Hallo Wilfried,
Am 15.08.2014 09:13, schrieb Wilfried Larisch:
Hallo Tobias,
Am 15.08.2014, 09:02 Uhr, schrieb T. Küchel <[email protected]>:
sagt: "Eingehender TCP-Port 443 wird auf Port 443 der Server-IP
weitergeleitet (HTTPS), nicht aktiv."
Vermutlich musst du nur hier den Switch auf "Aktiv" stellen.
und an diesem Punkt habe ich mich in meiner ersten Mail unklar
ausgedrückt. Ich erinnere mich, diesen Haken zur Aktivierung gesetzt zu
haben. Dadurch werden mrbs/horde über https erreichbar. Die Frage
bleibt, ob dieser Weg sinnvoll ist. Viele von uns haben ja
Serviceseiten, auf denen sie zu den entsprechenden Anwendungen verlinken.
Bisher habe ich evtl. Gefahren, die sich aus einer gewachsenen
Konstellation ergeben, in Kauf genommen. Der Versionssprung von ipcop zu
ipfire ist für mich Anlass, das Gewohnte in Frage zu stellen.
Ah, ok.
Folgende Probleme, die generell gelten:
* "Loch" zum Server von außen ist ein Problem, genau wie ich das für
LDAPS (636) mache
* "Loch" zu apache ist vllt. noch einen tick "gefährlicher" als zu ldap
oder ähnlichem, weil es ein beliebter port ist -> Fazit: zeitnahe
Sicherheitsupdates auf dem server werden wichtig.
* Du machst mit port 443 möglicherweise nicht nur mrbs und horde3 auf,
sondern auch noch andere installierte webapps, die man vllt. gar nicht
auf dem schirm hat (moodle installiert?) Nachdem ich mal
/etc/apache2/sites-enabled/000-default anschaue:
NameVirtualHost *:443
<VirtualHost *:443>
ServerAdmin webmaster@localhost
DocumentRoot /var/www/
Alles was unter /var/www abgelegt wird, wäre prinzipiell von außen
erreichbar.
Unter /etc/apache2/conf.d/* findet man weitere installierte webapps,
z.B. müsste "portfolio" auch erreichbar sein. -> Probier das mal.
* ip:443/nagios3 auch?
Fazit:
* zeitnahe sicherheitsupdates machen -> nagios verwenden
* konfiguration von apache im blick haben
Andere Lösungen:
* weiterleitung auf einen extra host in GRÜN, der nur horde und mrbs
installiert hat,
* - " - in ORANGE (DMZ) ... aber da wirds
mir zu unbekannt -> LDAP und NFS müssten dann doch vom server zum
DMZ-host kommen
Grüße, Tobias
_______________________________________________
linuxmuster-user mailing list
[email protected]
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
