Heute Nacht hab ich wirklich schlecht geschlafen. Warum? Nach der Installation von WordPress, die gestern so leicht von der Hand ging habe ich die Firewall auf dem Server etwas geöffnet um HTTP Anfragen in das restliche Netz zuzulassen. Generell sollten Firewalls ja möglichst restrektiv eingestellt sein, d.h. erst mal wird alles verboten und dann schrittweise die Verbindungen zugelassen, die unbedingt sein müssen. Für die Firewall auf dem Server bedeutet das auch, dass eben alle ausgehenden Verbindungen verboten sind.
Ein Einbruchsversuch auf einem von mir mitadministrierten Server scheiterte genau daran, dass wir die Firewall so restrektiv handhabten. Damals wurde versucht ein Rootkit über einen Fehler in einer PHP-Funktion auf dem Server zu installieren. Das scheiterte aber eben daran, dass die Firewall es erst gar nicht zu lies das Rootkit herunterzuladen.
Nun ja, schlussendlich habe ich die Firewall heute Nacht noch mal zugemacht, damit ich wenigstens etwas Schlaf finde und habe mir nun die Arbeit gemacht die jeweiligen Adressen der Kommunikationspartner für die WP-Plugins herauszufinden. Das ist wirklich aufwendig und auch nicht 100% sicher, da die Daten (z.B. von Flickr) von ganz verschiedenen Systemen zusammengesucht werden. Für ein sicheres Web 2.0 muss man die Köpfe noch mal zusammenstecken um da eine gangbare Lösung zu finden.
Pingback: Squid als transparenter Proxy (Web 2.0 Security) | Oscar's Blog