Supersäker webbserver

Du kanske undrar hur eller om det är möjligt att göra en webbserver supersäker? Och svaret är: nja. Att göra själva webbservern säker går men det finns mycket annat som spelar in också, låt mig redogöra hur du kan skapa en säker webbserver:

  • Installera senaste versionen av OpenBSD och stäng ner alla tjänster och slå igång brandväggen samt annan uppsäkring av operativsystemet. Administrera enbart via konsol (överkurs: gör ditt eget operativsystem).
  • Skriv din egen webbserver i exempelvis C och låt någon granska koden. Se till att enbart servera statiska webbsidor
  • Gör så att filsystemet ej är skrivbart (bootbar cd-rom exempelvis)
  • Använd DNSSEC (går ej .COM ännu, men funkar bra på .SE)
  • Se till att närliggande system i din miljö inte kan ta över ditt IP-nummer (via arp)
  • Se till att routrar etc på vägen också är uppsäkrade
  • Tänk även på din fysiska miljö

Det blir förvisso mycket knöligt att administrera men supersäkert. Finns så klart mycket mer som kan läggas till denna lista men bygger du en webbserver/lösning enligt ovan lista så bör du hålla illasinnade borta.

4 reaktioner på ”Supersäker webbserver

  1. Sorry, men jag tycker detta inlägg är lite skrattretande, varför skriver du inte ”Dra ut lan-kabeln”?
    jag menar ”Skriv din egen webbserver i exempelvis C”

    självklart i all välmening ;)

  2. Magnus: Jag vet flera som skrivit en egen webbserver just för att bygga en supersäker webbsajt :)

  3. Alltså, hemmahackad webbserver kan aldrig vara smart. Men att köra sajten från en serverdator utan hårddisk, placerad i kassaskåps-säkrad plåtlåda med enbart ström+nätverk+t ex vattenflöde (eller kylning på utsidan), fysiskt och som bootar med en bränd (+”finalized”) CD-ROM, har ganska goda chanser. Den bör förstås bootas om mha strömcykling på den externa strömkabeln för att eventuella hackers som kommer in i programvaran ska kastas ut igen vid omboot. Nått liknande IDS (tripwire?) internt mäter intrångsförsök, så man vet när det är behov av att gå och stoppa i en nyare CD-ROM med några buggfixar.

  4. Simon: Precis vad jag menar :) Hemmahackad server-mjukvara = bäst. Sedan ska man ju så klart göra som du skriver också.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *