Tracker: NRW
Source: NV-Source
Ich wurde jetzt schon mehrmals nach einem Security-Review für den NRW-Tracker gefragt. Die Tests zu diesem Tracker wurden von uns bereits vor einigen Wochen durchgeführt. Dabei ging die Initiative vom SysOp selber aus, der an uns herangetreten ist. Bisher war nur noch keine Zeit das Review hier zu veröffentlichen und entsprechend aufzubereiten.
Serversicherheit
OS: Debian 8 Update Level 3
Wie fast alle getesten Server, schneidet auch dieser hier nicht besonders gut ab. Eine Firewall gibt es nicht oder sie funktioniert nicht richtig. Außerdem laufen einige überflüssige Dienste auf dem Server, die unnötige Angriffsfläche bieten: FTP (Standardport), DNS & E-Mail-Dienst.
MySQL ist von außen ebenfalls erreichbar, es gibt allerdings einen Hostfilter. SSH läuft ebenfalls auf dem Standardport.
Das OS ist immerhin relativ aktuell, dennoch handelt es sich auch hier um eine schlecht konfigurierte Standardinstallation. Da kann man definitiv noch einiges verbessern.
Trackersicherheit
Obwohl die NV-Source verwendet wird die bei vielen Trackern mit Lücken läuft, waren hier keine zu finden. Zusätzlich scheint es eine Art Filter zu geben, der bestimmte Keywords aus den Requests herausfiltert. Wohl auch deshalb konnten keine Lücken aufgespürt werden.
Fazit
Da der Tracker in Ordnung ist und die Serversicherheit mit einigen Handgriffen schon aufgebessert werden kann, gibt es keinen Grund diesen Tracker nicht als sicher einzustufen. Positiv ist außerdem, dass der SysOp eigenständig an uns herantgetreten ist. So hätte man eventuelle Sicherheitslücken bereits vor der Veröffentlichung eines Reviews schließen können, was aber nicht notwendig gewesen ist. Zwischen Test und diesem Review ist außerdem schon einige Zeit vergangen, in der hoffentlich die angesprochenen Defizite ausgebessert wurden. Eine erneute Überprüfung wurde nicht durchgeführt.
Bookmarks