Jak dobrze zabezpieczyc serwer?

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

Awatar użytkownika
wojtekor
Użytkownik
Posty: 434
Rejestracja: 2007-08-24, 00:28
Lokalizacja: Edinburgh
Kontakt:

Jak dobrze zabezpieczyc serwer?

Post autor: wojtekor » 2008-12-20, 06:32

No wlasnie, pytanie to kieruje glownie do adminow tego forum, jakoze jest domem dla wielu geekow ;), oraz podobnych. Generalnie do adminow serwisow ktore sa skierowane do ludzi w znacznej czesci z komputerami obeznanymi.
Jak i czym dobrze zabezpieczyc serwer przed ewentualnymi atakami domowych hackerow?
linux registered user # 447967
linux registered machine # 354787

Awatar użytkownika
Flash
Użytkownik
Posty: 633
Rejestracja: 2004-11-09, 18:14
Lokalizacja: Myszkow
Kontakt:

Re: Jak dobrze zabezpieczyc serwer?

Post autor: Flash » 2008-12-20, 10:15

To zależy w jakim stopniu chcesz zabezpieczyć. To jest kompromis pomiędzy bezpieczeństwem a użytecznością. Podstawą do zabezpieczenia dla mnie jest tekst Jeffrey'a Dentona, jest on w sumie dla Slackware 10.2 ale większość z tych żeczy się nie zmienila.
Polecam w google "Slackware system hardening".

Awatar użytkownika
Outlaw
Administrator
Posty: 2861
Rejestracja: 2004-06-29, 22:23
Lokalizacja: eth0
Kontakt:

Re: Jak dobrze zabezpieczyc serwer?

Post autor: Outlaw » 2008-12-20, 10:38

Dokładniej: http://chessgriffin.com/files/docs/system-hardening.txt ;) Poza tym odpowiednie restrykcje w jak konfigurujesz apache czy ftp i powinno stykać przeciw domowym hakerom ;)

Awatar użytkownika
wojtekor
Użytkownik
Posty: 434
Rejestracja: 2007-08-24, 00:28
Lokalizacja: Edinburgh
Kontakt:

Re: Jak dobrze zabezpieczyc serwer?

Post autor: wojtekor » 2008-12-20, 11:25

molto dzieki :) zabieram sie do lektury
linux registered user # 447967
linux registered machine # 354787

Awatar użytkownika
ondreyos
Użytkownik
Posty: 331
Rejestracja: 2007-11-01, 17:31
Lokalizacja: Poznań

Re: Jak dobrze zabezpieczyc serwer?

Post autor: ondreyos » 2008-12-20, 23:18

takie moje male uzupelnienie do linka podanego przez Outlawa - trick strasznie prosty, a zarazem super skuteczny. prawie kazdy serwer ma odpalone ssh. wprawdzie jak ma sie dobre haslo i zablokowane logowanie na root'a to szanse na wlam sa niskie, ale nie uniemozliwia to samych prob zalogowania. zauwazylem, ze nieraz po nocce mialem po kilka tysiecy prob wejscia, zarowno na roota, jak i na innych roznych uzytkownikow - wygladalo jakby lecieli slownikiem (logowanie na alice, ann, albert itd - oczywiscie tacy u mnie w systemie nie istnieli).

a wystarczy zmienic port na jakim nasluchuje ssh - np. z 22 na 22022 (tak jest u mnie). i od kilku miesiecy nie znalazlem w logach zadnego sladu po probie logowania. port lepiej jest podac z gornych rejonow, nieraz "hakerzy" skanuja porty i moga namierzyc, jesli przeniesiesz np. na port 40 ;)

largo3
Moderator
Posty: 1297
Rejestracja: 2006-06-11, 11:08

Re: Jak dobrze zabezpieczyc serwer?

Post autor: largo3 » 2008-12-21, 00:13

Mojego SSH na porcie 666 nigdy nie znaleźli. :devil:
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity.
-- Dennis Ritchie
Linux Registered User #419452

Awatar użytkownika
Outlaw
Administrator
Posty: 2861
Rejestracja: 2004-06-29, 22:23
Lokalizacja: eth0
Kontakt:

Re: Jak dobrze zabezpieczyc serwer?

Post autor: Outlaw » 2008-12-21, 00:14

ondreyos pisze:moga namierzyc, jesli przeniesiesz np. na port 40
Dobry admin nie przenosi usług na porty 1-1024 bo są one zarezerowane i jeśli przeniesiesz na któryś z nich to może coś przestać działać poprawnie ;) Oczywiście to w skrajnych przypadkach, jak przeniesiesz np na 80 :) Reguła stałych portów przypisanych do odpowiednich usług jednak istnieje i nie powinno się tak robić

Awatar użytkownika
xil
Moderator
Posty: 861
Rejestracja: 2004-06-20, 22:20
Lokalizacja: Białystok
Kontakt:

Re: Jak dobrze zabezpieczyc serwer?

Post autor: xil » 2008-12-21, 03:07

jejku.
po pierwsze ten tekst o hardeningu slackware ma juz kope lat i ma sie nijak to rzeczywistosci dziasiaj.
po drugie - jak ktos napisal, ze przenoszenie portu ssh jest straszne, bo natywny ma byc 22.

co do 1) - czynnosci tam opisane sa logiczne itd, ale spektrum rzekomego ataku na system jest juz w tej chwili bardziej szerokie. zamykanie w klatkach demonow takze nie jest takie hop-hop. nie umniejszam roli rzeczy tam opisanych, ale generalnie - to nie w tych ciekawostkach i trickach bezpieczenstwo jest naruszane w tej chwili. teraz wszelakie bledy innej masci kroluja i firewall na maszynie produkcyjnej ma malo do powiedzenia.

co do 2) mowiono, ze przenoszenie portu jest z punktu widzenia bezpieczenstwa zadna zmiana i zadnym zabezpieczeniem. to jest prawda, bo ataki na 22 port nie sa nowoscia od dawna (te glupie proby lamania hasla). przenoszenie na porty ponizej 1024 nie jest takie bez sensu

ponizej porty, ktore sie doskonale do tego nadaja:

Kod: Zaznacz cały

work-sol        400/tcp    #Workstation Solutions
work-sol        400/udp    #Workstation Solutions
sfs-smp-net     451/tcp    #Cray Network Semaphore server
sfs-smp-net     451/udp    #Cray Network Semaphore server
sfs-config      452/tcp    #Cray SFS config server
sfs-config      452/udp    #Cray SFS config server
i najlepszy - 443 - nie blokowany w firmach itd. idealny jesli nie masz https prawdziwego na serwerze. do tego jako jeden z nielicznych w nawet ostrej polityce bezpieczenstwa jest otwarty.

to jest tylko atrapa - przeniesie portu na inny zabezpiecza przed botami, ktore jesli sie ma ssh na 22 rowno wypelniaja logi. nic z bezpieczenstwa sie nie zyskuje, ale zyskuje sie swiety spokoj w logach.
Ostatnio zmieniony 2008-12-21, 03:11 przez xil, łącznie zmieniany 1 raz.

Awatar użytkownika
Mad_Dud
Użytkownik
Posty: 86
Rejestracja: 2006-01-28, 13:25
Lokalizacja: 61 / 71
Kontakt:

Re: Jak dobrze zabezpieczyc serwer?

Post autor: Mad_Dud » 2008-12-21, 10:25

Proponuję rezygnację z protokołu ftp (nadaje się tylko do logowań typu anonymous) i przeniesienie się na sftp.
Korzyści:
- szyfrowane połączenie (i logowanie),
- jedna usługa mniej
Problemy/utrudnienia:
- przeszkolenie userów w obsłudze WinScp,
- problemy z ChrootDirectory (http://www.debian-administration.org/articles/590)

Głównie ataki przeprowadzane są na aplikacjach webowych (php, asp.net) - to właśnie jest bardzo popularna droga dostania się do systemu. Jeśli odpalasz jakiegoś cms'a lub forum (phpbb, vbiuletyn), musisz się skupić na tych aplikacjach, aby były jak najszybciej uaktualniane. Konfiguracja apache'a też ma tu duże znaczenie (http://www.securityfocus.com/infocus/1694).

Jeśli planujesz udostępniać użytkownikom powłokę shell, musisz szczególną uwagę poświęcić problemom związanym z exploitami lokalnymi - aktualizacje jądra, pilnowanie wszystkich plików, których właścicielem jest root, blokowanie takich komend jak find czy ograniczenie ps (głównie parametry aux). Tutaj nie ma taryfy ulgowej. Chyba wszyscy się zgodzimy, że ta usługa nastręcza adminom najwięcej problemów

Jak widzisz, zagadnienie jest bardzo szerokie i jeśli nie uściślisz, jakie usługi będziesz udostępniał, my będziemy zgadywali.

Pozdr
Greetings

Pajaczek
Użytkownik
Posty: 1439
Rejestracja: 2006-08-03, 13:16
Lokalizacja: Winny Gród

Re: Jak dobrze zabezpieczyc serwer?

Post autor: Pajaczek » 2008-12-21, 14:40

xil pisze:to jest tylko atrapa - przeniesie portu na inny zabezpiecza przed botami, ktore jesli sie ma ssh na 22 rowno wypelniaja logi. nic z bezpieczenstwa sie nie zyskuje, ale zyskuje sie swiety spokoj w logach.
Święty spokój w logach można również uzyskać bez przenoszenia tego portu... np. stosując recent.

f1y
Użytkownik
Posty: 11
Rejestracja: 2008-12-14, 16:16
Lokalizacja: Gliwice

Re: Jak dobrze zabezpieczyc serwer?

Post autor: f1y » 2008-12-22, 10:18

Outlaw pisze:
ondreyos pisze:moga namierzyc, jesli przeniesiesz np. na port 40
Dobry admin nie przenosi usług na porty 1-1024 bo są one zarezerowane i jeśli przeniesiesz na któryś z nich to może coś przestać działać poprawnie ;) Oczywiście to w skrajnych przypadkach, jak przeniesiesz np na 80 :) Reguła stałych portów przypisanych do odpowiednich usług jednak istnieje i nie powinno się tak robić
Spis najczęściej używanych portów wraz usługami na nich nasłuchującymi znajduje się w /etc/protocols. Co do sshd, można też skorzystać z gotowych aplikacji/skryptów do obrony przed brute force'em i użyć np. denyhosts lub sshguard. Obydwa narzędzia skutecznie eliminują script kiddies. Dobrze jest jednak nie blokować numerów IP na stałe, ponieważ można poblokować w ten sposób wiele serwerów proxy i utrudnić niektórym (niekiedy nawet sobie) dostęp do danej usługi na serwerze/hoście.

P.S. Witam na forum.
"Tylko dwie rzeczy są nieskończone: wszechświat oraz ludzka głupota, choć nie jestem pewien co do tej pierwszej", Albert Einstein.

Awatar użytkownika
Paul999
Użytkownik
Posty: 168
Rejestracja: 2006-04-06, 16:19

Re: Jak dobrze zabezpieczyc serwer?

Post autor: Paul999 » 2008-12-22, 11:32

najlepiej odlaczyc go od internetu...





zart... :D

wydaje mi sie ze firewall to pdstawa.

takie cos warto do snu kupic:

http://helion.pl/ksiazki/101zab.htm

Awatar użytkownika
mina86
Moderator
Posty: 3314
Rejestracja: 2004-06-14, 21:58
Lokalizacja: Linux 4.x x86_64
Kontakt:

Re: Jak dobrze zabezpieczyc serwer?

Post autor: mina86 » 2008-12-22, 14:49

ondreyos pisze:port lepiej jest podac z gornych rejonow
Jest tutaj pewien szkopuł. Otóż idea portów uprzywilejowanych (<1024) jest taka, iż jedynie root ma prawo na nich nasłuchiwać - dzięki czemu, łącząc się na taki port wiemy, iż usługa, z którą się komunikujemy została uruchomiona przez roota. Można sobie wyobrazić jakąś sytuację, w której lokalnemu użytkownikowi udało się wysypać serwer i uruchomić swój własny nasłuchujący na tym porcie - w rezultacie klienci będą się łączyć nie tam gdzie myślą, że się łączyli.

Co prawda w przypadku SSH mamy klucze, certyfikaty i odciski palców, które powinny przed czymś takim zabezpieczyć, ale ogólnie rzecz biorąc warto o czymś takim wiedzieć.

Outlaw pisze:Dobry admin nie przenosi usług na porty 1-1024 bo są one zarezerowane i jeśli przeniesiesz na któryś z nich to może coś przestać działać poprawnie ;) Oczywiście to w skrajnych przypadkach, jak przeniesiesz np na 80 :) Reguła stałych portów przypisanych do odpowiednich usług jednak istnieje i nie powinno się tak robić
Jeżeli nic innego na danym porcie nie nasłuchuje to nie widzę przeciwwskazań.
Zastrzegam sobie prawo nieanalizowania postów pisanych niepoprawną polszczyzną. :: Post generated automatically by A.I. system called “mina86” in response to the previous one. :: Tiny Applications

Awatar użytkownika
bojleros
Użytkownik
Posty: 785
Rejestracja: 2005-08-29, 11:12
Lokalizacja: z widokem na familoki :)
Kontakt:

Re: Jak dobrze zabezpieczyc serwer?

Post autor: bojleros » 2008-12-22, 15:22

Mad_Dud pisze:Proponuję rezygnację z protokołu ftp (nadaje się tylko do logowań typu anonymous) i przeniesienie się na sftp.
Korzyści:
- szyfrowane połączenie (i logowanie),
- jedna usługa mniej
Problemy/utrudnienia:
- przeszkolenie userów w obsłudze WinScp,
- problemy z ChrootDirectory (http://www.debian-administration.org/articles/590)
Jeżeli mówimy o problemie patrząc od strony administrującego serwerem ftp to można go rozwiązać wymuszając stosowanie TLS. Tutaj jest jeszcze inna sprawa. W 99% przypadków pakiety od sshd klasyfikuje się tylko na podstawie portu ... zapomina się o polu tos przez co pakiety od sftp i od sesji ssh lecą tymi samymi klasami.

http://www.castaglia.org/proftpd/doc/co ... O-TLS.html
Święty spokój w logach można również uzyskać bez przenoszenia tego portu... np. stosując recent.
Był też skrypt sshblack.pl.
Ostatnio zmieniony 2008-12-22, 15:22 przez bojleros, łącznie zmieniany 1 raz.

grzenon
Użytkownik
Posty: 4
Rejestracja: 2008-07-15, 10:28

Re: Jak dobrze zabezpieczyc serwer?

Post autor: grzenon » 2008-12-23, 11:57

Witam!
Wydaje mi się, że dobrą praktyką jest instalowanie tylko tych pakietów których na pewno będziesz używał. Odradzam instalację wget, bo tym programem w razie udanego ataku na pewno włamywacz dociągnie sobie co trzeba. Często w logach apache widziałem próby ataku z użyciem tego programu.

Dobrze jest też zdjąć uprawnienia do zapisu dla plików /dev/mem, /dev/kmem i /dev/port - to może uchronić przed instalacją rootkita w systemie.

Polecam raczej jako obowiązkową lekturę książkę Boba Toxena - Bezpieczeństwo w Linuxie - podręcznik administratora.

Pozdrawiam

ODPOWIEDZ