[Mapbender-users] Sicherheit im Mapbender

Lars-Hendrik Schneider schneider at terrestris.de
Mon Nov 13 09:14:32 EST 2006 

Hallo,

Wigold at aol.com schrieb:
>  
> Hallo,
> ich habe mal mehrere Fragen bezüglich der Sicherheit des Mapbender.
>  
> 1.)
> Die in der mapbender.conf gespeicherten Daten (z.B Name und Passwort für 
> die Postgresql Datenbank) - wie werden diese Informationen über das 
> Internet verschickt? Sind die Daten MD5-codiert?

dies ist eine Frage der Einstellung der Verbindung zwischen PHP und 
Postgresql und hat originär nichts mit Mapbender zu tun (sprich, diese 
Infos laufen zwischen PHP und Postgresql-Server und keinesfalls 
irgendwie übers Netz des Betrachters).

Hier sei auf die Dateien postgresql.conf (regelt grundsätzliche Zugriffe 
über TCP/IP) und pg_hba.conf (regelt User und deren Zugriffsmethode) 
verwiesen.

Sofern PHP und Postgresql-Server auf einer Maschine laufen, erfolgt der 
Zugriff eigentlich über Sockets und damit ohne TCP/IP. Daher 
funktioniert der Zugriff auch ohne daß der Postgresql-Server auf 
"localhost" aka TCP/IP lauscht.

Sofern die Kommunikation zwischen verschiedenen Rechnern erfolgt, sollte 
hier die entsprechenden Sicherheitspolicies greifen (Zugriff nur von 
Host xyz erlaubt, Zugriff nur über MD5). Mitsniffen ist allerdings, 
sofern man nicht direkt auf dem Rechner oder mitten im Netz hockt, sehr 
schwierig ...


>    
> 2.)
> Der Zugang zu Mapbender kann auf bestimmte, registrierte Benutzer 
> beschränkt werden. Aber was ist mit dem direkten Zugriff auf den "UMN 
> Mapserver" oder den "Geoserver"? Wenn diese auf einem anderen Server 
> laufen, könnte man das wohl nur über eine Firewall verhindern, oder was 
> gibt es noch für Möglichkeiten? Aber was, wenn die beiden Dienste auf 
> dem gleichen Server laufen wie Mapbender?
> Ich habe mir sagen lassen, dass der Geoserver wahrscheinlich ab Version 
> 2 eine Benutzerauthentifizierung erhalten wird. Da so etwas bisher aber 
> weder der Geo- noch der Mapserver unterstützen wäre ich um jede Hilfe 
> dankbar.

Ohne da zu tief einzusteigen/vielleicht wissen die anderen 
mehr/Denkanstoß: Was sagt allow/deny vom Apache dazu, den Zugriff 
dezidiert nur vom berechtigten Server zuzulassen?

Sowas wie:
<Directory "/usr/lib/cgi-bin">
     AllowOverride None
     Options None
     Order deny,allow
     Deny from all
     Allow from mein.mapbender.rechner
</Directory>

M.E. nach gibt es (zumindest im Apachen) bereits zahlreiche eigenbürtige 
Werkzeuge, die den Einsatz einer Firewall erstmal unnötig machen. 
(Spatzen -> Kanonenprinzip).

EDIT: So wie ich das gerade sehe, würde in dem Fall aber ein Proxy 
(OWSPROXY?) die Bilder anfordern müssen, nicht direkt der Client beim 
Kunden, da sonst der Zugriff von einer neuen IP erfolgt.

Bin mal gespannt, was da kömmt ...

Viele Grüße,
Lars-Hendrik


>  
> Viele Grüße
> Mike

More information about the Mapbender_users mailing list