalerweise nicht. Man sollte dann aber auch PHP so gestalten, dass "böse" Anhänge an Scripts nicht übernommen werden.
_________________
Gruß Jürgen
_______________________
Rechner: P4 mit Suse 9.2
_______________________
Und versammeln unsere eigene Armee, um diese Massenvernichtungswaffe zu entschärfen, die wir heute noch unseren Präsidenten nennen...
 
Benutzer-Profile anzeigen Private Nachricht senden

curana



Anmeldungsdatum: 27.11.2004
Beiträge: 41

BeitragVerfasst am: 10. Feb 2005 19:03   Titel:

Richtig. Genau so ist es.

Nur: Wie sicherst du nun Dokumente die in Verzeichnissen liegen? Das kannst du nicht über PHP machen, oder?
 
Benutzer-Profile anzeigen Private Nachricht senden

klopskuchen
prolinux-forum-admin


Anmeldungsdatum: 26.06.2004
Beiträge: 1444

BeitragVerfasst am: 10. Feb 2005 19:33   Titel:

Lesen!
_________________
When all else fails, read the instructions .
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

eyz



Anmeldungsdatum: 12.02.2005
Beiträge: 2

BeitragVerfasst am: 12. Feb 2005 2:03   Titel:

hallo ihr Smile

also, ich hab auch eine Frage zum Thema Sicherheit bei cgi/sql

Und zwar.. Ich hol mir Username/PWD über ein Formular mit $_REQUEST['username/pwd'] ab. Falls diese Daten mit Daten in der sql-datenbank übereinstimmen, wird eine session-variable registriert.. und ich kann über die session-variable sehen ob ein user oder ein admin eingeloggt ist.

Die Verbindungs-Daten stehen in einer datei, die in einem Ordner auf dem Sever liegt, der mit htaccess geschützt ist.

Seht ihr vielleicht eine Sicherheitslücke oder dergleichen?
Ich bin gerade dabei, mich über dieses Thema ausführlicher zu informieren.. Falls ihr ein paar nützliche Links parrat hättet, wäre ich euch super dankbar Smile

mfg eyz
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

curana



Anmeldungsdatum: 27.11.2004
Beiträge: 41

BeitragVerfasst am: 12. Feb 2005 8:51   Titel:

Da würde mich interessieren, ob du auf die Datei zugreifen kannst, wenn der Ordner per htaccess geschützt ist. Poppt dann nicht das htaccess-Fenster auf zum anmelden?

Ich versteh das nämlich einfach nicht. Ich dachte der htaccess-geschützte Ordner ist nicht zugänglich?! Oder für serverseitige Abfragen schon?
 
Benutzer-Profile anzeigen Private Nachricht senden

eyz



Anmeldungsdatum: 12.02.2005
Beiträge: 2

BeitragVerfasst am: 12. Feb 2005 19:22   Titel:

was ich weiß, ist die Datei im geschützten Ordner (htaccess geschützt) nicht zum einsehen.. ausser man sitzt lokal am Rechner, dann ist alles möglich

auf die Datei kann ich aber zb.: über php: include() oder require() zugreifen, und die Daten auslesen

somit besteht für den client keine chance auf die "sicheren" Daten zuzugreifen

?!

mfg eyz
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sicherheit Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy