Seguridad en LAMP y XAMPP

[Gambinoh]

Me acabo de instalar XAMPP en Windows, en Linux reinstalaré LAMP (Linux-Apache-MySQL-PHP) y me surgen dudas a cerca de las vulnerabilidades que podrían poner en peligro nuestro equipo particular cuando trabajamos en localhost.

La idea mia es que esto pudiera servir a modo de manual en caso de no existir ya uno x aquí, para dotar de seguridad a la configuración por defecto de los paquetes tipo LAMP. En principo propongo el listado que aparece en la página de XAMPP pero la idea es que existan otras vulnerabilidades que no sean oficiales.

Se trataría de añadir puntos a la lista y las soluciones adecuadas tanto en Windows como en Linux.

   Carencias de seguridad en XAMPP:

   1) El administrador (root) MySQL por defecto no tiene contraseña.
   2) El demonio MySQL es accesible via network.
   3) phpMyAdmin es accesible via network.
   4) La demopage de XAMPP es accesible via network.
   5) Los usuarios por defecto de Mercury y FileZilla son conocidos.

[T0rete]

Visita http://localhost/security/xamppsecurity.php desde el ordenador que lo tienes instalado y ve al chequeo de seguridad, mira lo que quieres cambiar y ve a Security console MySQL & XAMPP directory protection. Es la forma mas sencilla de cambiar la mayor parte de las cosas que comentas.

En XAMPP Fillezilla y Mercury se pueden administrar desde El Panel de control del XAMPP en el boton que pone Admin.

[Gambinoh]

Visita http://localhost/security/xamppsecurity.php desde el ordenador que lo tienes instalado y ve al chequeo de seguridad, mira lo que quieres cambiar y ve a Security console MySQL & XAMPP directory protection. Es la forma mas sencilla de cambiar la mayor parte de las cosas que comentas.

Sí, tienes razón también viene por defecto con la actual versión de XAMPP un archivo .php similar que te da una lista de las vulnerabilidades y permite implementar la seguridad.

Aunque yo he leído por aquí que hay otros fallos de seguridad que no son chequeados.

[T0rete]

Ya entendí tu intención, no lo comprendí al principio. Solo con la seguridad del apache puedes escribir un libro entero.

[Gambinoh]

Ya entendí tu intención, no lo comprendí al principio. Solo con la seguridad del apache puedes escribir un libro entero.

Bueno, para ser sincero, en un principio sólo me leí un poco por encima la sección "matter of security" de la web de XAMPP y como soy muy impulsivo pues ya empecé a escribir mis dudas aquí. Sucede que estaba instalando un add-on en Firefox y envié el post antes de reiniciar el navegador y de terminar de leer lo básico.

Así que es normal que no hayas entendido lo del principio porque yo no lo habia planteado bién.

En fin espero que me perdoneis por ser tan impaciente y largarme a sugerir cosas que ni siquiera domino cuando en realidad hay muchos que sabiendo son lo suficientemente humildes como para dudar de sus conocimientos.

[Silici0]

Acabo de leer un artículo sobre hardering PHP en securitybydefault modificando el php.ini
No pongo el enlace que luego me dicen que hago spam, con los datos que he dado es facil encontrarlo.

El primer comentario del artículo tampoco tiene desperdicio.