HETZNER.de - Managed Server MS

[ertcap 0]

Tak, bezpieczenstwo przede wszystkim, ale nie popadajmy w skrajnosc.

99% wlaman odbywa sie od wewnatrz wiec wystarczy nikogo do srodka nie dopuscic i juz mamy dosc bezpieczny serwer

 

doopy, jesli chcesz miec wlasny serwer na strony to:

1. wycinasz na firewallu wszystkie uslugi, zostawiasz tylko apache'a i ssh

2. dns - trzymaj sobie u jakiegos operatora (masz przeciez wykupione hostingi w roznych miejscach:))

3. poczta - jw.

4. ssh - koniecznie na jakis wysoki port i na firewallu dostep tylko z wybranych ip.

5. baza - koniecznie wycieta na firewallu

6. pozostaje apache:

a) wywalasz ustrojstwa typu cgi i ssi

php - ustawiasz w php.ini blokade na wszystkie funkcje sluzace do wykonywania programow (no i dl() o ktorej duzo osob zapomina:))

c) dla kazdej wirtualki ustawiasz open_basedir na jej katalog www

7. ustaw jeszcze brak mozliwosci bezposredniego logowania na roota

8. Jesli masz jakis panel to tez go wytnij na firewallu (dostep tylko dla siebie).

 

I majac tak skonfigurowany serwer mozesz trzymac dziurawe jajko, oraz na grupach dla h4x0r0w podac haslo na roota i adres ip swojego serwera

Musisz pozniej tylko dbac o aktualizacje oprogramowania i to generalnie wszystko. Nawet jak na Twoim serwerze znajdzie sie jakas dziurawa strona (z kwiatkami typu include $zmienna) to i tak nikt Ci nic nie zrobi (oprocz popsucia dziurawej strony:))

 

pzdr.

[beliq 442]

Tak, bezpieczenstwo przede wszystkim, ale nie popadajmy w skrajnosc.

99% wlaman odbywa sie od wewnatrz wiec wystarczy nikogo do srodka nie dopuscic i juz mamy dosc bezpieczny serwer

 

doopy, jesli chcesz miec wlasny serwer na strony to:

1. wycinasz na firewallu wszystkie uslugi, zostawiasz tylko apache'a i ssh

2. dns - trzymaj sobie u jakiegos operatora (masz przeciez wykupione hostingi w roznych miejscach:))

3. poczta - jw.

4. ssh - koniecznie na jakis wysoki port i na firewallu dostep tylko z wybranych ip.

5. baza - koniecznie wycieta na firewallu

6. pozostaje apache:

a) wywalasz ustrojstwa typu cgi i ssi

php - ustawiasz w php.ini blokade na wszystkie funkcje sluzace do wykonywania programow (no i dl() o ktorej duzo osob zapomina:))

c) dla kazdej wirtualki ustawiasz open_basedir na jej katalog www

7. ustaw jeszcze brak mozliwosci bezposredniego logowania na roota

8. Jesli masz jakis panel to tez go wytnij na firewallu (dostep tylko dla siebie).

 

I majac tak skonfigurowany serwer mozesz trzymac dziurawe jajko, oraz na grupach dla h4x0r0w podac haslo na roota i adres ip swojego serwera

Musisz pozniej tylko dbac o aktualizacje oprogramowania i to generalnie wszystko. Nawet jak na Twoim serwerze znajdzie sie jakas dziurawa strona (z kwiatkami typu include $zmienna) to i tak nikt Ci  nic nie zrobi (oprocz popsucia dziurawej strony:))

 

pzdr.

 

To tak na początek, bo na dłuższą metę bez sensu jest inwestować w

serwer dedykowany jeśli prawie nic na nim nie będzie działać.

[Konrad.K 0]

To co napisales @ertcap wykluczylo by dzialanie mojej strony, poniewaz wlasnie dla polowy z tych rzeczy inwestowalem w dedyka :/

[ertcap 0]

bo na dłuższą metę bez sensu jest inwestować w

serwer dedykowany jeśli prawie nic na nim nie będzie działać.

Dlaczego bez sensu?

Dzialanie serwisow www nazywasz "prawie nic nie dziala"?

A po cholere poczta, dnsy na takim serwerze? Nie kazdy serwer to wszystko w jednym (poczta+www+sql+dns+panel+serwery gier+itd.).

Jak Ci serwis www bedzie generowal 500GB ruchu, to nie bedziesz myslal o serwerze dedykowanym, poniewaz np. nie wykorzystujesz poczty?

 

pzdr.

[Konrad.K 0]

czyli jedyna opcja sa tak ogromne inwestycje ? w przeciwnym wypadku mam sie liczyc z tym ze sam update zabezpieczen da mi tyle ze pozegnam sie ze stronami na serwerze ? ;/

[ertcap 0]

Jakich opcji? Poczta, dns? Da sie z tym pracowac (po prostu trzeba tez to troche pozabezpieczac i ma sie pozniej wiecej rzeczy do latania). Wiesz, czym mniej uslug na serwerze, tym mniejsze prawdopodobienstwo wystapienia dziury i udanego ataku, ale to nie znaczy, ze serwer ma tylko na pingi odpowiadac a reszta bedzie wycieta na firewallu

Odpalanie programow z poziomu phpa? A po cholere Ci to?

 

pzdr.

[beliq 442]

Dlaczego bez sensu?

Dzialanie serwisow www nazywasz "prawie nic nie dziala"?

A po cholere poczta, dnsy na takim serwerze? Nie kazdy serwer to wszystko w jednym (poczta+www+sql+dns+panel+serwery gier+itd.).

Jak Ci serwis www bedzie generowal 500GB ruchu, to nie bedziesz myslal o serwerze dedykowanym, poniewaz np. nie wykorzystujesz poczty?

pzdr.

Wiesz, ja po prostu wychodzę z założenia, że jak się ma już serwer...

to po coś, zaś daemon www nie jest jedyny.

Doopy ma niezbyt wymagającą stronę(wnioskuję po jego postach)

i co? ma się reszta mocy obliczeniowej marnować?

Nie jestem co prawda zwolennikiem średniego użycia CPU oscylującego

w okolicach 90-100%, ale bez jaj... Jak się już ma własną maszynę,

to czy nie lepiej się czegoś nauczyć i wykorzystać jej moc?

Tym bardziej iż ma się wtedy większe pole manewru.

A może lepiej z góry założyć: "nie umiem,więc nie robię"?

Jest Pan Google, więc nikt mi nie powie, że o wiedzę trudno!

[T 6]

doopy, jesli chcesz miec wlasny serwer na strony to:

1. wycinasz na firewallu wszystkie uslugi, zostawiasz tylko apache'a i ssh

Bzdura. Firewall nie służy do wycinania działających usług! To jeden z bardziej szkodliwych mitów powtarzanych bezmyślnie od lat. Niepotrzebne usługi nalezy _wyłączyć_. Firewallem można np. ograniczyć dostęp do usług, które np. nie są udostępniane użytkownikom (jak wspomniane dalej SSH).

2. dns - trzymaj sobie u jakiegos operatora (masz przeciez wykupione hostingi w roznych miejscach:))

Bind nie cierpi raczej na częste błędy krytyczne, po za tym można spokojnie użyć standardowej wersji z danej dystrybucji i aktualizować automatycznie.

4. ssh - koniecznie na jakis wysoki port i na firewallu dostep tylko z wybranych ip.

Po co na wysoki port, jak będzie filtrowane?

baza - koniecznie wycieta na firewallu

Nie wycięta na firewallu, tylko nasłuchująca wyłącznie na interfejsie lokalnym.

I majac tak skonfigurowany serwer mozesz trzymac dziurawe jajko, oraz na grupach dla h4x0r0w podac haslo na roota i adres ip swojego serwera

BREDNIE. O remote bugach nie słyszałeś?

[Konrad.K 0]

Musze miec dnsy u siebie na bindzie, musze miec sqla, musze miec wieszkosc uslug php w demon tez jest potrzebny. Gdybym potrzebowal samego hositngu apache z oganiczonymi mozliwosciami dalej siedzial bym na moim home.pl hehe :-) Kupilem poniewaz potrzebuje wiekszej swobody niz na hostingu, a nie dlatego zeby wszystko sobie ograniczyc :-) Rozumeim jaka tki w tym magia, im wiecej wylaczysz tym mniej mozliwosci, ale nie da sie zwyczajnie zalatac dzioor, albo wylaczyc wszystkie nie uzywane porty itp ? no ale @bellerofont ma tez racje, nie wykorzystuje nawet 50 % dostepnych zasobow dlatego mialem w planach zasponsorowac kilka ciekawych serwisow, bo tak czy siak sie duzo marnuje. Więc z tego co widze to jedynym rozwiązaniem jest taka inwestycja co miesiac... jak bym prowadzil hosting to by bylo oczywiste, jednak bylem przekonany ze pare serwisow, nie bedzie wymagalo stalej opieki admina, tylko wystarcza jego odwiedziny raz w miesiacu zeby zrobic update :/

 

Wysłany Nie Sty 22, 2006 3:08 am:

 

@Neas - to co radzisz w moim przypadku ? to chyba zrozumiale ze nie moge wrzucic tyle pieniedzy w opacanie admina 24h na dobe... wrzcuanie 1500 zł miesiecznie w nie-dochodowy serwis było by troche głupotą... help;/

[ertcap 0]

Wiesz, ja po prostu wychodzę z założenia, że jak się ma już serwer... to po coś, zaś daemon www nie jest jedyny.

Ja za to wychodze z zalozenia, ze na maszynach produkcyjnych chodzimy na paluszkach i nie ma tam prawa znalezc sie kilobajt niepotrzebnych danych (a juz bron Boze uruchomiony i sluchajacy na jakims porcie, gdzie admin sie uczy i mogl cos zwalic w konfiguracji)

Doopy ma niezbyt wymagającą stronę(wnioskuję po jego postach)

Jesli ma niewymagajaca (czego nie wiem) to imho bez sensem bylo kupowanie serwera dedykowanego.

to czy nie lepiej się czegoś nauczyć i wykorzystać jej moc?

IMHO do uczenia jest komp w domu a nie serwer w jakims centrum, gdzie na 99% nie ma wykupionej zdalnej konsoli. Juz widze, jak ktos sie uczy na czyms takim (pozniej ktos zyczliwy zalatwi go tak jak zalatwil synca (slynne sprawdzenie jakie pakiety sa zainstwalone poprzez klepniecie .r.m .-.r.f / )))

 

Rozumiem Twoje podejscie, ale po prostu w 100% sie z nim nie zgadzam

 

Bzdura. Firewall nie służy do wycinania działających usług! To jeden z bardziej szkodliwych mitów powtarzanych bezmyślnie od lat. Niepotrzebne usługi nalezy _wyłączyć_.

Zgadza sie, zle sie wypowiedzialem.

Bind nie cierpi raczej na częste błędy krytyczne, po za tym można spokojnie użyć standardowej wersji z danej dystrybucji i aktualizować automatycznie.

Co nie zmienia faktu, ze czym mniej uslug tym lepiej i juz.

Po co na wysoki port, jak będzie filtrowane?

Czym wiecej zabezpieczen to lepiej i nigdy nie opierac sie na jednym zabezpieczeniu (wypowiedz lcamtufa bodajze).

BREDNIE. O remote bugach nie słyszałeś?

Nie

A Ty slyszales co znaczy srednik i zamykajacy nawias postawione kolo siebie?

<ot bezurazy>Generalnie nie denerwuj sie tak Neas, jestes rozsadnym czlowiekiem ale czasami widze (m.in. na polipie), zes strasznie narwany jestes Szkoda nerwow chlopie </ot>

 

Kupilem poniewaz potrzebuje wiekszej swobody niz na hostingu, a nie dlatego zeby wszystko sobie ograniczyc

[ciach]

to chyba zrozumiale ze nie moge wrzucic tyle pieniedzy w opacanie admina 24h na dobe... wrzcuanie 1500 zł miesiecznie w nie-dochodowy serwis było by troche głupotą... help;/

Widze, ze nie wiesz czego chcesz to zatrudnij admina.

Za 200-300 zl miesiecznie powinienes kogos znalezc, kto Ci raz skonfiguruje serwer i bedzie go tylko pozniej dogladal (poprawki+naprawa jak cos sie sypnie).

Idz na wht.com - tam znajdziesz oferty tego typu ludzi.

 

pzdr.

[T 6]

@Neas - to co radzisz w moim przypadku ? to chyba zrozumiale ze nie moge wrzucic tyle pieniedzy w opacanie admina 24h na dobe... wrzcuanie 1500 zł miesiecznie w nie-dochodowy serwis było by troche głupotą... help;/

1. Powyłączaj wszystkie usługi które nie będą Ci potrzebne (zahashuj odpowiednie wpisy w skryptach startowych, inetd.conf, gdziekolwiek), a najlepiej wręcz pousuwaj zbędne pakiety z serwera

2. Te których potrzebujesz skonfiguruj tak, żeby były możliwe trudno dostepne bez ograniczenia funkcjonalności, a w szczególności:

- Pozwól na połączenia z SSH wyłącznie z Twoich adresów IP

- Niech SQL nasłuchuje tylko na interfejsie lokalnym

3. Naucz się porządnie konfiguracji apache/php i aktualizuj na bieżąco (ten tandem to wielka kobyła w której groźne błędy pojawiają się dość często)

4. Naucz się konfigurować i kompilować jądro, w szczególności powyrzucaj z niego wszystko, co nie jest Ci potrzebne, spatchuj np. grsec (i skonfiguruj je sensownie) no i dbaj, żeby kernel był aktualny (tutaj też czesto pojawiają się bugi)

5. Programy, które kompilowałes ręcznie stale monitoruj i aktualizuj, te, które masz z pakietów możesz codziennie aktualizować automatycznie

6. Niech daemony nie działają z prawami roota, tylko zwykłego użytkownika

 

Tyle na początek

 

Wysłany 22/1/2006, 03:29:

 

Po co na wysoki port, jak będzie filtrowane?

Czym wiecej zabezpieczen to lepiej i nigdy nie opierac sie na jednym zabezpieczeniu (wypowiedz lcamtufa bodajze).

To stwierdzenie jest prawdziwe, ale umieszczenie SSH na niestandardowym porcie nie jest zabezpieczeniem. Jeśli ktoś będzie chciał je znaleźć to znajdzie obojętne na jakim porcie będzie -- co za różnica?

 

<ot bezurazy>Generalnie nie denerwuj sie tak Neas, jestes rozsadnym czlowiekiem ale czasami widze (m.in. na polipie), zes strasznie narwany jestes Szkoda nerwow chlopie </ot>

Nie denerwuję się, prostuję tylko.

[beliq 442]

...

A ja się nie zgadzam z Twoim podejściem.

Doopy ma serwer, więc powinien się uczyć jak zrobić z niego twierdzę,

a nie używać szablonowych, często błędnych rozwiązań

(użytkownik Neas zechiał wytknąć Ci błędy, zaś ja tylko ograniczyłem

się do stwierdzenia "to na początek").

Lepiej się skupić na maksymalnym, optymalnym i bezpiecznym wykorzystaniu

maszyny niż na kopiowaniu czyichś rad, bo jak się tematu nie zrozumie,

to się go nijak nie okiełzna.

Być może to Neas jest narwany, ale ja też zaczynam się tak czuć,

więc lepiej będzie jeśli do rana zamknę okno przeglądarki.

Dobranoc root'om...

[jasina 0]

Może teraz ja sie wypowiem bo w końcu to ja założłem ten temat

Ja potrzebuje serwera dedykowanego do nowego systemu (nie bede zdradzał szczegółów), który będzie co minute w Croie odpalał kilkanaście skryptów obrabiających pliki tekstowe, z niektórych skryptów beda korzystały zewnętrzne serwisy... dlatego własnie potrzebuje dedyka, oczywiście transferu za dużo wykorzystywał nie bede moze z 20gb ale potrzebuje mocy obliczeniowej.

Oczywiście głupotą byloby kupowanie serwera dydekowanego za Xzł i płacenie dodatkowo 3Xzł za admina ponieważ ja na tym systemie nie bede nic zarabiał.

[Konrad.K 0]

Widze, ze nie wiesz czego chcesz to zatrudnij admina.

Wiem czego chce, i do czego potrzebuje tej maszynki.

 

Za 200-300 zl miesiecznie powinienes kogos znalezc, kto Ci raz skonfiguruje serwer i bedzie go tylko pozniej dogladal (poprawki+naprawa jak cos sie sypnie).

 

Serwer mam juz skonfigurowany, jednak jak napisalem czy w moim przypadku wystarczy takie rozwiązanie, to @adamszendzielorz stwierdzil ze to zle rozwiazanie, bo chce sie skupic na leczeniu skutkow a nie przyczyn...

 

Czyli podsumowujac - wystarczy mi co miesieczne auktualizowanie zabezp. przez admina i wykonanie porad zaproponowanych przez @neas ?

[pug123 0]

[

Ale system zeby byl bezpieczny, musi byc monitorowany / paczowany na biezaco. Za jakie interwencje chcesz placic ? Za rozwiazywanie problemow z wlamami ? Chcesz leczyc skutki, nie przyczyny! To duzy blad

pozdr.

 

Dokladnie tak:)

 

opcja 1) Robisz cos sam, moze sie uda, moze nie. Moze podczas kombinowania z firewallem wedlug porad niektorych zablokujesz przez przypadek wszystko, ale wtedy prosze rob to przez jakis czas, np. rok tylko dla siebie, nie testuj tego na klientach :roll:

 

opcja 2) Placisz adminowi za bieżące monitorowanie, patchowanie serwera.

 

Podejrzewam,ze interesuje cie opcja nr 1 wiec lepiej w tej dyskusji nie uczestniczyc tylko od razu wejsc np. na www.jtz.org.pl i zaczac czytac dokumenty howto do usług których potrzebujesz :-)

 

W momencie kiedy bedzie dla Ciebie dokladnie zrozumiale o czym pisze Neas,Ertcap i bedziesz mogl podejsc krytycznie do ich postow to bedzie mniej wiecej znaczylo,ze mozesz spokojnie konfigurowac swoj serwer :-)

 

@doopi: Zadania administratora (twoje lub kogos jesli nie placisz komus)

 

1) aktualizacja bieżąca softu

2) codzienne monitorowanie serwera, śledzenie logów i podejmowanie odpowiednich działan w zależności od wykrytych anomalii

3) aktywne śledzenie grup bugtraq takich jak np. www.securityfocus.com

 

pozdr

[beliq 442]

@adamszendzielorz stwierdzil ze to zle rozwiazanie, bo chce sie skupic na leczeniu skutkow a nie przyczyn...

Wiesz Doopy... ja co prawda nie uważam siebie za 1-szo ligowego root'a,

ale albo zasługujesz na systemowe określenie "superuser" albo nie.

Serwera trzeba ciągle doglądać pod kontem róznych anomalii,

a bezpieczeństwo jest jak walka ze spamem; ciągle się trzeba dokształcać

w tym względzie by być na czasie.

Ty się chyba skupiasz raczej na metodach wykorzystania

maszyny, a ja np. robie strasznie obrzydliwe strony www,

których się wrecz nie da oglądać, ale cały swój wolny czas poświęcam

na szukanie nowych informacji odnośnie: Debiana, ogólnie teorii Linuksa i bezpieczeństwa.

Taki właśnie ktoś jest potrzebny do pilnowania każdego systemu,

bo przecież jak jesteś zawziętym webmasterem to już nie masz czasu

na porządne zajęcie się innymi rzeczami.

 

Czyli podsumowujac - wystarczy mi co miesieczne auktualizowanie zabezp. przez admina i wykonanie porad zaproponowanych przez @neas ?

Moim zdaniem Neas nie podał Ci recepty,

a jedynie ilość "działów" którymi masz się zainteresować,

bo rozwinięciem połowy z jego podpunktów jest 10 następnych,

ale nie zniechęcaj się.

Odłóż na trochę swoje strony , pomęcz Pana Google i dasz radę.

Mogę Ci jakieś linki podesłać... mam w ulubionych ponad 200 pozycji( robię z nich backup. )

[Konrad.K 0]

Ahh, mozesz podeslac... A do moich potrzeb to ile kosztowala by pomoc admina ;/ Bo ja wiecie nie mozna byc dobrym we wszystkim :-) Z obslugi tego dedyka znam tylko podstawy, typu podstawowe operacje na plikach, restart apache, binda i calego serwera, tal zeby radzic sobie przy zawieszkach ;/

[shive 0]

Mogę Ci jakieś linki podesłać... mam w ulubionych ponad 200 pozycji( robię z nich backup )

 

Ja poproszę

[beliq 442]

@Doopy&Shive: No dobra. Ale co konkretnie chcecie? Wyślijcie mi PW,

a jak będę miał chwilę czasu(pewnie wieczorem),

to wam coś wynajdę.

 

@Doopy: Nie mam pojęcia ile to będzie kosztowało,

aczkolwiek na pewno najtaniej Ci wyjdzie jeśli masz jakiegoś

kolegę co się tym zajmuje. Ogłoś przetarg w dziale oferty.

[Konrad.K 0]

Mówisz masz :-) http://www.webhostingtalk.pl/viewtopic.php...p?p=22407#22407

[beliq 442]

Mówisz masz :-)http://www.webhostingtalk.pl/viewtopic.php?p=22407#22407

Super. Najbardziej podoba mi się ostatni podpunkt: "Jestem Kasia i..." :-D

[Konrad.K 0]

Niestety są i takie przypadki więc lepiej sie zabezpieczyć