tomii 0 Zgłoś post Napisano Lipiec 2, 2008 Właśnie planuje się zając zabezpieczeniem mojego skromnego serwerka i stąd moje pytanie czy lepiej użyć chroot do uruchamiania takich usług jak serwer www i mysql czy lepiej jail. Co z użytkownikami posiadającymi konta shell - w stosunku do nich też użyć takiego zabezpieczenia? Prosiłbym też o jakieś obszerniejsze materiały na ten temat, bo to co znalazłem było bardzo skrótowe. PS. jak wy dbacie o bezpieczeństwo na waszych serwerach? Udostępnij ten post Link to postu Udostępnij na innych stronach
p 3 Zgłoś post Napisano Lipiec 2, 2008 PS. jak wy dbacie o bezpieczeństwo na waszych serwerach?Używamy jedynego słusznego systemu operacyjnego Udostępnij ten post Link to postu Udostępnij na innych stronach
Mescam 0 Zgłoś post Napisano Lipiec 2, 2008 Jak dla mnie to najlepiej jail i jądro z łatami grsecurity. Udostępnij ten post Link to postu Udostępnij na innych stronach
tomii 0 Zgłoś post Napisano Lipiec 2, 2008 a co wg Ciebie jest ważniejsze w pierwszej kolejności? Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość patrick Zgłoś post Napisano Lipiec 2, 2008 Stawiamy vps'y Udostępnij ten post Link to postu Udostępnij na innych stronach
Mescam 0 Zgłoś post Napisano Lipiec 2, 2008 Grsecurity wprowadza nam już ładne środowisko do wspóldzielenia. Mówię tu o przykładzie, gdzie udostępniamy konta shell. Przykładowo user ma dostęp do informacji z proc tylko jeżeli dany proces dotyczy bezpośrednio jego. Taki htop wyświetla tylko jego procesy. Jeżeli źle mówię - poprawcie Udostępnij ten post Link to postu Udostępnij na innych stronach
malu 460 Zgłoś post Napisano Lipiec 2, 2008 Również istnieje takie coś jak rsbac, ale najprościej to pewnie chroot. rsbac - podchodzi z grsec. //edit a może to był rbac? Nie pamiętam juz xD Udostępnij ten post Link to postu Udostępnij na innych stronach
ksk 67 Zgłoś post Napisano Lipiec 2, 2008 W sumie sam zainstaluje sobie albo ktoś mi grsecurity jak wróce bo z tego co czytam o tym dobre to jest Udostępnij ten post Link to postu Udostępnij na innych stronach
malu 460 Zgłoś post Napisano Lipiec 2, 2008 Miłego kompilowania kernela kisiek Udostępnij ten post Link to postu Udostępnij na innych stronach
ksk 67 Zgłoś post Napisano Lipiec 2, 2008 W 40 minut tego nie zrobię a za niedługo mam samolot więc Nydyrydy dzisiaj . Zapewne złapie patricka na gg i jakoś się z nim dogadam Udostępnij ten post Link to postu Udostępnij na innych stronach
malu 460 Zgłoś post Napisano Lipiec 2, 2008 W takim razie miłej podróży xD Udostępnij ten post Link to postu Udostępnij na innych stronach
beliq 442 Zgłoś post Napisano Lipiec 2, 2008 Używamy jedynego słusznego systemu operacyjnego™ jesteś niereformowalny w gwoli wyjaśnienia: jail to system separacji procesów z systemów UNIX chroot to jego uproszczona wersja ( nie pytajcie już, nie pamiętam w czym uboższa) dla systemów Linux używanie jakichkolwiek patchy na jądro ( GRSecurity, OpenWall, LIDS etc.), chroot'owanie daemonów, używanie systemów audytu wywołań ( RBAC, SELinux) bez przestudiowania manuala grozi fałszywym poczuciem bezpieczeństwa i nie kiedy totalną bezużytecznością systemu wszystkim polecam poeksperymentować, ale na Boga, nie na produkcyjnych serwerach z poczuciem "wow, mam coś fajnego i zrobię super security w 5 minut" Udostępnij ten post Link to postu Udostępnij na innych stronach
jarek 4 Zgłoś post Napisano Lipiec 2, 2008 @bell Ty to zawsze musisz nam zepsuć humor i poczucie, że jesteśmy pr0... 'rzal i bul' ( ) Udostępnij ten post Link to postu Udostępnij na innych stronach
beliq 442 Zgłoś post Napisano Lipiec 2, 2008 Ty to zawsze musisz nam zepsuć humor i poczucie, że jesteśmy pr0... wręcz przeciwnie, ja wam w tym pomagam i przestrzegam was przed mało rozważnymi poczynaniami, by was nie spotkało to co mnie kiedyś... choć i tak wiem, że to g**** da takie moje pisanie, bo jak raz się człowiek nie przekona na własnej skórze, że robienie "na szybkiego" jest bee, nie zarwie kilka razy nocy przez serwer, który powinien działać, a funkcjonować nie chce, to i tak będzie robił po staremu... Udostępnij ten post Link to postu Udostępnij na innych stronach
jarek 4 Zgłoś post Napisano Lipiec 2, 2008 ok masta Będę wykonywał all pomału i z manuala nie żadnego tam howto Udostępnij ten post Link to postu Udostępnij na innych stronach
beliq 442 Zgłoś post Napisano Lipiec 2, 2008 Będę wykonywał all pomału i z manuala nie żadnego tam howto łżesz, jutro na wht będzie wątek pt.: "dlaczego jak włączę wszystkie opcje GRSecurity na raz to mi się pojawia permission denied przy próbie zalogowania na root'a?" pamiętam tak z 7-10 lat temu, gdy pierwszy raz dorwałem płytkę z FreeBSD, to się 3 dni męczyłem nim odkryłem, że "security level ustawione na 2" (a brzmiało tak bajerancko i cudownie, do dziś mnie takie stwierdzenia kręcą ) nie pozwala zrobić kldload ( insmod w Linuxie )... ma się te wspomnienia Udostępnij ten post Link to postu Udostępnij na innych stronach
lazy 33 Zgłoś post Napisano Lipiec 2, 2008 jesteś niereformowalny w gwoli wyjaśnienia: jail to system separacji procesów z systemów UNIX chroot to jego uproszczona wersja ( nie pytajcie już, nie pamiętam w czym uboższa) dla systemów Linux chroot wystepuje chyba we wszystkich unixach jest mniej wiecej identyczny i standardowy, nie byl pomyslany jako mechanizm zapewniajcy bezpieczenstwo, a mimo to byl za taki uznawany mimo to ze bez np. grsecurity mozna z takiego chroota dosc prosto w wielu sytuacjach uciec albo siac zniszczenie z wewnatrz nie jest to zatem uproszczona wersja niczego a tu jest ciekawa wymiana zdan z lkm nt. zekomych bugow w linuxowym chroot(2) http://kerneltrap.org/mailarchive/linux-ke...007/9/19/263398 *bsd jail tak jak piszesz zapewnia juz realna separacje procesow na podobnym albo i wyzszym niz odpowednio skonfigurowany grsec na linuxie -- Lazy Udostępnij ten post Link to postu Udostępnij na innych stronach
beliq 442 Zgłoś post Napisano Lipiec 3, 2008 a tu jest ciekawa wymiana zdan z lkm nt. zekomych bugow w linuxowym chroot(2)http://kerneltrap.org/mailarchive/linux-ke...007/9/19/263398 przeczytałem całą dyskusję, w sumie niczego nowego się nie dowiedziałem z niej, nie mnie jedna strasznie spodobało mi się jedno stwierdzenie, które tam w tej wymianie zdań padło: Oh, for fsck sake... *bsd jail tak jak piszesz zapewnia juz realna separacje procesow na podobnym albo i wyzszym niz odpowednio skonfigurowany grsec na linuxie jail'e rządzą - szkoda, tylko, że na ich knawie nie można budować quasi VPSów limitując zasoby per taki sandbox wygodnie w rc.conf Udostępnij ten post Link to postu Udostępnij na innych stronach
tomii 0 Zgłoś post Napisano Styczeń 15, 2009 Czy można powiedzieć że system z dobrze skonfigurowanym jail i grsecurity (i programami) jest bezpieczny na tyle żeby stał na nim nieduży-średni serwis serwis? Udostępnij ten post Link to postu Udostępnij na innych stronach
merloy 0 Zgłoś post Napisano Styczeń 15, 2009 Czy można powiedzieć że system z dobrze skonfigurowanym jail i grsecurity (i programami) jest bezpieczny na tyle żeby stał na nim nieduży-średni serwis serwis? Oczywiście że nie. Czy masz zabezpieczone również usługi, z których korzysta twój serwis? Udostępnij ten post Link to postu Udostępnij na innych stronach
tomii 0 Zgłoś post Napisano Styczeń 15, 2009 narazie nie, chodzi mi określenie pewnego standardu zabezpieczeń. Tzn jeżeli, jak wspomniałem, system z dobrze skonfigurowanym jail i grsecurity, usługi też są zabezpieczone przez skonfigurowany jail i grsecurity. Czy to oznacza że jestem względnie bezpieczny? Np. jeśli stawiacie dedyka na średni serwis to co stosujecie? Udostępnij ten post Link to postu Udostępnij na innych stronach
malu 460 Zgłoś post Napisano Styczeń 15, 2009 narazie nie, chodzi mi określenie pewnego standardu zabezpieczeń. Tzn jeżeli, jak wspomniałem, system z dobrze skonfigurowanym jail i grsecurity, usługi też są zabezpieczone przez skonfigurowany jail i grsecurity. Czy to oznacza że jestem względnie bezpieczny? Np. jeśli stawiacie dedyka na średni serwis to co stosujecie? Trzymajcie mnie Wiesz o czym Ty w ogóle mówisz kotek? Udostępnij ten post Link to postu Udostępnij na innych stronach
tomii 0 Zgłoś post Napisano Styczeń 15, 2009 nieznam się zbytnio na tematyce bezpieczeństwa, więc przepraszam jeżeli coś źle napisałem. Chodzi mi o to od jakich elementów zacząć zabezpieczanie systemu (linux). I jak waszym zdaniem wygląda przyzwoity poziom bezpieczeństwa? Udostępnij ten post Link to postu Udostępnij na innych stronach
malu 460 Zgłoś post Napisano Styczeń 15, 2009 Odpowiedz sobie na pytanie co chcesz osiągnąć. Bezpieczeństwo, ale jakiego poziomu dostępu do serwera. Zupełnie inaczej będzie to w przypadku dostępu 1 osoby, a zupełnie inaczej w wypadku serwera do którego będzie miało dostęp naście/set osób. Jakie usługi będą oddane do dostępu publicznego. Nie da się jednoznacznie tego określić. Udostępnij ten post Link to postu Udostępnij na innych stronach
tomii 0 Zgłoś post Napisano Styczeń 15, 2009 w przypadku gdy to ma być serwer dla niezbyt dużego serwisu www (serwer www, mysql , ftp) i dostęp dla kilku zaufanych osób przez ssh. Wiem że temat zabezpieczania to temat rzeka, i zastanawiam się co musze zrobić aby spać w miare spokojnie, przechowywane dane określiłbym jako istotne ale nie bezcenne. Udostępnij ten post Link to postu Udostępnij na innych stronach
