abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 02:20 | Zajímavý článek

David Revoy, autor open source webového komiksu Pepper&Carrot nebo portrétu GNU/Linuxu, upozorňuje na svém blogu, že nový Inkscape 0.92 rozbíjí dokumenty vytvořené v předchozích verzích Inkscape. Problém by měl být vyřešen v Inkscape 0.92.2 [reddit].

Ladislav Hagara | Komentářů: 0
dnes 02:02 | Komunita

Øyvind Kolås, hlavní vývojář grafických knihoven GEGL a babl, které využívá grafický program GIMP, žádá o podporu na Patreonu. Díky ní bude moci pracovat na vývoji na plný úvazek. Milník 1000 $, který by stačil na holé přežití, se již téměř podařilo vybrat, dalším cílem je dosažení 2500 $, které mu umožní běžně fungovat ve společnosti.

xkomczax | Komentářů: 12
včera 23:54 | Pozvánky

DevConf.cz 2017, již devátý ročník jedné z největších akcí zaměřených na Linux a open source ve střední Evropě, proběhne od pátku 27. ledna do neděle 29. ledna v prostorách Fakulty informačních technologií Vysokého učení technického v Brně. Na programu je celá řada zajímavých přednášek a workshopů. Letos je povinná registrace.

Ladislav Hagara | Komentářů: 0
včera 22:11 | Nová verze

Byla vydána verze 1.0.0 emulátoru terminálu Terminology postaveného nad EFL (Enlightenment Foundation Libraries). Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
20.1. 17:00 | Nová verze

Byl vydán Docker 1.13. Přehled novinek na YouTube a v poznámkách k vydání na GitHubu. Docker umožňuje běh aplikací v softwarových kontejnerech (Wikipedia).

Ladislav Hagara | Komentářů: 4
20.1. 15:51 | Komunita

Mozilla.cz informuje, že nástroje pro webové vývojáře se možná oddělí od Firefoxu a stanou doplňkem. Nástroje pro webové vývojáře prošly velkým přepisem a tým, který se stará o jejich vývoj, by uvítal možnost jejich častějších aktualizacích nezávisle na vydávání nových verzí Firefoxu.

Ladislav Hagara | Komentářů: 10
20.1. 07:00 | Humor

Čtenářům AbcLinuxu vše nejlepší k dnešnímu Dni zvýšení povědomí o tučňácích (Penguin Awareness Day).

Ladislav Hagara | Komentářů: 0
20.1. 06:00 | Komunita

Bylo spuštěno hlasování o přednáškách a workshopech pro letošní InstallFest, jenž proběhne o víkendu 4. a 5. března v Praze. Současně byla oznámena změna místa. InstallFest se letos vrací zpět na Karlovo náměstí do budovy E.

Ladislav Hagara | Komentářů: 0
20.1. 02:48 | Komunita

Greg Kroah-Hartman potvrdil, že Linux 4.9 je jádrem s prodlouženou upstream podporou (LTS, Long Term Support). Podpora je plánována do ledna 2019. Aktuální jádra s prodlouženou podporou jsou tedy 3.2, 3.4, 3.10, 3.12, 3.16, 3.18, 4.1, 4.4 a 4.9.

Ladislav Hagara | Komentářů: 0
20.1. 00:11 | Zajímavý článek

Výrobce síťových prvků, společnost Netgear, spustila nový program, který slibuje vývojářům, expertům, ale i běžným uživatelům vyplacení finanční odměny za nalezení bezpečnostních chyby v jejich produktech. Za nalezení zranitelnosti v hardware, API nebo mobilní aplikaci nabízí odměnu od 150 do 15 tisíc dolarů (dle závažnosti).

Michal Makovec | Komentářů: 0
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (10%)
 (2%)
 (74%)
 (3%)
 (10%)
Celkem 360 hlasů
 Komentářů: 25, poslední včera 13:34
Rozcestník
Reklama

Dotaz: Nezpecnost serveru s LAMP

10.7.2014 17:15 petrfm
Nezpecnost serveru s LAMP
Přečteno: 1339×

Ahoj, mam HW server pripojeny pres mikrotika na verejnou IP. Mam na nem nejake sdileni, SAMBU a takove nesmysly. Bezi mi tam i virtualka s ubuntu a LAMP. No a tady to prichazi. Mam takove nutkani, nechat na nem bezet jeden takovy nepodstatny projekt, ktery ale zabira dost mista na disku a proto by se hodilo, mit to takhle hezky fyzicky u sebe.

Melo by tam bezet i phpbb. A tady to prichazi. Bojim se, ze mi pres to phpbb nekdo hackne cely ten server.

A proto se ptam zkusenejsich, na co si dat pozor a kde jsou slaba mista? Pokud pobezi vsechno pod uzivatelem www-data a ten nebude mit pristup mimo svuj pracovni adresar, muze se utocnik pres chyby ve skriptech / php dostat dale na server, nedej boze do vnitrni site?

A co s tou verejnou ip? nemuze mi ji pak nekdo kvuli tomu phpbb napadnout? Je tam mikrotik a jsou otevrene porty jen pro 80.443 a VPNku. Nemam z venci pristup na zadne SSH, apod. Presto mam strach, aby nekdo nevlezl dovnitr treba chybou FW toho mikrotika... je to mozne? Ma smysl updatovat vzdycky na nejnovejsi verzi?

Jak byste to udelali vy? Nechali na tom serveru jen svoje veci a tyhle verejne projekty hostovali na nejakem hostingu, nebo se toho nemusim bat?

Diky za tipy,

P.

Odpovědi

Jendа avatar 10.7.2014 17:19 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP
muze se utocnik pres chyby ve skriptech / php dostat dale na server
Ano. Sice by neměl, ale občas se objeví lokální nějaký root exploit.
nedej boze do vnitrni site
Pokud www-data nebude mít zakázanou síťovou komunikaci, tak samozřejmě může. Pokud bude, tak viz výše.

To s tím Mikrotikem nechápu (jako co třeba znamená „napadnout IP adresu“).
Jak byste to udelali vy?
Vybodl bych se na to nebo mu udělal virtuál.
„To jsem nedávno zjistil, že naše televize jde ovládat po síti. Docela mě to překvapilo.“ „Jo? A kdo vám ji ovládal?“
10.7.2014 17:39 petrfm
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP

vybodl by ses na co ? To hostovat sam, nebo na ty obavy?

S tou IP jsem se spatne vyjadril. myslel jsem to tak, ze tim, ze tam pobezi takova sluzba, ze se mi nekdo obuje do IP adresy. Proste ze to phpbb, ktere najde nejaky bot bude lakadlo a potom dojde k prolomeni nejakeho zabezpeceni toho mikrotika a utocnik si treba otevre nejaky dalsi port, nebo co ja vim :-)

Virtualka - resi to neco? Cele to bezi na proxmoxu, takze si tam muzu virtualky sekat jak chci, ale to bych pak musel definovat presne pravidla, kam ta virtualka v siti muze, apod, pripadne ji nastavit IP z jineho rozsahu, atd. ze? Coz ovsem taky nebude zadna velka slava, kdyz ty vsechny masiny pak budou pripojene jednim fyzickym rozhranim.

Jendа avatar 10.7.2014 19:26 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP
Na ty obavy…
Virtualka - resi to neco?
Ano, může se celá zafirewallovat.
Coz ovsem taky nebude zadna velka slava, kdyz ty vsechny masiny pak budou pripojene jednim fyzickym rozhranim.
Proč? Firewall se samozřejmě musí dělat na hostu, ne v té kompromitované virtuálce.
„To jsem nedávno zjistil, že naše televize jde ovládat po síti. Docela mě to překvapilo.“ „Jo? A kdo vám ji ovládal?“
11.7.2014 17:42 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP
Proč? Firewall se samozřejmě musí dělat na hostu, ne v té kompromitované virtuálce.

Root exploit v hypervizoru, exploit v hypervizoru, znovu root exploit v hostiteli a jsi tam, kde jsi byl. Na druhou stranu bych řekl, že už tohle je nad rámec toho, o co se kdo bude snažit - většině "hackerů" stačí prohákovat se k tomu PHP, aby se nechal spustit spamovací skript, na to roota nepotřebujou.
Quando omni flunkus moritati
10.7.2014 17:43 petrfm
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP

Ted nad tim trochu premyslim. Hostingy asi maji pro mysql extra masinu, pro php extra masinu, atd. Takze kdyz nekdo ziska roota pres diru v php a bude mit v mysql vice projektu a spravne nastavene prava pro pristup do tabulek, tak se treba pres toho roota nedostane do mysql, ale jen k souborum hostovanym na tom serveru (kde jsou v config souborech hesla do mysql, takze se defakto stejne dostane vsude, navic i kdyz ta mysql bezi na virtuale, tak k ni musi ten PHP/apache server mit pristup a kdyz na nem nekdo ma roota... takze zase zadna ochrana... :-)))) )

10.7.2014 20:18 Kit | skóre: 37 | Brno
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP
Je snad možné se přes Apache dostat na roota?
Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.
Jendа avatar 10.7.2014 20:49 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP
CVE-2014-0038
„To jsem nedávno zjistil, že naše televize jde ovládat po síti. Docela mě to překvapilo.“ „Jo? A kdo vám ji ovládal?“
Jendа avatar 10.7.2014 20:50 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP
Pardon, CVE-2014-0196. Rychleji píšu než čtu.
„To jsem nedávno zjistil, že naše televize jde ovládat po síti. Docela mě to překvapilo.“ „Jo? A kdo vám ji ovládal?“
11.7.2014 09:35 rastos | skóre: 60 | blog: rastos
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP
Čo to má spoločné s Apache?
Jendа avatar 11.7.2014 11:57 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP
Omlouvám se, pořád jsem uvažoval kombinaci Apache+PHP. A tam to jde třeba tak, že mi děravá aplikace umožní vykonat libovolný PHP kód a pak buď je povolená alespoň jedna z mnoha „nebezpečných“ funkcí, nebo použiju nějakou díru v PHP (taky jich je dost).
„To jsem nedávno zjistil, že naše televize jde ovládat po síti. Docela mě to překvapilo.“ „Jo? A kdo vám ji ovládal?“
Max avatar 11.7.2014 13:07 Max | skóre: 64 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP
Což řeší selinux.
Zdar Max
Měl jsem sen ... :(
11.7.2014 14:40 92859205890
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP
Ale no tak fakt tomu verite ? :-)
11.7.2014 14:59 Mac_CZ | skóre: 3
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP
Tak pokud nevěříte selinux, tak zkuste apparmor.
12.7.2014 11:30 Pavel 'TIGER' Růžička
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP
No já osobně používat LAMP, tak bych ho jako první hodil do virtuálu a hrál si s tím ve virtuálu. Také nevím, jaké konkrétní napadnutí myslíš, resp. jakých škod se obáváš?
12.7.2014 12:50 petrfm
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP

Ja ten laml ve virtuale mam. Je to jedna masina, na ktere je KVMko a mam tam celkem 4 virtualy, z ktere jedna je ten lamp. Mam tam ale i webdav uloziste, atd. Kdybych to chtel rozdelit, musim udelat extra virtualku jen pro ten lamp na hrani a potom na tom hlavnm lampu spustit nejakou reverzni proxy, protoze potrebuju mit z venci pristupny i ten prvni LAMP. (kdyz chci nekomu neco poslat, nahraju to na nej a poslu mu odkaz, pouzivam tam owncloud - ale neni to verejne nejak propagovane, musi znat spravnou adresu)

Ceho se bojim? Toho, ze pokud prolomi ten LAMP a ovladne tu virtualu, dostane se do vnitrni site. No a vnitrni sit nemam tak dobre zabezpecenou - mam povolene skoro vsude SSH, pouzivam hesla, bezi tam samba s firemnimi vecmi, atd.

Zvenku se tam nikdo nedostane, protoze je to za firewallem, ktery dela ten mikrotik, ale kdyby se dostal dovnitr, je to prusvih. Proto se ptam na Vas nazor, jestli to ma smysl riskovat, nebo jestli tim vlastne nic moc neriskuju, nebo jestli se to da nejak SNADNO zabezpecit.

12.7.2014 13:06 Pavel 'TIGER' Růžička
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP
Tak to rozhodně dobré není. Kdybys to takhle spustil, byla by to špatně navržená topologie sítě. Nevím, nakolik ty LAMPácké věci jsou vytížené, ale rozhodně bych to viděl na server před mikrotik a na server za mikrotik. Teoreticky by to šlo i v rámci jednoho stroje, kde by LAMPy byly mimo rozsah Tvé sítě a tvá síť by měla zakázán přístup z toho rozsahu, což znamená alespoň o jednu síťovku navíc. Leč pořád je to řešení, za které bych nedal ruku do ohně. Pokud jsou firemní věci velmi důležité a to většinou jsou, tak to dobrý nápad není. Buď dva stroje, nebo hosting.
12.7.2014 13:26 petrfm
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP

No, tohle prave resim... Konecne mne nekdo presne pochopil :-) Pokud by byl LAMP neprustrelny, riziko by to nebylo, ale pokud se nekdo pres to forum dostane na server, je to v pytli a vidim to jako riziko.

Mikrotik ma docela chytry switch, takze by asi opravdu stacily do serveru dve sitovky a pripojit ten LAMP virtual extra a nedovolit mu pristup do vnitrni site, to je ale presne to reseni, ktere je uz tak komplikovane, ze to radeji dam na hosting.

Diky tedy za diskuzi a potvrzeni mych obav, ze se nejedna o dobry napad.

P.S. jen ze zvedavosti - ty virtualy se daji hodit na jiny subne i v tom proxmoxu, takze kdyz pominu riziko, ze by nekdo odposlouchaval na fyzickem rozhrani a ovladl ten proxmox, tak bych defakto mohl zabranit aby se ty site navzajem videly i takto jednoduse. ALE - dostanu se potom na ten server kvuli spravy? Jak se to nastavuje? Pro tu moji konkretni IP - spravcovskou, treba muj notebook si nastavim routu do obou subnetu?

 

P.

12.7.2014 13:31 petrfm
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP

Ted si to ctu znova ten tvu prispevek a uz mi svita - zakazan pristup z toho rozsahu. Cili naopak. Ta chranena sit - firemni server by mel zakazany pristup ze site toho LAMPU (treba dropem na firewallu), ale muj notebook, ze ktereho to vsechno spravuju by mohl do obou siti. Takhle by se to asi dalo udelat, ze ?

No a ta fyzicka sitovka navic tam je proto, aby nekdo neodposlouchaval v promiskuitnim modu... je otazkou, jak je reseny ten ethernet na tom proxmoxu, ale mam za to, ze ty virtualky to strka vsechny do bridge na to jedno LAN rozhrani. No ale pokud uz jsem ve vnitrni siti, muzu zacit busit do routeru a oteviraji se dalsi zpusoby, jak ho oje*at, aby mne pustil i do te druhe site, je to tak? Proto je lepsi to mit fyzicky rozdelene na dve ETH rozhrani a budto dva switche, nebo administrovatelny switch, ktery ty pakety proste na "druhy kabel" nepusti.

P.

12.7.2014 20:05 Pavel 'TIGER' Růžička
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP
;-) Tak nějak to bylo myšlené.
Max avatar 10.7.2014 20:42 Max | skóre: 64 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP
1) Naladit oprávnění pro jednotlivé weby, co web, to uživatel a skupina, takže se nebudou nijak ovlivňovat.
2) naladit cachování.
3) Kam není potřeba zápis, tam ho nepovolit.
4) Zakázat v php různé nebezpečné fce.
5) zabezpečit pomocí selinux, popř. něčem podobném
6) povolit v apache status modul jen z lokální sítě, aby jsi mohl provádět diagnostiky případných problémů.
7) aspoň trochu to něčím monitorovat, aby jsi hned věděl, když nastane nějaký problém.

Rozchodit apache a php je triviální, ale rozchodit ho nějak rozumně a bezpečně, to už se moc nevidí.
Zdar Max
Měl jsem sen ... :(
11.7.2014 11:55 petrfm
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP

No a neni tohle vsechno uplne zbytecne, kdyz utocnik ziska roota? Vyjma snad bodu 567... ?

Prave proto jsem pokladal tenhle dotaz, protoze jak pises, podle tutorialu vsechno rozchodit neni problem, ale zacatecnik snadno neco prehledne, nebo podceni. Slo mi tedy prave o to zjistit, jake jsou potencialni rizika a jestli jsou vysoka (proste mira zneuzitelnosti, protoze zneuzit a prolomit se da vse, otazkou je, jak casto se takovy problem vyskytne a zda vubec nekomu muj server stoji za to, aby to stihl do doby, nez ubuntu vyda zaplatu).

Cili asi bude lepsi provozovat ten server soukromne, nepristupny z netu, nebo jen pro hrstku znamych a tyhle exponovane veci dat na placeny hosting, kde tohle vsechno resi zkuseny admin.

P.S. dokazal by mi nekdo poradit, jak jednoduse otestovat nastaveni firewallu? Muzu k te siti pristupovat z venku z jineho pripojeni...

11.7.2014 15:41 hydrandt | skóre: 34 | blog: Kanál | Šanghaj
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP
Z toho, jak to popisuješ, bych si zas tak velké starosti nedělal. Stačí se řídit zde zmíněnými radami. Já se teda přiznám, že selinuxu nerozumím, ale aspoň nastavuju noexec na partišny kde to jde apod.

To, že se ti tam někdo dostane kvůli chybě firmwaru v mikrotiku, je podle mě dost nepravděpodobné, a když máš zvenčí přístupné jen 80 a 443, zas tak moc toho napáchat nejde - určitě je ale dobré sledovat mailing listy těch php aplikací, co tam máš nasazené, a aktualizovat.

Jednoduchý test zvenku je nmap -A ip.adresa -- rád se přiučím co všechno to neodhalí :-)
I am Jack's wasted life.
MMMMMMMMM avatar 11.7.2014 16:40 MMMMMMMMM | skóre: 41 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP
s těmi placenými hostingy bacha - není admin jako admin, např. http://www.lupa.cz/clanky/otazky-okolo-hacku-banan-cz-zustavaji/ (byla velká aféra)
11.7.2014 15:49 ET
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP
jestli se s tim neches moc mazat, schovej celej web pod heslo
12.7.2014 00:01 petercheco
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP
Kluci, píšete sem milión užitečných věcí, ale nikdo z vás nenapíše základ.

Fail2ban na vše, vše na jeden pokus a minimálně jeden týden ban ip adresy, která se dopustila jednoho chybného přihlášení.. Pak útočníka omrzí jakýkoli útok na server :).
Jendа avatar 12.7.2014 01:01 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP
Proč by ban po chybném přihlášení útočníka měl odradit od zneužití chyby v PHP aplikaci?
„To jsem nedávno zjistil, že naše televize jde ovládat po síti. Docela mě to překvapilo.“ „Jo? A kdo vám ji ovládal?“
12.7.2014 01:58 petrfm
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP

Ono to bylo asi mysleno tak, ze i kdyz se potom dostane do vnitrni site, tak nenapacha takovou skodu, jako kdyz treba zjisti heslo a bude zkouset zadavat na ruzne sluzby.

Je fakt, ze instalovat selinux a takove kejkle se mi fakt nechce, to radeji ten system necham zvenci uzavreny. Proto se mi prave moc nelibi ta myslenka, to otevirat ven, i kdyz by mi to asi dost pomohlo.

Myslim, ze je zbytecne zabihat do uplnych obskurnich detailu, nemam na tom serveru data z nasa, ale slo mi spis o nasmerovani, treba i na nejaky clanek, kde bych se docetl, jake jsou potencialni rizika a slo mi asi i o to, jestli mi to nejaky zkuseny admin proste nerozmluvi, s tim, ze "nechej si to zavrene, pro sebe, hrej si a uc se na tom s linuxem, ale nepoustej tam lidi z venci". A proste po tom, co par opensource projektu na PHP provozuju (na komercnim hostingu) - vim, ze jakmile se nekde spusti neco v PHP, je to bezpecnostni problem a neustala starost o sledovani novinek a zalepovani der. Nevim, jak je na tom konkretne PHPBB, ale treba s Joomlou jsem si uzil svoje a to je pak cloveku dost neprijemne od zaludku, kdyz vidi, jak se mu kdekdo prohani po webu a upravuje scripty. Proto bych nechtel, aby se diky nejakemu nepodarenemu scriptu prohanel po firemnim serveru.Nevadi mi, kdyz kompromituje to phpbb, smaze ho, apod. Ale nesmi se dostat dale do site, potazmo na ten linuxovy server.

Proto bych jako reseni uvital ne nejaky selinux a jine silenosti na tydenni studium (placeny hosting me vyjde max. na blbe 4 stovky rocne), ale spise zpusob, jak te aplikaci zabranit, i kdyz ji nekdo prolomi, aby se dostal mimo ten jeji pisecek. Chtelo by to neco, jako jsou virtualky pro operacni systemy. Urcite mi nekdo namitne, ze to jde udelat. Jasne, ale strasne se mi tim vsechno zkomplikuje. A me se prave na virtualizaci libi to, jak je to ucinne, ale pritom jednoduche :-)

12.7.2014 02:01 petrfm
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP
Jeste mne napada jedna vec, jak to mohl pisatel myslet... ze malo kdo pujde hned na diru ve scriptu, ale zkusi se spise zalogovat na ssh, apod. Tim si defakto zabanuje svoji IP. To by u mne ale nemelo moc velky vyznam, protoze ssh, ani nic, co by dovolovalo prihlasovani nemam vubec pristupne z venku.
Jendа avatar 12.7.2014 14:04 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP
Co jsem koukal u sebe, tak roboti zkoušející děravé skripty a SSH jsou nezávislé sekvence IP.
„To jsem nedávno zjistil, že naše televize jde ovládat po síti. Docela mě to překvapilo.“ „Jo? A kdo vám ji ovládal?“
xkucf03 avatar 12.7.2014 18:03 xkucf03 | skóre: 45 | blog: xkucf03
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP

Buď tu (ne úplně bezpečnou) aplikaci spusť v LXC1 nebo aspoň použij PHP-FPM a spouštěj ji pod uživatelem vyhrazeným jen pro ni.

Pro úspěšný útok by se ti pak musely sejít dvě chyby: 1) v té aplikaci 2) v systému – lokální eskalace práv nebo dokonce možnost vyskočení z LXC.

Plus k tomu přidej obvyklé zabezpečení na úrovni php.ini (zákaz některých funkcí, omezení open_basedir atd.). A omezení firewallem – když víš, pod jakým UID ta aplikace běží, tak jí v iptables můžeš zakázat navazovat spojení ven.

[1] lehká virtualizace (resp. kontejner) uvnitř toho současného virtuálu

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
xkucf03 avatar 12.7.2014 18:06 xkucf03 | skóre: 45 | blog: xkucf03
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP

P.S. a pokud to není nějaká aplikace pro frikulínskou veřejnost, ale spíš něco jako intranet, tak tam dej HTTP(S) basic autentizaci → bez hesla nebude útočník ani vědět, že tam nějaké phpbb běží, protože ho Apache vůbec nepustí dál.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
12.7.2014 20:09 student
Rozbalit Rozbalit vše Re: Nezpecnost serveru s LAMP

LXC negarantuje izolaciu, takze vyskocenie z LXC nemusi byt chyba. Root v LXC = root v hostujucom systeme.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.