Hra Mini Thief je na Steamu zdarma napořád, když aktivaci provedete do 24. ledna do 19.00 [ProtonDB].
Certifikační autorita Let's Encrypt oznámila, že bude volitelně nabízet krátkodobé certifikáty s šestidenní platností a navíc s možností vystavit je na IP adresu. Zvolit typ certifikátu bude možné v certifikačním profilu ACME.
Herní konzole Nintendo Switch 2 byla oficiálně potvrzena. Vyjde letos. Trailer na YouTube. Více ve středu 2. dubna na Nintendo Direct.
Byl vydán Linux Mint 22.1 s kódovým jménem Xia. Podrobnosti v přehledu novinek a poznámkách k vydání. Linux Mint 22.1 bude podporován do roku 2029.
Google Chrome 132 byl prohlášen za stabilní. Nejnovější stabilní verze 132.0.6834.83 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 16 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře (YouTube).
Byla vydána verze 11.0.0 knihovny libvirt (Wikipedie) zastřešující různé virtualizační technologie a vytvářející jednotné rozhraní pro správu virtuálních strojů. Současně byl ve verzi 11.0.0 vydán související modul pro Python libvirt-python. Přehled novinek v poznámkách k vydání.
Byla vydána nová verze 3.4.0 nástroje pro inkrementální kopírování souborů rsync (Wikipedie). Přehled oprav a vylepšení v souboru NEWS. Řešeno je 6 zranitelností.
V srpnu loňského roku byla vyhlášena RP2350 Hacking Challenge aneb oficiální výzva Raspberry Pi na prolomení bezpečnosti mikrokontroléru RP2350. Povedlo se. Včera byli představeni čtyři vítězové a jejich techniky.
Na čem aktuálně pracují vývojáři open source operačního systému Haiku (Wikipedie)? Byl publikován přehled vývoje za prosinec 2024. Vypíchnuto je začlenění webového prohlížeče Iceweasel, tj. alternativního sestavení Firefoxu.
Tetris a DOOM běžící v pdf. Proč a jak v příspěvku na blogu.
Ahoj, mam HW server pripojeny pres mikrotika na verejnou IP. Mam na nem nejake sdileni, SAMBU a takove nesmysly. Bezi mi tam i virtualka s ubuntu a LAMP. No a tady to prichazi. Mam takove nutkani, nechat na nem bezet jeden takovy nepodstatny projekt, ktery ale zabira dost mista na disku a proto by se hodilo, mit to takhle hezky fyzicky u sebe.
Melo by tam bezet i phpbb. A tady to prichazi. Bojim se, ze mi pres to phpbb nekdo hackne cely ten server.
A proto se ptam zkusenejsich, na co si dat pozor a kde jsou slaba mista? Pokud pobezi vsechno pod uzivatelem www-data a ten nebude mit pristup mimo svuj pracovni adresar, muze se utocnik pres chyby ve skriptech / php dostat dale na server, nedej boze do vnitrni site?
A co s tou verejnou ip? nemuze mi ji pak nekdo kvuli tomu phpbb napadnout? Je tam mikrotik a jsou otevrene porty jen pro 80.443 a VPNku. Nemam z venci pristup na zadne SSH, apod. Presto mam strach, aby nekdo nevlezl dovnitr treba chybou FW toho mikrotika... je to mozne? Ma smysl updatovat vzdycky na nejnovejsi verzi?
Jak byste to udelali vy? Nechali na tom serveru jen svoje veci a tyhle verejne projekty hostovali na nejakem hostingu, nebo se toho nemusim bat?
Diky za tipy,
P.
muze se utocnik pres chyby ve skriptech / php dostat dale na serverAno. Sice by neměl, ale občas se objeví lokální nějaký root exploit.
nedej boze do vnitrni sitePokud www-data nebude mít zakázanou síťovou komunikaci, tak samozřejmě může. Pokud bude, tak viz výše. To s tím Mikrotikem nechápu (jako co třeba znamená „napadnout IP adresu“).
Jak byste to udelali vy?Vybodl bych se na to nebo mu udělal virtuál.
vybodl by ses na co ? To hostovat sam, nebo na ty obavy?
S tou IP jsem se spatne vyjadril. myslel jsem to tak, ze tim, ze tam pobezi takova sluzba, ze se mi nekdo obuje do IP adresy. Proste ze to phpbb, ktere najde nejaky bot bude lakadlo a potom dojde k prolomeni nejakeho zabezpeceni toho mikrotika a utocnik si treba otevre nejaky dalsi port, nebo co ja vim
Virtualka - resi to neco? Cele to bezi na proxmoxu, takze si tam muzu virtualky sekat jak chci, ale to bych pak musel definovat presne pravidla, kam ta virtualka v siti muze, apod, pripadne ji nastavit IP z jineho rozsahu, atd. ze? Coz ovsem taky nebude zadna velka slava, kdyz ty vsechny masiny pak budou pripojene jednim fyzickym rozhranim.
Virtualka - resi to neco?Ano, může se celá zafirewallovat.
Coz ovsem taky nebude zadna velka slava, kdyz ty vsechny masiny pak budou pripojene jednim fyzickym rozhranim.Proč? Firewall se samozřejmě musí dělat na hostu, ne v té kompromitované virtuálce.
Proč? Firewall se samozřejmě musí dělat na hostu, ne v té kompromitované virtuálce.Root exploit v hypervizoru, exploit v hypervizoru, znovu root exploit v hostiteli a jsi tam, kde jsi byl. Na druhou stranu bych řekl, že už tohle je nad rámec toho, o co se kdo bude snažit - většině "hackerů" stačí prohákovat se k tomu PHP, aby se nechal spustit spamovací skript, na to roota nepotřebujou.
Ted nad tim trochu premyslim. Hostingy asi maji pro mysql extra masinu, pro php extra masinu, atd. Takze kdyz nekdo ziska roota pres diru v php a bude mit v mysql vice projektu a spravne nastavene prava pro pristup do tabulek, tak se treba pres toho roota nedostane do mysql, ale jen k souborum hostovanym na tom serveru (kde jsou v config souborech hesla do mysql, takze se defakto stejne dostane vsude, navic i kdyz ta mysql bezi na virtuale, tak k ni musi ten PHP/apache server mit pristup a kdyz na nem nekdo ma roota... takze zase zadna ochrana... ))) )
Ja ten laml ve virtuale mam. Je to jedna masina, na ktere je KVMko a mam tam celkem 4 virtualy, z ktere jedna je ten lamp. Mam tam ale i webdav uloziste, atd. Kdybych to chtel rozdelit, musim udelat extra virtualku jen pro ten lamp na hrani a potom na tom hlavnm lampu spustit nejakou reverzni proxy, protoze potrebuju mit z venci pristupny i ten prvni LAMP. (kdyz chci nekomu neco poslat, nahraju to na nej a poslu mu odkaz, pouzivam tam owncloud - ale neni to verejne nejak propagovane, musi znat spravnou adresu)
Ceho se bojim? Toho, ze pokud prolomi ten LAMP a ovladne tu virtualu, dostane se do vnitrni site. No a vnitrni sit nemam tak dobre zabezpecenou - mam povolene skoro vsude SSH, pouzivam hesla, bezi tam samba s firemnimi vecmi, atd.
Zvenku se tam nikdo nedostane, protoze je to za firewallem, ktery dela ten mikrotik, ale kdyby se dostal dovnitr, je to prusvih. Proto se ptam na Vas nazor, jestli to ma smysl riskovat, nebo jestli tim vlastne nic moc neriskuju, nebo jestli se to da nejak SNADNO zabezpecit.
No, tohle prave resim... Konecne mne nekdo presne pochopil Pokud by byl LAMP neprustrelny, riziko by to nebylo, ale pokud se nekdo pres to forum dostane na server, je to v pytli a vidim to jako riziko.
Mikrotik ma docela chytry switch, takze by asi opravdu stacily do serveru dve sitovky a pripojit ten LAMP virtual extra a nedovolit mu pristup do vnitrni site, to je ale presne to reseni, ktere je uz tak komplikovane, ze to radeji dam na hosting.
Diky tedy za diskuzi a potvrzeni mych obav, ze se nejedna o dobry napad.
P.S. jen ze zvedavosti - ty virtualy se daji hodit na jiny subne i v tom proxmoxu, takze kdyz pominu riziko, ze by nekdo odposlouchaval na fyzickem rozhrani a ovladl ten proxmox, tak bych defakto mohl zabranit aby se ty site navzajem videly i takto jednoduse. ALE - dostanu se potom na ten server kvuli spravy? Jak se to nastavuje? Pro tu moji konkretni IP - spravcovskou, treba muj notebook si nastavim routu do obou subnetu?
P.
Ted si to ctu znova ten tvu prispevek a uz mi svita - zakazan pristup z toho rozsahu. Cili naopak. Ta chranena sit - firemni server by mel zakazany pristup ze site toho LAMPU (treba dropem na firewallu), ale muj notebook, ze ktereho to vsechno spravuju by mohl do obou siti. Takhle by se to asi dalo udelat, ze ?
No a ta fyzicka sitovka navic tam je proto, aby nekdo neodposlouchaval v promiskuitnim modu... je otazkou, jak je reseny ten ethernet na tom proxmoxu, ale mam za to, ze ty virtualky to strka vsechny do bridge na to jedno LAN rozhrani. No ale pokud uz jsem ve vnitrni siti, muzu zacit busit do routeru a oteviraji se dalsi zpusoby, jak ho oje*at, aby mne pustil i do te druhe site, je to tak? Proto je lepsi to mit fyzicky rozdelene na dve ETH rozhrani a budto dva switche, nebo administrovatelny switch, ktery ty pakety proste na "druhy kabel" nepusti.
P.
No a neni tohle vsechno uplne zbytecne, kdyz utocnik ziska roota? Vyjma snad bodu 567... ?
Prave proto jsem pokladal tenhle dotaz, protoze jak pises, podle tutorialu vsechno rozchodit neni problem, ale zacatecnik snadno neco prehledne, nebo podceni. Slo mi tedy prave o to zjistit, jake jsou potencialni rizika a jestli jsou vysoka (proste mira zneuzitelnosti, protoze zneuzit a prolomit se da vse, otazkou je, jak casto se takovy problem vyskytne a zda vubec nekomu muj server stoji za to, aby to stihl do doby, nez ubuntu vyda zaplatu).
Cili asi bude lepsi provozovat ten server soukromne, nepristupny z netu, nebo jen pro hrstku znamych a tyhle exponovane veci dat na placeny hosting, kde tohle vsechno resi zkuseny admin.
P.S. dokazal by mi nekdo poradit, jak jednoduse otestovat nastaveni firewallu? Muzu k te siti pristupovat z venku z jineho pripojeni...
Ono to bylo asi mysleno tak, ze i kdyz se potom dostane do vnitrni site, tak nenapacha takovou skodu, jako kdyz treba zjisti heslo a bude zkouset zadavat na ruzne sluzby.
Je fakt, ze instalovat selinux a takove kejkle se mi fakt nechce, to radeji ten system necham zvenci uzavreny. Proto se mi prave moc nelibi ta myslenka, to otevirat ven, i kdyz by mi to asi dost pomohlo.
Myslim, ze je zbytecne zabihat do uplnych obskurnich detailu, nemam na tom serveru data z nasa, ale slo mi spis o nasmerovani, treba i na nejaky clanek, kde bych se docetl, jake jsou potencialni rizika a slo mi asi i o to, jestli mi to nejaky zkuseny admin proste nerozmluvi, s tim, ze "nechej si to zavrene, pro sebe, hrej si a uc se na tom s linuxem, ale nepoustej tam lidi z venci". A proste po tom, co par opensource projektu na PHP provozuju (na komercnim hostingu) - vim, ze jakmile se nekde spusti neco v PHP, je to bezpecnostni problem a neustala starost o sledovani novinek a zalepovani der. Nevim, jak je na tom konkretne PHPBB, ale treba s Joomlou jsem si uzil svoje a to je pak cloveku dost neprijemne od zaludku, kdyz vidi, jak se mu kdekdo prohani po webu a upravuje scripty. Proto bych nechtel, aby se diky nejakemu nepodarenemu scriptu prohanel po firemnim serveru.Nevadi mi, kdyz kompromituje to phpbb, smaze ho, apod. Ale nesmi se dostat dale do site, potazmo na ten linuxovy server.
Proto bych jako reseni uvital ne nejaky selinux a jine silenosti na tydenni studium (placeny hosting me vyjde max. na blbe 4 stovky rocne), ale spise zpusob, jak te aplikaci zabranit, i kdyz ji nekdo prolomi, aby se dostal mimo ten jeji pisecek. Chtelo by to neco, jako jsou virtualky pro operacni systemy. Urcite mi nekdo namitne, ze to jde udelat. Jasne, ale strasne se mi tim vsechno zkomplikuje. A me se prave na virtualizaci libi to, jak je to ucinne, ale pritom jednoduche
Buď tu (ne úplně bezpečnou) aplikaci spusť v LXC1 nebo aspoň použij PHP-FPM a spouštěj ji pod uživatelem vyhrazeným jen pro ni.
Pro úspěšný útok by se ti pak musely sejít dvě chyby: 1) v té aplikaci 2) v systému – lokální eskalace práv nebo dokonce možnost vyskočení z LXC.
Plus k tomu přidej obvyklé zabezpečení na úrovni php.ini
(zákaz některých funkcí, omezení open_basedir
atd.). A omezení firewallem – když víš, pod jakým UID ta aplikace běží, tak jí v iptables
můžeš zakázat navazovat spojení ven.
[1] lehká virtualizace (resp. kontejner) uvnitř toho současného virtuálu
P.S. a pokud to není nějaká aplikace pro frikulínskou veřejnost, ale spíš něco jako intranet, tak tam dej HTTP(S) basic autentizaci → bez hesla nebude útočník ani vědět, že tam nějaké phpbb běží, protože ho Apache vůbec nepustí dál.
LXC negarantuje izolaciu, takze vyskocenie z LXC nemusi byt chyba. Root v LXC = root v hostujucom systeme.
Tiskni Sdílej: