sichere Webserver

Ein schön theoretischer Artikel. Nett zu lesende Statements, die aneinander gereiht wurden, aber bitte schön: Welcher Webmaster hat denn Kontrolle über den Webserver, auf dem er gehostet ist?

Und die, die die Kontrolle darüber haben: Wer von denen hat denn das Wissen, wie man einen Webserver sicher macht und wer davon hat die Zeit dazu?

Und ich sage es immer wieder: Sicherheit kann man nicht kaufen. Sie kommt in keiner Pappschachtel daher, die man aufreißt, einspielt und gut ist's. Sicherheit muß man jeden Tag leben und danach handeln.

Sicherheit im Web bzw. auf dem Webserver heißt, erstmal eine gute Grundinstallation aufsetzen (Chroot, Jails, lieber weniger Skripte, als mehr, überflüssige Funktionen und Module abschalten oder entfernen, anständige Applikations-Filter usw.) und dann muß jeden Tag auf's Neue reagiert werden, wenn neue Schwachstellen bekannt werden. Ständig neue Patches aufspielen und ständig die Konfiguration sicher halten, sofern neue Schwachstellen bekannt werden.

Soweit die Theorie, die im Artikel nicht genannt wurde, aber wer ist denn in der Lage, all dies tatsächlich zu vollziehen? Systemsicherheit ist alleine genommen schon ein Halbtagsjob und die meisten Admins / Webmaster schaffen das zeitlich einfach nicht.

Ich kenne so einige Systeme, die vollkommen "unmonitored" laufen und das dürfte wohl eher die Realität sein.