Skocz do zawartości
Zaloguj się, aby obserwować  
Nmar

Różnice w zabezpieczaniu vps na xen i openvz

Polecane posty

Hej, jakie są różnice pod względem tzw. hardeningu na tych dwóch wirtualizacjach? Rozumiem, że na openvz nie da się modyfikować kernela ale to mnie akurat nie interesuje. Pytam o takie standardowe procedury typu zabezpieczenie ważnych katalogów czy plików typu sysctl.conf. Robi się to tak samo jak na Xen / KVM czy są jakies różnice?

Edytowano przez Nmar (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Różnice są zasadniczo trzy, wszystkie IMHO ważne:

 

- kontrola nad kernelem ( moduły, sysctl etc. )

- kontrola nad falgami montowania udziałów

- kontrola nad zaporą

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

I jeszcze jedna, możliwość kontroli nad blokowaniem "backdorów" dostępu do vpsa z pominięciem autoryzacji (vzctl enter, xm console itp)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jeśli chcesz mieć naprawdę dobrze zabezpieczony system to bez modyfikacji kernela z jakąś łatką grsecurity się nie obejdzie :).

 

Jeśli masz VPS na OpenVZ to jedyne co możesz zrobić z kernelem to właśnie ustawić parę opcji sysctl, a i tak tak naprawdę nie masz dostępu do wielu ważnych rzeczy.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys
Jeśli chcesz mieć naprawdę dobrze zabezpieczony system to bez modyfikacji kernela z jakąś łatką grsecurity się nie obejdzie

Obejdzie się bez grsecurity, druga sprawa że większość osób korzystających z tej łatki nie zna znaczenia w kompilowanych/ustawionych opcji.

Jeśli masz VPS na OpenVZ to jedyne co możesz zrobić z kernelem to właśnie ustawić parę opcji sysctl, a i tak tak naprawdę nie masz dostępu do wielu ważnych rzeczy.

W kontenerze OVZ działa systctl ?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Owszem działa, ale nie wszystko. Możesz ustawić tylko kilka opcji, ale tych globalnych ruszyć nie idzie.

 

Zaraz znajdę gdzieś configa...

 

# Avoid a smurf attack

net.ipv4.icmp_echo_ignore_broadcasts = 1

 

# Turn on protection for bad icmp error messages

net.ipv4.icmp_ignore_bogus_error_responses = 1

 

# Turn on syncookies for SYN flood attack protection

net.ipv4.tcp_syncookies = 1

 

# Turn on and log spoofed, source routed, and redirect packets

net.ipv4.conf.all.log_martians = 1

net.ipv4.conf.default.log_martians = 1

 

# No source routed packets here

net.ipv4.conf.all.accept_source_route = 0

net.ipv4.conf.default.accept_source_route = 0

 

# Turn on reverse path filtering

net.ipv4.conf.all.rp_filter = 1

net.ipv4.conf.default.rp_filter = 1

 

# Make sure no one can alter the routing tables

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.default.accept_redirects = 0

net.ipv4.conf.all.secure_redirects = 0

net.ipv4.conf.default.secure_redirects = 0

 

# Don't act as a router

net.ipv4.ip_forward = 0

net.ipv4.conf.all.send_redirects = 0

net.ipv4.conf.default.send_redirects = 0

 

 

# Turn on execshild

#ACCESS kernel.exec-shield = 1

kernel.randomize_va_space = 1

 

# Tuen IPv6

net.ipv6.conf.default.router_solicitations = 0

net.ipv6.conf.default.accept_ra_rtr_pref = 0

net.ipv6.conf.default.accept_ra_pinfo = 0

net.ipv6.conf.default.accept_ra_defrtr = 0

net.ipv6.conf.default.autoconf = 0

net.ipv6.conf.default.dad_transmits = 0

net.ipv6.conf.default.max_addresses = 1

 

# Optimization for port usefor LBs

# Increase system file descriptor limit

#ACCESS fs.file-max = 65535

 

# Allow for more PIDs (to reduce rollover problems); may break some programs 32768

kernel.pid_max = 65536

 

# Increase system IP port limits

#ACCESS net.ipv4.ip_local_port_range = 2000 65000

 

# Increase TCP max buffer size setable using setsockopt()

#ACCESS net.ipv4.tcp_rmem = 4096 87380 8388608

#ACCESS net.ipv4.tcp_wmem = 4096 87380 8388608

 

# Increase Linux auto tuning TCP buffer limits

# min, default, and max number of bytes to use

# set max to at least 4MB, or higher if you use very high BDP paths

# Tcp Windows etc

 

# Permission Denied

#ACCESS net.core.rmem_max = 8388608

#ACCESS net.core.wmem_max = 8388608

#ACCESS net.core.netdev_max_backlog = 5000

#ACCESS net.ipv4.tcp_window_scaling = 1

#ACCESS kernel.panic = 10

 

 

 

Te z dopiskiem #ACCESS nie działały na OpenVZ. Oczywiście to tylko przykład i konfiguracje mogą się różnić.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys

A fakt, pomieszało mi się i można ustawić kilka naprawdę pożytecznych rzeczy które pokazałeś wyżej.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×