Sicherheitsfrage: Admidio ohne Firewall auf Webserver?

[Mrichter]

Hallo liebe Community,

erst einmal vielen Dank für die ganze Arbeit an Admidio! Ich mache zusammen mit ein paar Kolleg*innen die IT bei einer kleinen Gewerkschaft. Wir probieren für unsere elektronische Mitgliederverwaltung Admidio aus, weil wir gerne die Daten auf einem eigenen Server betreiben wollen um die volle Kontrolle zu behalten.

Allerdings sind wir darüber gestolpert das wir zwar Admidio ohne extra Firewall, zugänglich aus dem Internet installieren können, wir aber ein bisschen unsicher sind was die Systemhärtung angeht.

Deshalb hier ein paar Fragen die uns umtreiben, in der Hoffnung das ihr damit Erfahrungswerte habt:

- Verwendet ihr Admidio einfach als Website, die für registrierte Mitglieder zugänglich ist, oder benutzt ihr es nur mittels VPN Zugang bspw. auf einem nur lokal erreichbaren Server?

- Habt ihr andere Ideen wie wir unsere Installation am besten schützen? Schließung von Ports etc.?

Mit solidarischen Grüßen
Mark

[Hanabi]

Hallo Mark,

wir nutzen Admidio unter einer eigenen Domain auf dem Webserver. Zugang haben nur der Vorstand, die Mitgliederverwaltung und die Buchhaltung. Der Zugriff wird zusätzlich reguliert über eine deny/allow Regel in der .htaccess. Hier werden nur vorab angemeldete IP-Adressbereiche erlaubt. Dadurch kann der Vorstand beispielsweise vom eigenen PC (Telekom IP-Adressbereich Dresden) auf Admidio zugreifen, wenn er aber beispielsweise im Urlaub in Kroatien ist, wird der Zugriff wegen des nicht erlaubten Adressbereiches unterbunden.
Grundsätzlich kann Admidio aber auch lokal auf einem NAS oder Server installiert werden, vorausgesetzt, dieser stellt MySQL und PHP bereit.

[XimeX]

Man könnte auch noch eine Basic Auth vorschalten: https://de.wikipedia.org/wiki/HTTP-Authentifizierung

[Mrichter]

Vielen Dank für die antworten. Das sind ein paar gute Ideen!

Mit solidarischen Grüßen
Mark