Portál AbcLinuxu, 16. dubna 2024 16:07
https://123.123.123.123https://123.123.123.123:9898Řešení dotazu:
.htacess, kde je povolen přístup jen z localhost (doporučil bych to i když je splněna předchozí podmínka - záložní ochrana).ako potom zabezpecit bezpecny pristup z aplikacie do DB mysql na prepisanie pristupovych tabuliek - vytvorenie noveho uzivatela.To úplně nechápu, vždyť jeden z uživatelů může mít právo zakládat jiné uživatele. Optimálně pouze zakládat a přiřadit právo k datům třeba zase jiný uživatel (ten co je za data odpovědný).
centrální autentifikac/autorizaciMůžete na LDAP (nebo co máte) napojit autorizaci přístupu do db. MySQL to sice neumí, ale neříkám že MySQL je pupek světa co se týče bezpečnosti.
pro mně hrozivý případ ... že uživatel k DB (db serveru) má přímý přístupNo vidíte, to je to Vaše uvažování (patrné i z jiných příspěvků): Centrální heslo aplikačního serveru je nejvíc střežené tajemství, předpokládá se, že každý by raději zemřel než měl slabé heslo, každá aplikace musí projít auditem a mít certifikát nevinnosti atd. A jakmile se něco z těch předpokladů poruší tak se vše hroutí. Moje aplikace tato představa neděsí. Pokud uživatel obejde aplikační server, tak třeba přijde o grafické rozhraní zadávacích formulářů, ale rozhodně nebude mít možnost napáchat škodu nebo číst nepovolená data. I pokud se stane, že znásilní PHP skript a dostane shell na serveru, tak pořád nemá možnost číst data v databázi.
VIEW a funkce metody a trigery. Samozřejmě je to cesta, a perfektní, ale realizace je mnohem náročnější a zrovna na intranet(záleží co to obnáší) mi to nepřipadne vhodná.
6.1.2010 17:13
H0ax | skóre: 36
| blog: Odnikud_nikam
6.1.2010 17:51
H0ax | skóre: 36
| blog: Odnikud_nikam
7.1.2010 11:38
Dalibor Smolík | skóre: 54
| blog: Postrehy_ze_zivota
| 50°5'31.93"N,14°19'35.51"E
Tieto pristupove prava su obmedzene na urovni bezpecnostnych technik MySQL - pomocou tabuliek v DB mysql.Viz rozlišení účtu pro aplikaci a účtů pro uživatele.
Nepoznam postupy utokov, ale ak by som chcel ziskat pristup k DB skusal by som najst najskor subory tohoto typu.Jak jsem říkal nejjednodušší je počkat až se aplikace autentizuje a pak nějakou metodou převzít velení. Pokud aplikace běží přímo na Vašem PC tak je to triviální, pokud na ni přistupujete přes prohlížeč tak můžete někam zkusit procpat PHP nebo SQL kód. Minimálně jedna taková díra tam někde bude a pak už to máte v hrsti.
Tuto bezp. politiku som pochopil tak, ze ak sa niekto dostane az k suborovemu systemu serveru tak uz nieje co velmi chranit.Ale je.
6.1.2010 21:20
Jendа | skóre: 78
| blog: Jenda
| JO70FB
od 4 sa mi zda ako vhodna zauzivana technika, ktoru vidim aj na velkych webovych projektoch - mozno to ale vyznam nema, neviem.Kde třeba? Jak by to mělo zvýšit bezpečnost? Nechápu… Hlavně až budete nastavovat HTTPS, tak nezapomeňte uživatelům rozdistribuovat otisky certifikátu (případně root certifikátu firemní CA, pokud máte).
6.1.2010 21:56
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Ja bych zvolil pouziti VPN. Externi pracovniky by slo dat do jine site, nez je zbytek vnitrni site, a pak neni problem je dostatecne zabezpecit ve firewallu jen na zaklade rozsahu IP.
Nevim co pouzivate za VPN, ale na vetsinu VPN klientu jde vyrobit primo instalacni balicek vc. certifikatu nebo predvyplnenych pristupovych udaju, pujde pak i lehce nekomu zakazat pristup jen na strane VPN serveru zakazanim jeho pristupu.
U externich lidi clovek nikdy nevi, co maji v pocitaci za bordel a je to mnohem slozitejsi uhlidat, zda neco v pocitaci maji nebo ne, klidne by se mohlo stat, ze se dostanou prihlasovaci udaje do spatnych rukou a v pripade spatne napsane aplikace muze byt problem. Zvlast, kdyz bude aplikace volne pristupna z Internetu.
Pri pouziti VPN je alespon v ceste vice prvku, ktere je potreba prekonat.
Dalsi moznosti je presmerovat verejnou IP na vnitrni webserver, ale mozna doplnit o filtr IP adres, aby se tam nedostal kazdy, ale jen povoleni lide, ale zde je zase problem s tim, ze se nekterym muzou menit IP adresy a ti lide se muzou pohybovat i po vice mistech s ruznyma adresama.
Vy vidite v pouziti nestandartneho portu nejaky bezp. zmysel?? Podla skorsej diskusie to velky vyznam nema.Ano vidím, bude Vás obtěžovat o 100% automatických útoků méně a to se vyplatí.
Pristup z verejnych miest by som chcel obmedzit firemnymi pravidlami - nieje to potrebne z hladiska vyuzivania intranetu.Tak pak kontrolujte logy, zda to lidé dodržují. A i tak jsou klientské certifikáty dobrý nápad.
Co sa tyka prenosu dat do firmy bude pouzita tiez VPN siet, ale urcite na osobitnom subnete. Bolo by potom zrejme tiez vhodne presuvat data do DMZ, odkial si ich bude brat aplikacia z vnutornej siete...? Nieje to uz privelmi paranoidne?Na kterou větu jste tímto reagoval?
Na temu prenosu dat zo serveru napr. v ServerHostingu do firemnej LANCo sa tyka prenosu dat do firmy bude pouzita tiez VPN siet, ale urcite na osobitnom subnete. Bolo by potom zrejme tiez vhodne presuvat data do DMZ, odkial si ich bude brat aplikacia z vnutornej siete...? Nieje to uz privelmi paranoidne?Na kterou větu jste tímto reagoval?
si ani neviem velmi dobre prestavit tento utok v praxi.Je to stejnej princip jako když lezete na pochybné www stránky a do počítače se Vám dostane "vir". Požadavek vznesete vy a v odpovědi serveru je exploit na implementaci javascriptu (nebo čehokoliv) ve Vašem prohlížeči. Stejně tak může SQL server exploitovat díry v SQL knihovně klienta. Roota tím dostane pouze pokud klient běží pod rootem, což není častý případ. Na druhou stranu root práva nejsou na spoustu věcí potřeba a/nebp se dají postupně získat.
Potom mam obavy, ci sa na takyto husty utok a jemu podobne budem vediet v dohladnej dobe pripravit.Já Vám jenom popisuji možné scénáře, je na Vás, jakou jim přiřadíte pravděpodobnost, prioritu, atd. Jste to Vy, kdo ví cenu Vašich dat, zná lokální podmínky a lidi, umí posoudit, co je reálné, co je nebezpečné, co by bylo "jen" na obtíž, z čeho by byl průser, za co Vás "jen" vyhodí a za co se s Vámi budou soudit ;) Je daleko důležitější abyste se ochránil proti heslu "123", nebo proti telefonátu "Ahoj jsem na dovolené a potřebuju se dostat do účetnictví, prosímtě ..." než proti malware který někdo bude psát na zakázku na míru na Vaši síť.
6.1.2010 13:19
Dalibor Smolík | skóre: 54
| blog: Postrehy_ze_zivota
| 50°5'31.93"N,14°19'35.51"E
).
Pripadne reseni pomoci VPN muze zvysit zabezpeceni komunikace, ale jiz bylo zmineno, slaby clanek muze byt pocitac na "druhe strane" (client) a jeho "dalsi" aplikace. Nicmene, ma-li byt alespon nejake zabezpeceni a minimalni pozadavky na doinstalovavani veci, muze se rozchodit napr. i pptp server (zvlada standartni windowsovsky VPN klienty). Dale resit filtrovanim provozu techto spojeni (napriklad takove spojeni umozni jen navazat spojeni na dany server, ne jinam). Vyhoda je takova, ze se muze logovat kdy kdo a odkud se prihlasuje, a v pripade, ze nedo bude mit "moc" pokusu dostat se i jinam, bude zaznam koho ucet je ten "zly"...
Omezeni na konkretni IP (filtrovani) take nic neresi (bylo jiz take zmineno), ne vsichni maji verejnou (a hlavne pevnou) adresu. Viz predchozi odstavec.
Samotne umisteni na virtualni server neresi otazku bezpecnosti. Pokud aplikace ma neco delat, musi davat spravne udaje. Pokud je nebezpeci, ze se nekdo dostane kam nema, je asi problem s aplikaci a je-li pristupna z venku (a nekdo bude mit zajem) stejne budou upraveny data at je to na vlastnim serveru, nebo nekde "mimo sit".
Ulozeni prihlasovacich udaju v php souboru nevidim primarne jako problem. Pokud budou spravne nastavena opravneni na soubory, pripadne (take bylo zmineno) v extra adresari s .htaccess, melo by to stacit. Pokud se k tomu nekdo presto dostane, asi bude problem trochu vetsi 
.
Osobne bych resil presmerovani portu (idealne kombinace s https - presmerovat oboje a pokud nekdo zada jen http:80 presmerovat ho na https:443). Dale bych nastavil nejake filtrovani napr. max 30 spojeni za minutu z jedne adresy a podobne (iptables). V pripade citlivejsich dat bych pouvazoval o nejake forme VPN - pokud se jedna o "bezne" uzivatele, asi bych zvazil pro toto konkretni reseni pptp server.
Intranet na vnutornej sieti necham z vonku uzavrety.Nezapomeňte že tam máte ty VPN.
9.1.2010 20:06
petka | skóre: 25
| blog: heydax
| Klasterec N/O
10.1.2010 00:22
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Tiskni
Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.