Skocz do zawartości

Polecane posty

Wejsc na IRC na jakis kanal ze spacami i ich pozadnie zdenerowac ;) A tak powaznie to tez jestem ciekawy czy istnieje jakis spob aby to sparwdzic.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość N3T5kY

Secunia, milw0rm i szukanie exploitów, luk w zainstalowanym sofcie itp.

Ale to i tak kropla w morzu wody ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Jak sprawdzić na ile serwer jest bezpieczny? Gdzie szukać potencjalnych dziur?

 

Na początek zafundowałbym takiej maszynie testy penetracyjne, np. z wykorzystaniem Nessusa:

 

http://www.nessus.org

 

... potem może np. MetaSploit?

 

http://www.metasploit.com/

 

--

Pozdrawiam

 

MK

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Napisze co mam bo teraz przyszło mi do głowy że wypadało by dodać ;)

 

Debian Etch 32 bit

libapache2-mod-php5

php5-mysql, mysql-server-5.0 i mysql-client-5.0

php5-gd

php5-mcrypt

 

do tego eaccelerator, proftpd, postfix

 

Porty dla SSH i FTP zmienione na wyższe.

Zastanawiam się jeszcze nad wycięciem całego ruchu w IPtables i wpuszczanie tylko z mojego IP przy próbie logowania do ssh czy ftp.

 

Jestem sam na serwerze strony trzymane w katalogu /home/user

 

Wiem że dużo zależy także od aplikacji wrzucanych na serwer, jeśli będzie plik PHP z dziurami to nie pomogą najlepsze zabezpieczenia...

 

Dodatkowo hasła AES 256 bitowe.

 

Na stacjonarnym zainstalowane Ubuntu, klienta FTP FileZilla. Tylko z tego komputera się łącze z VPSem.

 

Może zamiast autoryzacji hasłem do SSH dać autoryzację za pomocą klucza?

 

Dziękuje za odpowiedzi B)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Na stacjonarnym zainstalowane Ubuntu, klienta FTP FileZilla. Tylko z tego komputera się łącze z VPSem.

 

Jeśli tylko Ty korzystasz z serwera, możesz śmiało używać SFTP, który jest wspierany przez Filezillę.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nikt Ci nie napisze jak zrobić konkretnie audyt, za to się bierze bardzo duże pieniądze. Audyt dzieli się na różne typy np.:

 

- aplikacji

- sieci

- systemu

 

Takimi framework'ami jak Metasploit też trzeba umieć się obsługiwać i wiedzieć jak co działa, nie chodzi aby to tylko zainstalować i "coś" odpalić. Nie wystarczy zatroszczyć się tylko o bezpieczeństwo serwera. Jeśli masz na serwerze aplikacje webowe (lub inne - udostępniane) to też trzeba zrobić audyt kodu źródłowego itd. Jeśli nie programujesz w jakimś języku to dziur żadnych nie znajdziesz, jedynie możesz opierać swoją wiedzę na gotowych exploit'ach przez co możesz zaktualizować oprogramowanie aby nie było ono podatne na dany bug. Musisz również obrać jakąś politykę bezpieczeństwa której będziesz się trzymał.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Więc tak co do systemu to wydaje mi się (aczkolwiek mogę się mylić) że jest bezpieczny - oczywiście jakiś ekspert rozłoży mnie na łopatki ale mam nadzieje że nie zrobi tego ;)

 

Co to aplikacji to zawsze staram się korzystać z nie tyle co najnowszych a najbezpieczniejszych skryptów php - jeśli najnowszych to monitorując kanały i uaktualniając na bieżąco.

 

Co do sieci to nie wiem za bardzo co miałeś na myśli... Jeśli mam VPSa to chyba provider mi zabezpiecza tą kwestę - czy nie ten kierunek myślenia?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

W tym wypadku do sieci nie masz większego dostępu, ja tylko wypisałem jakie są główne rodzaje audytów. Nie ma najbezpieczniejszych skryptów/aplikacji, są tylko takie w których nie jest łatwo znaleźć lukę ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

W sumie racja. Tak czy tak rzuca to jasne światło na moje pytania ;)

Po części wychodzę z założenia że im mniej softu w systemie tym mniejsze szanse na znalezienie luki B)

Stąd brak binda, pop3 i niepotrzebnych bibliotek php.

 

Tak czy tak dzięki za wypowiedź, akurat z tego co widzę to jesteś ekspert w tej dziedzinie.

Szkoda że reszta znawców nic nie napisała, a parę osób tu jest obcykanych w temacie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wnioski wysuwasz dobre, jak coś nie jest potrzebne/używane to nie trzeba instalować.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zastanawiam się jeszcze faktycznie czy nie wyrzucić ProFTPd. Ale z drugiej strony czasami daje dostęp koledze do jednej domeny i jest bezpiecznie. Tak przez sFTP dał bym mu od razu dostęp do SSH, a co za dużo to nie zdrowo ;)

 

A co myślisz o tych pakietach z dotdeb.org?

Strasznie mnie ciekawią. Rzecz w tym ze nie mam za bardzo gdzie przetestować, ale coś pomyślę.

 

Chodzi mi po głowie Debian 5 z paczkami z tamtego repo. Co prawda trochę ryzyko dawać to na produkcyjny serwer ale przetestować warto.

Tylko nie wiem jak z ich bezpieczeństwie. Paczek Debiana jestem pewien - no na tyle na ile każdy, tam widzę że jedna osoba się tym zajmuję.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Zastanawiam się jeszcze faktycznie czy nie wyrzucić ProFTPd. Ale z drugiej strony czasami daje dostęp koledze do jednej domeny i jest bezpiecznie. Tak przez sFTP dał bym mu od razu dostęp do SSH, a co za dużo to nie zdrowo ;)

 

Nie koniecznie dostep do SCP musi od razu oznaczac dostep do shell`a. Zainteresuj sie "scponly", np. tutaj jest przyklad konfiguracji dla Debiana:

http://geekzine.org/2007/09/28/easy-sftp-a...p-with-scponly/

 

--

Pozdr

 

MK

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Jak sprawdzić na ile serwer jest bezpieczny? Gdzie szukać potencjalnych dziur?
Audyt bezpieczeństwa wykonywany przez administratora / osobę znającą system jest trochę bez sensu ;)

 

Nikt Ci nie napisze jak zrobić konkretnie audyt, za to się bierze bardzo duże pieniądze. Audyt dzieli się na różne typy np.:

- aplikacji

- sieci

- systemu

A gdzie tu defence in depth? B)

 

Zastanawiam się jeszcze faktycznie czy nie wyrzucić ProFTPd. Ale z drugiej strony czasami daje dostęp koledze do jednej domeny i jest bezpiecznie. Tak przez sFTP dał bym mu od razu dostęp do SSH, a co za dużo to nie zdrowo :)
Nie dawałbyś mu, już kiedyś o tym pisałem... Poszukaj w archiwum, bo nie chce mi się powtarzać.

 

Nie koniecznie dostep do SCP musi od razu oznaczac dostep do shell`a. Zainteresuj sie "scponly", np. tutaj jest przyklad konfiguracji dla Debiana:

http://geekzine.org/2007/09/28/easy-sftp-a...p-with-scponly/

Po co? Wystarczy umieć skonfigurować usługi, które się udostępnia...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Zastanawiam się jeszcze faktycznie czy nie wyrzucić ProFTPd. Ale z drugiej strony czasami daje dostęp koledze do jednej domeny i jest bezpiecznie. Tak przez sFTP dał bym mu od razu dostęp do SSH, a co za dużo to nie zdrowo ;)

 

Przy odpowiedniej konfiguracji jak najbardziej możesz mu ustawić powłokę logowania na /bin/false B) a dostęp sFTP będzie możliwy :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Moja rada wywal wszystko czego nie używasz czego aż tak nie potrzebujesz najlepiej mieć otwarty port tylko 80 ;) daj dostępny np na ftp tylko na swoją podsieć i niwelujesz możliwość ataku o kilkadziesiąt procent

 

Załguj się na konto danej usługi i zobacz co możesz a czego nie

 

PHP wyłącz funkcje

disable_functions=exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl
_multi_exec,parse_ini_file,show_source

 

Użyj jakiegoś encodera niektóre mają taka funkcje iż wykonują jedynie kod podpisany na daną maszynę, eliminujesz wtedy exploity etc

Ftp - są takie narzędzia co blokują dostęp po kilkunastu próbach nieudanego dostępu

Tcp - tcp spoofing zmiana odcisku tcp na taki iż skanując nesusem pokazuje windows server 2003 B)

Apache - Modsecurity zmień w mod security apache banner na np IIS

Apache - wywal błąd 403 Forbiden zastępujące go 404 - skanery wtedy uznają iż danego skryptu nie ma serwerze

Sprawdź prawa dostępu do logowania zdalnego, przypisz osobny adres IP oraz zmień port

 

Unix - zainstaluj jakiśeś narzędzie do wykrywania rootkitów

 

A reasumując testy i jeszcze raz testy np.

 

http://antivir-polska.info/

 

Dla tej witryny co masz w stopce zmień NS

 

fns1.sgh.waw.pl

 

Pamiętam jak Xname.org miało DDOS i przez 2 dni miałem ładnego pada

 

 

http://uptime.netcraft.com/up/graph?site=antivir-polska.info

 

 

Apache/2.2.3 (Debian) PHP/5.2.0-8+etch15

 

- Pokazujesz wszystko jak na dłoni

- Zmień w ApacheServerTokens Prod

 

 

W źródle strony masz

 

<meta name="generator" content="WordPress 2.7.1" /> <!-- leave this for stats -->

 

Wpisujesz na google i włala

 

http://www.google.pl/search?hl=pl&q=Wo...=Szukaj&lr=

 

Wchodząc na buq: http://antivir-polska.info/start/

 

 

Ten wpis jest zabezpieczony hasłem

http://antivir-polska.info/wp-admin/

http://forum.antivir-polska.info/admin/

 

Zabezpiecz dodatkowo te foldery hasłem autoryzacja basic realm :)

 

Wywal z wordpressa zawsze było w tych plikach dużo dziur:

 

xmlrpc.php

wp-trackback.php

 

Wordpres ma także teraz automatyczną zaktualizacja bardzo przydate :)

 

 

Wywali pokazywanie zródła katalogu:

 

http://antivir-polska.info/wp-content/uploads/

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

W sumie jak korzystasz z NS darmowych to miej np 3 na innych serwerach ja mam automatyczne z home.pl i właa

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ja z kolei radze wyrzucic wszystkie banery informujace o wersji oprogramowania, dodanie kanalow RSS np. milw0rma, securityfocus itp.. , ustawienie regulek firewalla i np. demona kontroli auditd - ogolnie trzeba trzymac reke na pulsie;-).

Jak juz wspomnial ktos wczesniej, zawsze istnieje potencjalne ryzyko na wlamanie. Bardzo dobrym sposobem lagodzenia skutkow incydentu jest ograniczanie uprawnien procesu (np. SELinux) lub/i separacja procesow (np. VServer).

Pozdrawiam

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Jak juz wspomnial ktos wczesniej, zawsze istnieje potencjalne ryzyko na wlamanie. Bardzo dobrym sposobem lagodzenia skutkow incydentu jest ograniczanie uprawnien procesu (np. SELinux) lub/i separacja procesow (np. VServer).

 

Dokładnie nie zostawiać informacji o sofcie, firewall z mądrym systemem logów, httpd/php włączone to czego na prawdę potrzebujesz + open_base_dir i wyciąć wszystkie funkcje uznawane za "groźne". /tmp zabezpiecz - jak jest partycją, a tak wogóle to się nie da w 2-3 zdaniach :)

p.s. selinux może nie być dobrym rozwiązaniem dla początkujących, lubi być upierdliwy.

p.s.2 możesz też pomyśleć np. nad fail2ban lub coś podobnego.

p.s.3 ssl dla ftp poczty itd.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×