Реклама на сайте Advertise with us

Настройка безопасности сервера на линухе

Расширенный поиск по форуму
 
Новая тема Новая тема   
Автор
Поиск в теме:



С нами с 21.06.05
Сообщения: 1788
Рейтинг: 1579

Ссылка на сообщениеДобавлено: 02/01/07 в 02:34       Ответить с цитатойцитата 

Имеем неважно какой дистрибутив, ставим на него апач со всеми нужными модулями. Блокируем через iptables все порты кроме 80 и то, только для локальных адресов.
Код:
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -j DROP

Шелл и самба не нужны (и даже не установлены), так как доступ будет только прямой.

Можно ли назвать теперь такой сервер надёжным с точки зрения безопасности?

ВОСТОРГ ЗНАЧИТ BMW

0
 

Криптопохуист

С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019

Ссылка на сообщениеДобавлено: 02/01/07 в 03:01       Ответить с цитатойцитата 

Фаервол на портах далеко и не всегда единственный залог безопасности.

Вообще комп в полной безопасности только когда он помещен в надежный сейф, не является участником сети и выключен из розетки )) Но опять же даже эта версия сводится к человеческому фактору - у кого то все таки есть ключики от этого сейфа. А значит тоже ненадежно icon_smile.gif

Но это лирика.

Большую угрозу безопасности для рядового веб сервера предоставляют такие службы (мое личное мнение):

1. Веб сервер, обрабатывающий динамику, на котором будут хоститься дырявые опен соурс софтины (вроде пхпадснью, мамба, етц). Как бы не был охуенно защищен ваш сервак, его рано или поздно ломанут. Чтобы такого не было, надо либо не использовать опен соурс, либо свести риск взлома к минимуму, сделав профилактику софта. Удаляйте внешнее упоминание версии, удаляйте физически все ненужные модули этого софта (xmlrpc например). апач должен работать под непривелегированным "левым" юзером. напр. www. Запретите нафик LOAD DATA INFILE в MySQL. Этой дыренью пользуются наиболее часто для чтения локальной файловой системы.

2. FTP, SSH сервер. Ну тут все банально. Либо брутфорс, подбор пароля, либо по оплошности разрешенный анонимоус доступ. Пароли должны быть длинные и разные. Юзеры должны быть нестандартные комбинации букв.

3. Мускуль, который слушает сеть. Если в поддержке MySQL TCP сокета нет необходимости, выключить его (skip-networking в /etc/my.cnf). Нехватало перебора паролей извне.

4. Не проапдейченый софт, который слушает сеть. Поскольку на юникс серверах софт почти весь опен соурс, то его релизы надо всегда держать ап-ту-дейт с текущими. Смотрите кто у вас слушает сеть и эти софтины обновляйте регулярно.

6
 



С нами с 21.06.05
Сообщения: 1788
Рейтинг: 1579

Ссылка на сообщениеДобавлено: 02/01/07 в 03:22       Ответить с цитатойцитата 

1. Опенсурса нет. Работает пхп скрипт, по такой схеме:
PHP <-> XMLRPC <-> JBoss <-> MSSQL
В конфигах никаких паролей нет вообще.

2,3. FTP, SSH, Samba, MySQL не установлены.

4. В сеть будет смотреть только апач.


Можно ли говорить о максимальной защищённости сервера? (не приложений!)

ВОСТОРГ ЗНАЧИТ BMW

0
 

Криптопохуист

С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019

Ссылка на сообщениеДобавлено: 02/01/07 в 04:40       Ответить с цитатойцитата 

насколько я понял, жибос стоит не на этом сервере. тогда да, у твоего сервера ломать особо нечего icon_smile.gif

6
 



С нами с 29.08.04
Сообщения: 223
Рейтинг: 123

Ссылка на сообщениеДобавлено: 02/01/07 в 11:56       Ответить с цитатойцитата 

samedi писал:

Можно ли говорить о максимальной защищённости сервера? (не приложений!)

Нельзя. Через апач можно залить эксплоит и выполнив его - получить доступ к серверу.

Если нужен комплексная безопасность, то рекомендую посмотреть на http://esupport.org.ru/services/security/advanced.html

админю ваши дедики

-3
 



С нами с 21.06.05
Сообщения: 1788
Рейтинг: 1579

Ссылка на сообщениеДобавлено: 02/01/07 в 14:16       Ответить с цитатойцитата 

eSupport писал:
Если нужен комплексная безопасность, то рекомендую посмотреть на http://esupport.org.ru/services/security/advanced.html

В данном случае доступ к серверу не может быть предоставлен сторонним лицам.

ВОСТОРГ ЗНАЧИТ BMW

0
 

Криптопохуист

С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019

Ссылка на сообщениеДобавлено: 03/01/07 в 01:45       Ответить с цитатойцитата 

eSupport писал:
Нельзя. Через апач можно залить эксплоит и выполнив его - получить доступ к серверу.

Если нужен комплексная безопасность, то рекомендую посмотреть на http://esupport.org.ru/services/security/advanced.html

Ты очень преувеличиваешь. На улице тоже есть какая то вероятность получить смертельную дозу радиации, но это еще не значит что каждый раз надо надевать скафандр.

samedi: расслабься. твой сервер достаточно неплохо защищен ровно до тех пор, пока кто то целенаправленно не решит конкретно его хакнуть icon_smile.gif

6
 



С нами с 21.09.03
Сообщения: 7329
Рейтинг: 2144

Ссылка на сообщениеДобавлено: 03/01/07 в 02:01       Ответить с цитатойцитата 

Pentarh писал:
2. FTP, SSH сервер. Ну тут все банально. Либо брутфорс, подбор пароля, либо по оплошности разрешенный анонимоус доступ. Пароли должны быть длинные и разные. Юзеры должны быть нестандартные комбинации букв.


В наше время FTP идет вообще на свалку, а в SSH разрешается логины только по ключикам - никаких паролей.

2
 



С нами с 29.08.04
Сообщения: 223
Рейтинг: 123

Ссылка на сообщениеДобавлено: 04/01/07 в 19:45       Ответить с цитатойцитата 

Pentarh писал:
Ты очень преувеличиваешь. На улице тоже есть какая то вероятность получить смертельную дозу радиации, но это еще не значит что каждый раз надо надевать скафандр.


Я не преувеличиваю. На улице нельзя получить ниоткуда дозу. А вот пулю в голову - легко. Если заказали.
Тоже самое и с сервером. Если охота быть неуловимым Джо или жалко сотни баксов - можно и так оставить.

админю ваши дедики

-3
 

Криптопохуист

С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019

Ссылка на сообщениеДобавлено: 05/01/07 в 07:14       Ответить с цитатойцитата 

Ты очень напоминаешь мне антивирус касперского, который кричит о супер-мега опасности заражения в любом пустяковом случае: базы устарели, я вырубил активную защиту, компьютер давно не проверялся, или когда я в блокноте изменил файл hosts

Уж не знаю че делать с этим параноиком уже icon_smile.gif

6
 



С нами с 21.06.05
Сообщения: 1788
Рейтинг: 1579

Ссылка на сообщениеДобавлено: 05/01/07 в 16:15       Ответить с цитатойцитата 

eSupport писал:
Если охота быть неуловимым Джо или жалко сотни баксов - можно и так оставить.


Говорю ещё раз. Пускать тебя к серверу - пускать к базам, содержание которых стоит в в сто раз больше, чем сто баксов. И перед тем как позиционировать себя как продвинутый специалист в области защиты информации, будет лучше, если потратишь карманные деньги на нормальную переделку шаблона вордпресса и не будешь пытаться зарабатывать адсенсом копейки на рекламе.

ВОСТОРГ ЗНАЧИТ BMW

0
 

БешаныйСуслег

С нами с 16.06.04
Сообщения: 1322
Рейтинг: 1338

Ссылка на сообщениеДобавлено: 05/01/07 в 16:44       Ответить с цитатойцитата 

samedi писал:
Говорю ещё раз. Пускать тебя к серверу - пускать к базам, содержание которых стоит в в сто раз больше, чем сто баксов. И перед тем как позиционировать себя как бла бла бла

В таких случаях обычно нанимается человек соответсвующей квалификации, а не решается проблема путём соцопроса на форуме.

По сабжу ответ нет, нельзя. Pentarh всё правильно написал. Добавлю от себя что если работает PHP скрипт, то на него тоже можно произвести атаку. Но как я понял этот сервер извне не доступен, так что расслабься ;)

0
 



С нами с 29.08.04
Сообщения: 223
Рейтинг: 123

Ссылка на сообщениеДобавлено: 05/01/07 в 18:32       Ответить с цитатойцитата 

samedi писал:
Говорю ещё раз. Пускать тебя к серверу - пускать к базам, содержание которых стоит в в сто раз больше, чем сто баксов. И перед тем как позиционировать себя как продвинутый специалист в области защиты информации, будет лучше, если потратишь карманные деньги на нормальную переделку шаблона вордпресса и не будешь пытаться зарабатывать адсенсом копейки на рекламе.


Не хочешь пускать к боевому серверу - бери чистый и я его настрою - потом можешь тестить/ломать.

По поводу сайта - он вообще ничего не значит. Если тебе нужны отзывы от серьезных заказчиков - я их дам по запросу. Если нужна гарантия - заключим договор.

админю ваши дедики

0
 
Новая тема Новая тема   

Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте!


Перейти:  



Спонсор раздела Стань спонсором этого раздела!

Реклама на сайте Advertise with us

Опросы

Рецепт новогоднего блюда 2022



Обсудите на форуме обсудить (11)
все опросы »