| Een eenvoudig shellscript alleen kan niet via internet op een poort luisteren. Shell-scripts zijn bedoeld om de uitvoering van opdrachten te controleren; ze beschikken niet over de ingebouwde netwerkmogelijkheden om inkomende verbindingen te verwerken. Daarvoor heb je een netwerkserverprogramma nodig (zoals `netcat`, `socat`, of een speciale webserver zoals Apache of Nginx). Het shellscript zal alleen het serverproces *starten* en misschien *beheren*.
Hier zijn een paar voorbeelden, elk met belangrijke beveiligingsoverwegingen:
Voorbeeld 1:Netcat gebruiken (zeer onveilig voor productiegebruik)
In dit voorbeeld wordt `netcat` gebruikt om op een poort te luisteren. Gebruik dit niet in een productieomgeving zonder aanzienlijke beveiligingsverbeteringen. Netcat biedt minimale beveiliging en is gemakkelijk kwetsbaar voor aanvallen.
``` bash
#!/bin/bash
poort=8080
echo "Luisteren op poort $port..."
nc -lvp $poort
```
* `nc -lvp $port` :Dit is het kerncommando.
* `-l`:Luister naar inkomende verbindingen.
* `-v`:Uitgebreide modus (toont verbindingsdetails).
* `-p $port`:Specificeert het poortnummer.
Om dit iets veiliger te maken (maar nog steeds niet productieklaar): U kunt een firewallregel toevoegen om alleen verbindingen vanaf specifieke IP-adressen toe te staan. Maar zelfs dit is onvoldoende voor een robuuste oplossing.
Voorbeeld 2:Socat gebruiken (iets beter, maar heeft nog steeds meer beveiliging nodig)
`socat` is een veelzijdiger opdrachtregelhulpprogramma dan `netcat`, dat meer configuratieopties mogelijk maakt. Nogmaals, het is niet geschikt voor productie zonder aanzienlijke beveiligingsverbeteringen.
``` bash
#!/bin/bash
poort=8080
echo "Luisteren op poort $port..."
socat TCP-LISTEN:$port,fork EXEC:'echo "Verbinding ontvangen!"'
```
* `socat TCP-LISTEN:$port,fork EXEC:'echo "Verbinding ontvangen!"'`:Dit luistert op de opgegeven poort en splitst een nieuw proces voor elke verbinding. Het gedeelte `EXEC:'echo "Verbinding ontvangen!"'` is een eenvoudig commando dat voor elke verbinding wordt uitgevoerd. Vervang dit door de gewenste opdrachtafhandeling.
Belangrijke beveiligingsoverwegingen:
* Firewall: U MOET uw firewall configureren (bijvoorbeeld `iptables` op Linux) om alleen verbindingen naar de opgegeven poort toe te staan vanaf vertrouwde IP-adressen of netwerken. Anders staat uw server open voor aanvallen van iedereen op internet.
* Authenticatie en autorisatie: Deze voorbeelden ontberen enige authenticatie of autorisatie. Iedereen kan verbinding maken. Voor alles wat verder gaat dan eenvoudig testen, heeft u de juiste authenticatiemechanismen nodig (bijvoorbeeld wachtwoordbeveiliging, SSL/TLS-codering).
* Invoervalidatie: Als uw server invoer van clients verwerkt, MOET u deze grondig valideren om injectie-aanvallen (zoals opdrachtinjectie of SQL-injectie) te voorkomen.
* Foutafhandeling: De scripts missen een robuuste foutafhandeling. Productieklare scripts moeten fouten netjes afhandelen.
* Procesbeheer: Overweeg het gebruik van een processupervisor (zoals systemd of supervisord) om het serverproces te beheren en ervoor te zorgen dat het automatisch opnieuw opstart als het crasht.
Voor productieomgevingen: Gebruik een robuuste webserver zoals Apache of Nginx met de juiste beveiligingsconfiguraties (SSL/TLS, authenticatie, firewalls, invoervalidatie, etc.). Deze servers zijn ontworpen voor een veilige en betrouwbare werking. Deze voorbeelden zijn alleen voor educatieve doeleinden en mogen niet in de productie worden gebruikt zonder aanzienlijke verbeteringen in de beveiliging ervan. |
