30.10.04 seite 1 - security in typo3 willkommen security in (und rund um) typo3 christian kurta

21
30.10.04 Seite 1 - Security in TYPO3 Willkommen Security in (und rund um) TYPO3 Christian Kurta http:// www.typoheads.com

Upload: hartmut-schmeichel

Post on 06-Apr-2015

104 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: 30.10.04 Seite 1 - Security in TYPO3 Willkommen Security in (und rund um) TYPO3 Christian Kurta

30.10.04

Seite 1 - Security in TYPO3

Willkommen

Security in (und rund um) TYPO3

● Christian Kurta

http://www.typoheads.com

Page 2: 30.10.04 Seite 1 - Security in TYPO3 Willkommen Security in (und rund um) TYPO3 Christian Kurta

30.10.04

Seite 2 - Security in TYPO3

Agenda

● Security “Rund um TYPO3”

– LAMP / WAMP● Ist TYPO3 eigentlich “secure”?● Securing TYPO3● Make-me-weak!● Stresstesting

Page 3: 30.10.04 Seite 1 - Security in TYPO3 Willkommen Security in (und rund um) TYPO3 Christian Kurta

30.10.04

Seite 3 - Security in TYPO3

Ist Security messbar?

● Whitebox-Test● Redbox-Test● Code Review – Speziell bei Extensions● Performance / Stresstest

Page 4: 30.10.04 Seite 1 - Security in TYPO3 Willkommen Security in (und rund um) TYPO3 Christian Kurta

30.10.04

Seite 4 - Security in TYPO3

Security Rund um TYPO3

● Linux / Unix / Windows / OS X / ?● Apache● PHP● MySQL

Page 5: 30.10.04 Seite 1 - Security in TYPO3 Willkommen Security in (und rund um) TYPO3 Christian Kurta

30.10.04

Seite 5 - Security in TYPO3

Linux / Unix / Windows

● Nur absolut notwendige Programme installieren

● (< TYPO3 3.6.0: cp, mv)● Firewall (!!!)● tuga-assholes● Kernel Sicherheit / Microsoft BSA● Windows Updates

Page 6: 30.10.04 Seite 1 - Security in TYPO3 Willkommen Security in (und rund um) TYPO3 Christian Kurta

30.10.04

Seite 6 - Security in TYPO3

Linux

● Vorsicht bei Dateiberechtigungen● Nicht installieren:

– Kernel-source, gcc, make…– Wget, links, lynx, w3m …– Nc (Netcat), Etherreal …

● UserMode Linux● Tripwire, Chkrootkit● Logfiles dezentral speichern

Page 7: 30.10.04 Seite 1 - Security in TYPO3 Willkommen Security in (und rund um) TYPO3 Christian Kurta

30.10.04

Seite 7 - Security in TYPO3

Apache

● Nur absolut notwendige Module kompilieren● SSL fürs Backend verwenden!● Vorsicht bei:

– Directory Indexes– Includes

Page 8: 30.10.04 Seite 1 - Security in TYPO3 Willkommen Security in (und rund um) TYPO3 Christian Kurta

30.10.04

Seite 8 - Security in TYPO3

Die wichtigsten PHP.ini Variablen (1/2)

Safe_mode = On

Safe_mode_execdir = /meineexec/>= TYPO3 3.6.0

Open_basedir = /wwwalle TYPO3 Versionen

Register_globals = Off

Page 9: 30.10.04 Seite 1 - Security in TYPO3 Willkommen Security in (und rund um) TYPO3 Christian Kurta

30.10.04

Seite 9 - Security in TYPO3

Die wichtigsten PHP.ini Variablen (2/2)

● Log_errors = On● Display_errors = Off

Page 10: 30.10.04 Seite 1 - Security in TYPO3 Willkommen Security in (und rund um) TYPO3 Christian Kurta

30.10.04

Seite 10 - Security in TYPO3

MySQL-Security

● Root-Passwort vergeben!● Port 3306 bei der Firewall blockieren● Dem TYPO3 Web keine Create, Drop, Grant

usw Rechte geben.● Dem TYPO3 Web nur den lokalen Hostname

erlauben (localhost, www1 – nicht %)● phpMyAdmin mit .htaccess sichern

– (auch das von TYPO3)

Page 11: 30.10.04 Seite 1 - Security in TYPO3 Willkommen Security in (und rund um) TYPO3 Christian Kurta

30.10.04

Seite 11 - Security in TYPO3

MySQL-Performance (my.cnf)

● Persist Connections = Off● Max Users Limit auf Limit von Apache setzen!● Weitere Vorschläge?

Page 12: 30.10.04 Seite 1 - Security in TYPO3 Willkommen Security in (und rund um) TYPO3 Christian Kurta

30.10.04

Seite 12 - Security in TYPO3

Ist TYPO3 Secure?

● Security Audit 2002 von Martin Eiszner● Backend-Passwörter: MD5-Hash+unique

String – hard to guess● Backend-Sessions: 32bit MD5 Cookie -

120min gültig● Frontend-Passwörter: Plaintext

– “https enforcer” Extension

Page 13: 30.10.04 Seite 1 - Security in TYPO3 Willkommen Security in (und rund um) TYPO3 Christian Kurta

30.10.04

Seite 13 - Security in TYPO3

TYPO3 noch sicherer machen (1/2)

● /typo3-sourcecode mit .htaccess schützen● IPmaskList● lockToDomain bei BE-users/BE-groups● https fürs Backend – lockSSL = 1● Evtl typo3-Verzeichnis umbenennen● Keine SQL-Dumps speichern● Evtl localconf.php ausserhalb von webroot

Page 14: 30.10.04 Seite 1 - Security in TYPO3 Willkommen Security in (und rund um) TYPO3 Christian Kurta

30.10.04

Seite 14 - Security in TYPO3

TYPO3 noch sicherer machen (2/2)

● /typo3/dev Ordner löschen● Install-Tool mit die() Funktion versehen – oder

löschen.● Kein HTML-Content-Element für BE-User –

kein Button “HTML-Anzeigen” - XSS● Keine Installation von “Quickstart Package”● Warning_mode● Warning_Email_Addr

Page 15: 30.10.04 Seite 1 - Security in TYPO3 Willkommen Security in (und rund um) TYPO3 Christian Kurta

30.10.04

Seite 15 - Security in TYPO3

Make me weak! – Mach mich schwach!

Page 16: 30.10.04 Seite 1 - Security in TYPO3 Willkommen Security in (und rund um) TYPO3 Christian Kurta

30.10.04

Seite 16 - Security in TYPO3

Make me weak! – Mach mich schwach!

Page 17: 30.10.04 Seite 1 - Security in TYPO3 Willkommen Security in (und rund um) TYPO3 Christian Kurta

30.10.04

Seite 17 - Security in TYPO3

Make me weak! – Mach mich schwach!

● Praxisbeispiel

Page 18: 30.10.04 Seite 1 - Security in TYPO3 Willkommen Security in (und rund um) TYPO3 Christian Kurta

30.10.04

Seite 18 - Security in TYPO3

Stresstest

● Microsoft Application Test Center (im VisualStudio Paket enthalten -> Praxisbericht

● PureLoad● Bonny● top

Page 19: 30.10.04 Seite 1 - Security in TYPO3 Willkommen Security in (und rund um) TYPO3 Christian Kurta

30.10.04

Seite 19 - Security in TYPO3

Wie kann ich prüfen, ob ich nicht allein bin?

● w – Wer ist noch da?● lsof –pi -> Listet alle offenen Files & wer sie

offen hat.● ps auxw -> Prozesse überwachen● Verdächtige Dateien im /tmp verz.● Im httpd-log nach 100% suchen● Chkrootkit● tripwire

Page 20: 30.10.04 Seite 1 - Security in TYPO3 Willkommen Security in (und rund um) TYPO3 Christian Kurta

30.10.04

Seite 20 - Security in TYPO3

Links & Literatur

● Inside Typo3 – Abschnitt: Security● www.k-otik.com● www.securityfocus.org● www.kernel.org

Page 21: 30.10.04 Seite 1 - Security in TYPO3 Willkommen Security in (und rund um) TYPO3 Christian Kurta

30.10.04

Seite 21 - Security in TYPO3

Fragen / Antworten

● Vielen Dank für Ihre Aufmerksamkeit.