Audyt bezpieczeństwa

[Jarosław Szmańda 42]

Jak sprawdzić na ile serwer jest bezpieczny? Gdzie szukać potencjalnych dziur?

[matt 0]

Wejsc na IRC na jakis kanal ze spacami i ich pozadnie zdenerowac A tak powaznie to tez jestem ciekawy czy istnieje jakis spob aby to sparwdzic.

[Gość N3T5kY]

Secunia, milw0rm i szukanie exploitów, luk w zainstalowanym sofcie itp.

Ale to i tak kropla w morzu wody

[_MK_ 23]

Jak sprawdzić na ile serwer jest bezpieczny? Gdzie szukać potencjalnych dziur?

 

Na początek zafundowałbym takiej maszynie testy penetracyjne, np. z wykorzystaniem Nessusa:

 

http://www.nessus.org

 

... potem może np. MetaSploit?

 

http://www.metasploit.com/

 

--

Pozdrawiam

 

MK

[Jarosław Szmańda 42]

Napisze co mam bo teraz przyszło mi do głowy że wypadało by dodać

 

Debian Etch 32 bit

libapache2-mod-php5

php5-mysql, mysql-server-5.0 i mysql-client-5.0

php5-gd

php5-mcrypt

 

do tego eaccelerator, proftpd, postfix

 

Porty dla SSH i FTP zmienione na wyższe.

Zastanawiam się jeszcze nad wycięciem całego ruchu w IPtables i wpuszczanie tylko z mojego IP przy próbie logowania do ssh czy ftp.

 

Jestem sam na serwerze strony trzymane w katalogu /home/user

 

Wiem że dużo zależy także od aplikacji wrzucanych na serwer, jeśli będzie plik PHP z dziurami to nie pomogą najlepsze zabezpieczenia...

 

Dodatkowo hasła AES 256 bitowe.

 

Na stacjonarnym zainstalowane Ubuntu, klienta FTP FileZilla. Tylko z tego komputera się łącze z VPSem.

 

Może zamiast autoryzacji hasłem do SSH dać autoryzację za pomocą klucza?

 

Dziękuje za odpowiedzi B)

[Mateusz Sojda 41]

Na stacjonarnym zainstalowane Ubuntu, klienta FTP FileZilla. Tylko z tego komputera się łącze z VPSem.

 

Jeśli tylko Ty korzystasz z serwera, możesz śmiało używać SFTP, który jest wspierany przez Filezillę.

[lukaschemp 27]

Nikt Ci nie napisze jak zrobić konkretnie audyt, za to się bierze bardzo duże pieniądze. Audyt dzieli się na różne typy np.:

 

- aplikacji

- sieci

- systemu

 

Takimi framework'ami jak Metasploit też trzeba umieć się obsługiwać i wiedzieć jak co działa, nie chodzi aby to tylko zainstalować i "coś" odpalić. Nie wystarczy zatroszczyć się tylko o bezpieczeństwo serwera. Jeśli masz na serwerze aplikacje webowe (lub inne - udostępniane) to też trzeba zrobić audyt kodu źródłowego itd. Jeśli nie programujesz w jakimś języku to dziur żadnych nie znajdziesz, jedynie możesz opierać swoją wiedzę na gotowych exploit'ach przez co możesz zaktualizować oprogramowanie aby nie było ono podatne na dany bug. Musisz również obrać jakąś politykę bezpieczeństwa której będziesz się trzymał.

[Jarosław Szmańda 42]

Więc tak co do systemu to wydaje mi się (aczkolwiek mogę się mylić) że jest bezpieczny - oczywiście jakiś ekspert rozłoży mnie na łopatki ale mam nadzieje że nie zrobi tego

 

Co to aplikacji to zawsze staram się korzystać z nie tyle co najnowszych a najbezpieczniejszych skryptów php - jeśli najnowszych to monitorując kanały i uaktualniając na bieżąco.

 

Co do sieci to nie wiem za bardzo co miałeś na myśli... Jeśli mam VPSa to chyba provider mi zabezpiecza tą kwestę - czy nie ten kierunek myślenia?

[lukaschemp 27]

W tym wypadku do sieci nie masz większego dostępu, ja tylko wypisałem jakie są główne rodzaje audytów. Nie ma najbezpieczniejszych skryptów/aplikacji, są tylko takie w których nie jest łatwo znaleźć lukę

[Jarosław Szmańda 42]

W sumie racja. Tak czy tak rzuca to jasne światło na moje pytania

Po części wychodzę z założenia że im mniej softu w systemie tym mniejsze szanse na znalezienie luki B)

Stąd brak binda, pop3 i niepotrzebnych bibliotek php.

 

Tak czy tak dzięki za wypowiedź, akurat z tego co widzę to jesteś ekspert w tej dziedzinie.

Szkoda że reszta znawców nic nie napisała, a parę osób tu jest obcykanych w temacie.

[lukaschemp 27]

Wnioski wysuwasz dobre, jak coś nie jest potrzebne/używane to nie trzeba instalować.

[Jarosław Szmańda 42]

Zastanawiam się jeszcze faktycznie czy nie wyrzucić ProFTPd. Ale z drugiej strony czasami daje dostęp koledze do jednej domeny i jest bezpiecznie. Tak przez sFTP dał bym mu od razu dostęp do SSH, a co za dużo to nie zdrowo

 

A co myślisz o tych pakietach z dotdeb.org?

Strasznie mnie ciekawią. Rzecz w tym ze nie mam za bardzo gdzie przetestować, ale coś pomyślę.

 

Chodzi mi po głowie Debian 5 z paczkami z tamtego repo. Co prawda trochę ryzyko dawać to na produkcyjny serwer ale przetestować warto.

Tylko nie wiem jak z ich bezpieczeństwie. Paczek Debiana jestem pewien - no na tyle na ile każdy, tam widzę że jedna osoba się tym zajmuję.

[_MK_ 23]

Zastanawiam się jeszcze faktycznie czy nie wyrzucić ProFTPd. Ale z drugiej strony czasami daje dostęp koledze do jednej domeny i jest bezpiecznie. Tak przez sFTP dał bym mu od razu dostęp do SSH, a co za dużo to nie zdrowo

 

Nie koniecznie dostep do SCP musi od razu oznaczac dostep do shell`a. Zainteresuj sie "scponly", np. tutaj jest przyklad konfiguracji dla Debiana:

http://geekzine.org/2007/09/28/easy-sftp-a...p-with-scponly/

 

--

Pozdr

 

MK

[p 3]

Jak sprawdzić na ile serwer jest bezpieczny? Gdzie szukać potencjalnych dziur?

Audyt bezpieczeństwa wykonywany przez administratora / osobę znającą system jest trochę bez sensu

 

Nikt Ci nie napisze jak zrobić konkretnie audyt, za to się bierze bardzo duże pieniądze. Audyt dzieli się na różne typy np.:

- aplikacji

- sieci

- systemu

A gdzie tu defence in depth? B)

 

Zastanawiam się jeszcze faktycznie czy nie wyrzucić ProFTPd. Ale z drugiej strony czasami daje dostęp koledze do jednej domeny i jest bezpiecznie. Tak przez sFTP dał bym mu od razu dostęp do SSH, a co za dużo to nie zdrowo

Nie dawałbyś mu, już kiedyś o tym pisałem... Poszukaj w archiwum, bo nie chce mi się powtarzać.

 

Nie koniecznie dostep do SCP musi od razu oznaczac dostep do shell`a. Zainteresuj sie "scponly", np. tutaj jest przyklad konfiguracji dla Debiana:

http://geekzine.org/2007/09/28/easy-sftp-a...p-with-scponly/

Po co? Wystarczy umieć skonfigurować usługi, które się udostępnia...

[kafi 2425]

Zastanawiam się jeszcze faktycznie czy nie wyrzucić ProFTPd. Ale z drugiej strony czasami daje dostęp koledze do jednej domeny i jest bezpiecznie. Tak przez sFTP dał bym mu od razu dostęp do SSH, a co za dużo to nie zdrowo

 

Przy odpowiedniej konfiguracji jak najbardziej możesz mu ustawić powłokę logowania na /bin/false B) a dostęp sFTP będzie możliwy

[sorrow 0]

Moja rada wywal wszystko czego nie używasz czego aż tak nie potrzebujesz najlepiej mieć otwarty port tylko 80 daj dostępny np na ftp tylko na swoją podsieć i niwelujesz możliwość ataku o kilkadziesiąt procent

 

Załguj się na konto danej usługi i zobacz co możesz a czego nie

 

PHP wyłącz funkcje

disable_functions=exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl
_multi_exec,parse_ini_file,show_source

 

Użyj jakiegoś encodera niektóre mają taka funkcje iż wykonują jedynie kod podpisany na daną maszynę, eliminujesz wtedy exploity etc

Ftp - są takie narzędzia co blokują dostęp po kilkunastu próbach nieudanego dostępu

Tcp - tcp spoofing zmiana odcisku tcp na taki iż skanując nesusem pokazuje windows server 2003 B)

Apache - Modsecurity zmień w mod security apache banner na np IIS

Apache - wywal błąd 403 Forbiden zastępujące go 404 - skanery wtedy uznają iż danego skryptu nie ma serwerze

Sprawdź prawa dostępu do logowania zdalnego, przypisz osobny adres IP oraz zmień port

 

Unix - zainstaluj jakiśeś narzędzie do wykrywania rootkitów

 

A reasumując testy i jeszcze raz testy np.

 

http://antivir-polska.info/

 

Dla tej witryny co masz w stopce zmień NS

 

fns1.sgh.waw.pl

 

Pamiętam jak Xname.org miało DDOS i przez 2 dni miałem ładnego pada

 

 

http://uptime.netcraft.com/up/graph?site=antivir-polska.info

 

 

Apache/2.2.3 (Debian) PHP/5.2.0-8+etch15

 

- Pokazujesz wszystko jak na dłoni

- Zmień w ApacheServerTokens Prod

 

 

W źródle strony masz

 

<meta name="generator" content="WordPress 2.7.1" /> <!-- leave this for stats -->

 

Wpisujesz na google i włala

 

http://www.google.pl/search?hl=pl&q=Wo...=Szukaj&lr=

 

Wchodząc na buq: http://antivir-polska.info/start/

 

 

Ten wpis jest zabezpieczony hasłem

http://antivir-polska.info/wp-admin/

http://forum.antivir-polska.info/admin/

 

Zabezpiecz dodatkowo te foldery hasłem autoryzacja basic realm

 

Wywal z wordpressa zawsze było w tych plikach dużo dziur:

 

xmlrpc.php

wp-trackback.php

 

Wordpres ma także teraz automatyczną zaktualizacja bardzo przydate

 

 

Wywali pokazywanie zródła katalogu:

 

http://antivir-polska.info/wp-content/uploads/

[Jarosław Szmańda 42]

O coś takiego mi chodziło

Rady porobione.

 

Czyli zmienić FreeDNS na OVH?

[sorrow 0]

W sumie jak korzystasz z NS darmowych to miej np 3 na innych serwerach ja mam automatyczne z home.pl i właa

[egi.pl 0]

Ja z kolei radze wyrzucic wszystkie banery informujace o wersji oprogramowania, dodanie kanalow RSS np. milw0rma, securityfocus itp.. , ustawienie regulek firewalla i np. demona kontroli auditd - ogolnie trzeba trzymac reke na pulsie;-).

Jak juz wspomnial ktos wczesniej, zawsze istnieje potencjalne ryzyko na wlamanie. Bardzo dobrym sposobem lagodzenia skutkow incydentu jest ograniczanie uprawnien procesu (np. SELinux) lub/i separacja procesow (np. VServer).

Pozdrawiam

[www.ionic.pl 535]

Jak juz wspomnial ktos wczesniej, zawsze istnieje potencjalne ryzyko na wlamanie. Bardzo dobrym sposobem lagodzenia skutkow incydentu jest ograniczanie uprawnien procesu (np. SELinux) lub/i separacja procesow (np. VServer).

 

Dokładnie nie zostawiać informacji o sofcie, firewall z mądrym systemem logów, httpd/php włączone to czego na prawdę potrzebujesz + open_base_dir i wyciąć wszystkie funkcje uznawane za "groźne". /tmp zabezpiecz - jak jest partycją, a tak wogóle to się nie da w 2-3 zdaniach

p.s. selinux może nie być dobrym rozwiązaniem dla początkujących, lubi być upierdliwy.

p.s.2 możesz też pomyśleć np. nad fail2ban lub coś podobnego.

p.s.3 ssl dla ftp poczty itd.