Skocz do zawartości


 

Zdjęcie

Koty na WHT, Fakty i Mity + Poradnik

Koty na WHT, Fakty i Mity + Poradnik

  • Proszę się zalogować aby odpowiedzieć
67 odpowiedzi na ten temat

Koty na WHT, Fakty i Mity + Poradnik

#41 Zoel

Zoel

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 122 postów

Napisany 14 kwiecień 2013 - 01:04

Ktoś tutaj pisał o fail2ban - da się go przyspieszyć (czy z racji jego budowy nie)? Pomimo ustawionej blokady po 3 próbach nieraz się ocknie jak w logach jest już 10 wpisów..


Edytowany przez Zoel, 14 kwiecień 2013 - 01:06.

  • 0

#42 Pan Kot

Pan Kot

    Mrrr

  • Zbanowani
  • PipPipPipPipPipPipPipPip
  • 2819 postów

Napisany 14 kwiecień 2013 - 01:40

First of all, remember that Fail2ban is a log parser. It cannot do anything before something is written in the log files. Lots of syslog daemons buffer their outputs. This can impact performance of Fail2ban. Thus, it could be good to disable buffering of your syslog daemon.

It is quite difficult to evaluate the reaction time. Fail2ban waits 1 second before checking for new logs to be scanned. This should be fine in most cases. However, it is possible to get more login failures than specified by maxretry.

  • 0

#43 Zoel

Zoel

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 122 postów

Napisany 14 kwiecień 2013 - 02:35

Odnośnie Cloudflare warto wspomnieć o mod_cloudflare do Apache który zamienia IP z CF na prawdziwe.


Edytowany przez Zoel, 14 kwiecień 2013 - 02:36.

  • 0

#44 Pan Kot

Pan Kot

    Mrrr

  • Zbanowani
  • PipPipPipPipPipPipPipPip
  • 2819 postów

Napisany 15 kwiecień 2013 - 02:49

Odnośnie Cloudflare warto wspomnieć o mod_cloudflare do Apache który zamienia IP z CF na prawdziwe.

 

Dodałem ;).


  • 0

#45 Zoel

Zoel

    Stały użytkownik

  • Użytkownicy
  • PipPipPipPipPip
  • 122 postów

Napisany 16 kwiecień 2013 - 09:17

Odnośnie DoS (jedno D):

 

I am under DoS attack. My cloud based server hosting company asked me to enable TCP SYN cookie protection to save my domain from SYN Attack. How do I turn on TCP Syn cookie protection under Ubuntu or CentOS Linux based server?

 

http://www.cyberciti...kie-protection/


  • 0

#46 Pan Kot

Pan Kot

    Mrrr

  • Zbanowani
  • PipPipPipPipPipPipPipPip
  • 2819 postów

Napisany 16 kwiecień 2013 - 14:55

Odnośnie DoS (jedno D):

 

 

http://www.cyberciti...kie-protection/

 

Od dawna w sysctl ;).

# Turn on syncookies for SYN flood attack protection

net.ipv4.tcp_syncookies = 1


  • 0

#47 mynod3

mynod3

    Nowy użytkownik

  • Użytkownicy
  • 16 postów

Napisany 01 maj 2013 - 20:04

Mam kilka pytań odnośnie bezpieczeństwa, to są pytania z serii - "zawsze chciałem się o to zapytac ale się wstydziłem" :)

 

1. Czy przy pierwszej konfiguracji vps-a/dedyka (instalacja serwera, baz, firewalla) powinno się pracować na roocie czy przez sudo na userze? Ja to robie z roota a dopiero później blokuje roota jak już wszystko poinstalowane - ma to jakieś znaczenie w ogóle? Taka kolejność? Wydaje mi sie, że niektórych rzeczy nie da się zainstalować poprzez użytkownika + sudo.

 

2. Co się dzieje z vpsem/dedykiem podczas dużego ddosu po udp, takiego, że programowy firewall nie jest w stanie go ogarnąć - szczerze to nigdy nie byłem ofiarą ddos - czy np. dedyk po prostu się wyłącza czy ciągle zamula? Czy może się uszkodzić maszyna? system?

 

3. Jaki polecacie IDS (tylko Tripwire przychodzi mi do głowy) oraz jaki dobry i prosty program do monitorowania ale taki, który by współpracował (bądź nie kolidował) z nginx oraz mariadb?

 

4. Czy da się z vpsa zrobić firewall i połączyć go z drugim vpsem na którym byłyby docelowe strony? Tak, żeby atakujący nie znał prawdziewgo ip gdzie stoi strona? O czym powinienem poczytać?

 

Z góry dzięki za odp ;)


  • 0

#48 t4t4v4

t4t4v4

    Stały użytkownik

  • WHT Pro
  • PipPipPipPipPip
  • 396 postów
  • Skąd:Dziki Wschód

Napisany 01 maj 2013 - 20:17

1. Rób przez  root'a, później wyłącz dostęp z zewnątrz na niego

2. Nic się nie dzieje.. DDoS to najbardziej prymitywny atak, który tylko zatyka łącze.
3. Munin
4. Można kombinować, tylko po co? Od maskowania IP masz chociażby CloudFlare.


  • 0

#49 Pan Kot

Pan Kot

    Mrrr

  • Zbanowani
  • PipPipPipPipPipPipPipPip
  • 2819 postów

Napisany 01 maj 2013 - 21:05

1. Sudo to nic innego jak wykonywanie danej komendy na przywilejach roota. Zapewnia dokładnie taką samą kontrolę jak root, co więcej. Poprzez komendę sudo -i logujesz się na roota poprzez sudo, a więc nie masz już żadnych ograniczeń i komendy możesz wykonywać bez sudo. Co jest lepsze? Zależy, ja od zawsze mam roota domyślnie włączonego, tyle że po logowaniu kluczem więc brute-force tu nie zadziała, a jakby mi ktoś przejął klucz ssh to i tak by się dostał więc nie jest to ważne czy user czy root.

 

2. Oczywiście, że się dzieje. Chyba avatat nigdy nie miał doczynienia z DDoS'em ;). Kernel przyjmuje na klatę pakiety, a zatem wzrasta znacznie zużycie CPU, jeden wątek (thread) jest praktycznie całkowicie zatkany i nie ma żadnej opcji cokolwiek z tym zrobić. M.in dlatego też jeśli masz VPS'a bądź dedyka z tylko jednym thread'em (nie mylić z rdzeniem) to DDoS rozłoży Ci zarówno łącze jak i CPU.

 

3. Pytanie czy w ogóle potrzebujesz IDS'a. W rzeczywistości podążając za moim poradnikiem otrzymujesz out-of-box rozwiązanie i wystarczy analiza tego, co Ci wysyła CSF + Fail2Ban, nie ma opcji żeby CSF ukrył przed nami coś, co chcemy zobaczyć. IDS to po prostu taki nasłuchiwacz wszystkich pakietów, który je analizuje i ew. prowadzi jakąś akcję. Rzekłbym, że grsecurity też pełni rolę IDS'a, a konkretniej to pax z jego active response to attacks. Nie widzę żadnej potrzeby pośredniczenia się zbędnymi dodatkami kiedy mamy CSF'a i grseca. A co do monitoringu to munin rzeczywiście jest dobry, mamy jeszcze zabbixa, a ja osobiście korzystam tylko z cronowych checków danych usług w webminie, ponieważ nie potrzebuję nic więcej.

 

4. Oczywiście, że się da. Funkcja forward w sysctl + odpowiednie reguły mangle i jedziesz. Przecież dokładnie tak samo działa jakikolwiek VPN.


  • 0

#50 kafi

kafi

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 3412 postów

Napisany 01 maj 2013 - 23:28

Sudo to nic innego jak wykonywanie danej komendy na przywilejach roota.

Niekoniecznie na prawach roota.

 

 

 

Zapewnia dokładnie taką samą kontrolę jak root, co więcej.

Przy debilnej konfiguracji owszem. Ale można przecież pobawić się w ograniczenia dostępu w pliku sudoers

i stworzyć sobie np. klika poziomów dostępu do komend.

 

 

 

Funkcja forward w sysctl + odpowiednie reguły mangle i jedziesz

I po krótkiej jeździe dostaniesz informację, że serwerowniowy IPS wykrył emisję niedozwolonych pakietów

i nastąpił interface Ethernet 12/20/222 shutdown ;)

 

 

 

4. Czy da się z vpsa zrobić firewall i połączyć go z drugim vpsem na którym byłyby docelowe strony? Tak, żeby atakujący nie znał prawdziewgo ip gdzie stoi strona? O czym powinienem poczytać?

Musisz postawić na tym drugim VPSie serwer proxy. Czy to nginx, squid, czy to prymitywny DNAT z użyciem iptables.

Tylko wtedy musisz pamiętać, że stockowo na docelowym serwerze jako REMOTE_ADDR dostaniesz IP serwera proxy a nie klienta.

 

---

 

PS: Czytając sobie ten początkowy post - za sugestię użycia paczek od debiana sarge (3.1 !!) powinieneś dostać solidnie po łapkach :P Przecież to nie ma prawa stabilnie działać (chociażby ze względu na problemy z wersjami bibliotek dynamicznych).


Edytowany przez kafi, 01 maj 2013 - 23:35.

  • 0

#51 Pan Kot

Pan Kot

    Mrrr

  • Zbanowani
  • PipPipPipPipPipPipPipPip
  • 2819 postów

Napisany 02 maj 2013 - 00:29

@kafi

"sarge" został użyty tylko i wyłącznie przez developerów Webmina, w rzeczywistości nie ma tam nic innego jak WYŁĄCZNIE zaktualizowany webmin, którego nie ma w oficjalnych repo. I m.in został tam właśnie użyty po to, żeby nie nadpisywać żadnego oficjalnego pakietu z repo, o ile taki zostanie wprowadzany. Więc w rzeczywistości dostajemy z tego "złego" sarge'a jeden plik .deb, który dodatkowo ma datę najczęściej nie starszą niż kilka tygodni :D.

 

Sprawdź to "złe" repo i sam zobaczysz. Nie ma absolutnie żadnego sposobu na jakiekolwiek błędy, nie sugeruj się nazwą ;). Oj chyba ktoś inny dostanie po łapkach :D.

 

A co do reszty postu się zgadzam, tyle że odnosiłem się tu do czystego sudo, a nie jego konfiguracji, bo o to pytał @mynod3 ;).


Edytowany przez Archi, 02 maj 2013 - 00:33.

  • 0

#52 t4t4v4

t4t4v4

    Stały użytkownik

  • WHT Pro
  • PipPipPipPipPip
  • 396 postów
  • Skąd:Dziki Wschód

Napisany 02 maj 2013 - 09:01

Łukasz, było pytanie czy może się uszkodzić hard/software maszyny, więc odpowiedziałem, że nic się nie stanie..
Co do wzrostu użycia CPU to masz rację.


  • 0

#53 Pan Kot

Pan Kot

    Mrrr

  • Zbanowani
  • PipPipPipPipPipPipPipPip
  • 2819 postów

Napisany 02 maj 2013 - 11:43

Łukasz, było pytanie czy może się uszkodzić hard/software maszyny, więc odpowiedziałem, że nic się nie stanie..
Co do wzrostu użycia CPU to masz rację.

 

czy np. dedyk po prostu się wyłącza czy ciągle zamula? Czy może się uszkodzić maszyna? system?

 

Ja bym rzekł, że o CPU też tu było pytanie no ale jak kto woli ;). Nie będę się kłócił.


  • 0

#54 krzys21

krzys21

    Nowy użytkownik

  • Użytkownicy
  • 15 postów

Napisany 06 lipiec 2013 - 20:29

Archi,

Dzięki za tutorial. Mam dwa pytania:
1) Czy da się wyłączyć powiadomienia na email z fail2ban o usłudze (started/stopped)? W tej chwili restartuje codziennie serwer po 3-4 razy i za każdym razem dostaje serię maili dla każdej usługi z osobna. Nie chcę aby były blokowane maile dotyczące zdarzeń np. o zablokowanym adresie IP, tylko started/stopped.
2) Co sądzisz o honeypot'ach, ma to w ogóle jakikolwiek sens? Tak myślałem że skoro już korzystamy z niestandardowego portu SSH, to pod standardowy można ustawić honeypot'a, który będzie robić głupa z atakującego i tym samym go zniechęci do dłuższych zabaw.


  • 0

#55 Pan Kot

Pan Kot

    Mrrr

  • Zbanowani
  • PipPipPipPipPipPipPipPip
  • 2819 postów

Napisany 06 lipiec 2013 - 20:45

Archi,

Dzięki za tutorial. Mam dwa pytania:
1) Czy da się wyłączyć powiadomienia na email z fail2ban o usłudze (started/stopped)? W tej chwili restartuje codziennie serwer po 3-4 razy i za każdym razem dostaje serię maili dla każdej usługi z osobna. Nie chcę aby były blokowane maile dotyczące zdarzeń np. o zablokowanym adresie IP, tylko started/stopped.
2) Co sądzisz o honeypot'ach, ma to w ogóle jakikolwiek sens? Tak myślałem że skoro już korzystamy z niestandardowego portu SSH, to pod standardowy można ustawić honeypot'a, który będzie robić głupa z atakującego i tym samym go zniechęci do dłuższych zabaw.

 

1. Sam chciałem się w to zagłębić i generalnie na pewno się da, ale wymaga to zaawansowanych modyfikacji i nie jest tak proste jak zmiana jednego configa. Wiem co czujesz bo sam dostaję lawinę przy każdym updacie CSF'a (mam tam restart fail2ban zaincludowany), ale chyba trzeba z tym żyć. Przynajmniej wiesz, że działa :D.

EWENTUALNIE jeśli aż tak bardzo chcesz to można zawsze to filtrować po stronie serwera lub serwera pocztowego, tak żeby nie wysyłał wiadomości o konkretnej treści. Czy gra warta świeczki? Tak samo jak edity kodu, jak się komuś nudzi to pewno, ale na ogół niezbyt.

 

2. Honeypoty są zbędne, przynajmniej dla mnie. Niepotrzebnie obciążają system i "bawią się" z potencjalnymi włamywaczami. Co Ci da informacja co bot robi z przejętym rootem na ssh? Pewno dołącza do jakiegoś botnetu, kradnie wszystko co znajdzie i ukrywa swoją obecność, nic więcej. Wg. mnie nie ma sensu bawić się w niepotrzebne honeypoty, które jedyne co robią to zajmują zasoby ;).

 

Oczywiście to tylko mój punkt widzenia, nie zdziwię się jak zaraz któryś z użytkowników wytłumaczy Ci dlaczego honeypoty są istotne, ale "to be honest" nie widzę praktycznego zastosowania ani potencjalnego zwiększenia security. Co najwyżej pośrednie zdezorientowanie potencjalnego hakera.


Edytowany przez Archi, 06 lipiec 2013 - 20:47.

  • 0

#56 Rolej

Rolej

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 615 postów
  • Skąd:Szczecinek
  • Firma:Profil prywatny
  • Imię:Przemek
  • Nazwisko:Jagielski

Napisany 25 sierpień 2013 - 17:07

Mówiłeś tutaj o izolowaniu aplikacji od reszty systemu. Mam przez to rozumieć, że każdą jedną aplikacje mam instalować na innym userze i ją jakoś zablokować, tak?


  • 0

#57 Pan Kot

Pan Kot

    Mrrr

  • Zbanowani
  • PipPipPipPipPipPipPipPip
  • 2819 postów

Napisany 25 sierpień 2013 - 17:43

@Rolej

Otóż to. Przyjrzyj się chociażby takiemu nginxowi czy apache'owi. Master proces działa jako root, ale wszystkie swoje dzieci (workerów) forkuje z userem www-data, czyli de facto procesy obsługujące samego apache'a działają na userze www-data, a nie roocie. Na roocie działa tylko master proces, który odpowiada za forki.

 

Taką politykę ma większość aplikacji, proftpd który działa na userze ftp, bind9 który działa na userze bind, mysqld który działa na userze mysql i wiele innych.

 

Spoiler

 

Tak to chociażby wygląda u mnie. Nawet serwer TS'a i music bot jest oddzielony i działa na innym userze. Zauważ, że nawet interpretery php są u mnie oddzielone i każdy vhost ma swojego usera.

 

Dodatkowo jeśli to user serwisowy czyt. nikt nie musi się na niego logować via SSH to bardzo dobrym pomysłem jest mu zabronić logowania poprzez zmianę shella na /bin/false. W przeciwnym wypadku np. jeśli to user FTP to bardzo dobrym pomysłem jest użycie jaila sftp-internal, o którym napisałem w pierwszym poście. Jeśli obowiązkowo musi on mieć shella to dobrym pomysłem jest opcja GRSecurity Untrusted + Enforce przez co nie może on odpalać żadnych własnych binarek, a korzystać wyłącznie z tego co już jest w systemie. To czasem się przydaje np. jeśli chcesz użytkownikowi pozwolić tylko na bardzo podstawowe akcje na systemie, a ubezpieczyć się na ew. exploity - nie skompiluje i nie uruchomi niczego co sam wgra.


Edytowany przez Archi, 25 sierpień 2013 - 17:48.

  • 0

#58 Rolej

Rolej

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 615 postów
  • Skąd:Szczecinek
  • Firma:Profil prywatny
  • Imię:Przemek
  • Nazwisko:Jagielski

Napisany 25 sierpień 2013 - 17:50

I robiąc coś takiego wystarczy, że zablokuje typa w jego home np.:

adduser ts3 -home /home/ts3

i będzie gotowe?


  • 0

#59 Pan Kot

Pan Kot

    Mrrr

  • Zbanowani
  • PipPipPipPipPipPipPipPip
  • 2819 postów

Napisany 25 sierpień 2013 - 17:51

Oczywiście, że nie. Generalnie taką komendą tylko dodajesz usera i wskazujesz mu home, który i tak jest przecież identyczny jak opcja bez parametru -home.

 

Poczytaj o chroot jak chcesz mieć pełną izolację. Jak się pobawisz to wrzucisz userowi shella + wymagane biblioteki dla TS'a. Ja się w chrooty nie bawię bo są zbyt problematyczne na dłuższą metę, zwykły user bez shella (/bin/false) + grsec untrusted i enforce mi wystarcza.


Edytowany przez Archi, 25 sierpień 2013 - 17:52.

  • 0

#60 Rolej

Rolej

    Weteran WHT

  • WHT Pro
  • PipPipPipPipPipPipPipPip
  • 615 postów
  • Skąd:Szczecinek
  • Firma:Profil prywatny
  • Imię:Przemek
  • Nazwisko:Jagielski

Napisany 25 sierpień 2013 - 17:57

No dobrze. To w takim razie mam jeszcze inne pytanie.

 

Jeżeli bym chciał to wykorzystać tworząc hosting stron WWW (np. ogólnodostępny, darmowy) - to takie rozwiązanie jak wskazałeś (jedna aplikacja na jednego usera) by dało coś do bezpieczeństwa hostingu?


  • 0





0 użytkowników czyta ten temat

0 użytkowników, 0 gości, 0 anonimowych użytkowników