Skocz do zawartości
fazi

Pomoc w wyjaśnieniu kwestii bezpieczeństwa.

Polecane posty

Witam

 

mam hosting na home.pl i zastanowiła mnie jedna kwestia bezpieczeńśtwa.

 

Mianowicie na serwerze mam kilka stron opartych o wordpressa tak skonfigurowanych że każda jest na oddzielnej domenie, domeny są podłączone z separacją serwisu i poukładane w strukturze w taki sposób:

 

domena1.com.pl jest w katalogu /serwer/public_html/domena1

domena2.com.pl jest w katalogu /serwer/public_html/domena2

domena3.com.pl jest w katalogu /serwer/public_html/domena3

 

Przy zarządzaniu mam oddzielne konta ftp do każdej domeny ale w strukturze plików każda dostanie się w strukturze z poziomu domena1 do domena2 to pójście w góre i w dół.

 

Więc moje pytanie na ile np. przy włamaniu (dostaniu się wirusa) na domena1 istnieje niebezpieczeństwo dla domen 2 i 3 ?

 

Z góry dzięki za wyjaśnienia.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

odpowiedziałeś sobie sam na pytanie tu: "ale w strukturze plików każda dostanie się w strukturze z poziomu domena1 do domena2 to pójście w góre i w dół"

 

:)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

No tak tylko wiem że z poziomu shell jest to łatwe a czy równie łatwe jest to z poziomu PHP będąc skryptem na poziomie domena1?

Biorąc też pod uwagę te separację serwisu choć nie wiem czy separacja tego się tyczy..

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

By móc to rozdzielić musisz mieć resellera, tak to na jednym hack`u pójdą wszystkie domeny.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Spoofy

Witam

 

mam hosting na home.pl i zastanowiła mnie jedna kwestia bezpieczeńśtwa.

 

Mianowicie na serwerze mam kilka stron opartych o wordpressa tak skonfigurowanych że każda jest na oddzielnej domenie, domeny są podłączone z separacją serwisu i poukładane w strukturze w taki sposób:

 

domena1.com.pl jest w katalogu /serwer/public_html/domena1

domena2.com.pl jest w katalogu /serwer/public_html/domena2

domena3.com.pl jest w katalogu /serwer/public_html/domena3

 

Przy zarządzaniu mam oddzielne konta ftp do każdej domeny ale w strukturze plików każda dostanie się w strukturze z poziomu domena1 do domena2 to pójście w góre i w dół.

 

Więc moje pytanie na ile np. przy włamaniu (dostaniu się wirusa) na domena1 istnieje niebezpieczeństwo dla domen 2 i 3 ?

 

Z góry dzięki za wyjaśnienia.

 

Szczerze to niestety home.pl nie stosuje jakiś ciekawych zabezpieczeń pod tym względem. Oddzielne FTP nie ma nic do rzeczy - wszystko systemowo jest jednego użytkownika. Kwestia ustawień np. PHP'a np. open basedir, modułów etc.

 

No i cóż to za "wirus" miałby tam się dostać, hmm? Jakiś shell czy coś grubszego? Tak na dobrą sprawę to da się zrobić dużo - trust me :)

 

P.S. Jeżeli da się zrobić po prostu ../domenaX jak powiedział to Misiek08 to już wogóle hardcore :D

Edytowano przez Spoofy (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

Szczerze to niestety home.pl nie stosuje jakiś ciekawych zabezpieczeń pod tym względem. Oddzielne FTP nie ma nic do rzeczy - wszystko systemowo jest jednego użytkownika. Kwestia ustawień np. PHP'a np. open basedir, modułów etc.

 

No i cóż to za "wirus" miałby tam się dostać, hmm? Jakiś shell czy coś grubszego? Tak na dobrą sprawę to da się zrobić dużo - trust me :)

 

P.S. Jeżeli da się zrobić po prostu ../domenaX jak powiedział to Misiek08 to już wogóle hardcore :D

 

Żaden hardcore na takich "hostingach", gdzie bezpieczeństwo jest 2 od końca (pierwsi są klienci). Jeden user systemowy pod FTPa, jeden user pod PHPa i ../ prowadzi tam gdzie chcesz.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

Szczerze to niestety home.pl nie stosuje jakiś ciekawych zabezpieczeń pod tym względem. Oddzielne FTP nie ma nic do rzeczy - wszystko systemowo jest jednego użytkownika. Kwestia ustawień np. PHP'a np. open basedir, modułów etc.

 

No i cóż to za "wirus" miałby tam się dostać, hmm? Jakiś shell czy coś grubszego? Tak na dobrą sprawę to da się zrobić dużo - trust me :)

 

P.S. Jeżeli da się zrobić po prostu ../domenaX jak powiedział to Misiek08 to już wogóle hardcore :D

 

Mamy kilka ciekawych zabezpieczeń, od samego logowania na FTP aż to próbę 'wstrzyknięcia' niechcianych plików, kodów etc. W marcu tego roku dodaliśmy m.in. WAF, który dba o Wordpressy i Joomle zainstalowane na serwerach klientów. Oczywiście należy pamiętać o regularnym aktualizowaniu aplikacji - bazowanie na WP w wersji 2.0 i niżej to dzisiaj hazard :)

 

Co do zgłoszenia Miśka - jeżeli domena jest podczepiona pod katalog z aplikacją na zasadzie separacji, to nie ma możliwości odwołania się z tego katalogu do innego (położonego wyżej). Separacja działa na zasadzie roota - wyznaczony katalog staje się systemowo katalogiem głównym. Jeżeli konta FTP na hostingu są utworzone z prawami do oddzielnych katalogów (a nie do katalogi głównego serwera), jest to bezpieczne rozwiązanie.

 

Dodam może, że na przestrzeni ostatni 6 miesięcy liczba zgłoszeń typu "ukradli mi stronę, wstrzyknęli kod!" zmalała o spory procent. To również kwestia nowych wersji WP i Joomli, które są bezpieczniejsze niż wcześniej.

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Spoofy

 

Mamy kilka ciekawych zabezpieczeń, od samego logowania na FTP aż to próbę 'wstrzyknięcia' niechcianych plików, kodów etc. W marcu tego roku dodaliśmy m.in. WAF, który dba o Wordpressy i Joomle zainstalowane na serwerach klientów. Oczywiście należy pamiętać o regularnym aktualizowaniu aplikacji - bazowanie na WP w wersji 2.0 i niżej to dzisiaj hazard :)

 

Co do zgłoszenia Miśka - jeżeli domena jest podczepiona pod katalog z aplikacją na zasadzie separacji, to nie ma możliwości odwołania się z tego katalogu do innego (położonego wyżej). Separacja działa na zasadzie roota - wyznaczony katalog staje się systemowo katalogiem głównym. Jeżeli konta FTP na hostingu są utworzone z prawami do oddzielnych katalogów (a nie do katalogi głównego serwera), jest to bezpieczne rozwiązanie.

 

Dodam może, że na przestrzeni ostatni 6 miesięcy liczba zgłoszeń typu "ukradli mi stronę, wstrzyknęli kod!" zmalała o spory procent. To również kwestia nowych wersji WP i Joomli, które są bezpieczniejsze niż wcześniej.

 

 

A jaki to WAF jeżeli można wiedzieć? Z tego co pamiętam to chyba wy mieliście już wcześniej modsec'a którego i tak 99,9% waszych klientów wyłaczało bo powodował tylko błedy przy instalacji np. WP (do czasu aż wykastrowaliście owego "WAF'a" z wielu regułek). Żeby korzystać z WAF'a to trzeba mieć możliwość dostosowania go, a w przypadku np. modsec'a to wiele opcji nie jest dostępnych z poziomu rewrite/htaccess.

 

Chodzi o samo bezpieczeństwo niższego poziomu, niezależnie od tego co i jak bardzo dziurawego stoi na danym vhost'cie. Tak działa wiele innych firm hostingowych, nawet na leniwca stosując cloudlinux'a z cage FS'em przykładowo.

 

Jeszcze raz powtarzam, solidny hosting to taki hosting który potrafi zabezpieczyć inne strony przed nawet dziurawą, starą wersję jakiegoś skryptu stojącego obok. Jeżeli korzystacie z apache'a czy litespeed'a to przecież macie naprawdę wielkie pole do popisu żeby bez dawania nawet osobnych user'ów odpalających php'a na danych ustawieniach, odseparować taką strukturę katalogów jak wymienioną wyżej. Oczywiście, jeszcze dużo czasu minie zanim zdacie sobie sprawę że świadomi klienci którzy cenią bezpieczeństwo danych, wolą od bidy postawić nawet głupiego VPS'a i skonfigurować go pod siebie ( co ma oczywiście swoje minusy ). Na rynkach zachodnich, firmy które żyją z shared hostingu wprowadzają wiele feature'ów m.in. pod względem bezpieczeństwa aby ich zwyczajnie nie tracić. Ciekawe kiedy świadomość takiego standardu dotrze do nas.

Edytowano przez Spoofy (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

Ciekawe kiedy świadomość takiego standardu dotrze do nas.

 

Dopóki firmy będą polegały na wspomnianym przez Ciebie Apache'u i dawanym przez niego "polu do popisu" to niewiele się zmieni. Apache jest fajny i ma różne opcje, ale już sam napisałeś o systemach plików, które pozwalają rootować procesy(może to złe określenie, ale chyba tak najprościej) w katalogach.

 

Ja osobiście już dawno pozostawiłem Apache na nieswoich rzeczach i zacząłem oprócz WAFa w Lua używać np. Varnisha z WAFem. Do tego po prostu można podpiąć Cloudflare, które też mają regułki pod popularne CMSy i dość dobrze bronią przed najpopularniejszymi atakami.

 

Ciekawy jestem ile firm w Polsce w ciągu najbliższych 5-10 lat wrzuci klientów na kontenery (lub odpowiedniki w przyszłości), co gwarantowałoby naprawdę separację. Testowo tworzę środowisko, w którym każda domena siedzi w innym kontenerze na dockerze i jak do tej pory - wydaje się to genialne.

 

home.pl - nie przyjmujcie tej krytyki zbyt mocno, bo wyciągnąłem wszystkich, których mogłem od Was jakieś pół roku temu i od tamtego czasu nie mam kontaktu z Waszymi usługami, ale klatka dla FTPa != klatka dla WWW i naprawdę nie było problemem dojście do pliku z domeny X na domenie Y.Z. Fajne zabawy, oczywiście w granicach rozsądku, bo nie chciałem potem dostać oskarżenia o włamanie (na własną stronę na szczęście).

 

Im większa firma tym mniejsze szanse na konkretne zabezpieczenia targetowane w klienta, ale małe firmy też często nie mają na to czasu i pieniędzy, więc ciężko o firmę z WAF'em, klatkami i resztą zabawek.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Spoofy

Niewiem czemu, ale ja jakoś nie mogę się przekonać do CloudFlare'a i docker'a - może dlatego że jestem staroświecki i większość środowisk produkcyjnych trzymam jeszcze w starszych wersjach, update'tując sobie ręcznie do najnowszej wersji np. php'a. Pewno z czasem się to zmieni, przynajmniej u mnie.

Mimo wszystko ja też poszukałem swoich rozwiązań aby odseparować i maksymalnie zabezpieczyć strony na nieco niższym poziomie niż docker, zwyczajnie zastosowałem setup RBAC per vhost. Piękne rozwiązanie, idealne na uniwersalną produkcję.

 

Oczywiście że firmy które już ledwo żyją z shared hostingu i które nie mają pomysłu na siebie w nowej rzeczywistości nie będą za te kilka groszy na rok implementować czegokolwiek poważnego, a szkoda bo to może być pomysł na biznes przy rosnącej liczbie potencjalnych, świadomych klientów.

 

Fajnie widzieć że od tej strony są ludzie i firmy świadome, potrafiące wprowadzać rozwiązania które działają, takie jak Twoje.

 

Pozdrawiam serdecznie.

Edytowano przez Spoofy (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Niewiem czemu, ale ja jakoś nie mogę się przekonać do CloudFlare'a i docker'a - może dlatego że jestem staroświecki i większość środowisk produkcyjnych trzymam jeszcze w starszych wersjach, update'tując sobie ręcznie do najnowszej wersji np. php'a. Pewno z czasem się to zmieni, przynajmniej u mnie.

 

Mimo wszystko ja też poszukałem swoich rozwiązań aby odseparować i maksymalnie zabezpieczyć strony na nieco niższym poziomie niż docker, zwyczajnie zastosowałem setup RBAC per vhost. Piękne rozwiązanie, idealne na uniwersalną produkcję.

 

Oczywiście że firmy które już ledwo żyją z shared hostingu i które nie mają pomysłu na siebie w nowej rzeczywistości nie będą za te kilka groszy na rok implementować czegokolwiek poważnego, a szkoda bo to może być pomysł na biznes przy rosnącej liczbie potencjalnych, świadomych klientów.

 

Fajnie widzieć że od tej strony są ludzie i firmy świadome, potrafiące wprowadzać rozwiązania które działają, takie jak Twoje.

 

Pozdrawiam serdecznie.

 

Cloudflare polecam, do nginx'a nie zmuszam, bo od razu kończysz z .htaccess (z którym wszyscy powinni skończyć, bo już czas).

 

Są ludzie i firmy świadome, ale nie wiem czy u nas. Nie słyszałem o żadnej firmie w Polsce, która używa takiego podejścia. Szkoda, bo narzut jest w sumie niezbyt duży, a bezpieczeństwo (prawie) 100%. Pomijam już kwestie prac modernizacyjnych, gdzie można zamrozić kontener, przenieść na inny serwer i odpalić mając wszystko działające lub nawet odpalając kopię kontenera i po prostu przenosząc ruch (bazy trzymane na innej fizycznej maszynie). Wtedy prace można robić tak, że klienci nie będą mieli więcej downtime'u niż czas kopiowania.

 

Czekam aż firmy zaczną stosować rozsądne rozwiązania, ale (pomimo iż jestem młody) raczej tego nie dożyję w naszym państwie.

 

Również pozdrawiam!

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ciekawy jestem ile firm w Polsce w ciągu najbliższych 5-10 lat wrzuci klientów na kontenery (lub odpowiedniki w przyszłości), co gwarantowałoby naprawdę separację. Testowo tworzę środowisko, w którym każda domena siedzi w innym kontenerze na dockerze i jak do tej pory - wydaje się to genialne.

Są ludzie i firmy świadome, ale nie wiem czy u nas. Nie słyszałem o żadnej firmie w Polsce, która używa takiego podejścia. Szkoda, bo narzut jest w sumie niezbyt duży, a bezpieczeństwo (prawie) 100%. Pomijam już kwestie prac modernizacyjnych, gdzie można zamrozić kontener, przenieść na inny serwer i odpalić mając wszystko działające lub nawet odpalając kopię kontenera i po prostu przenosząc ruch (bazy trzymane na innej fizycznej maszynie). Wtedy prace można robić tak, że klienci nie będą mieli więcej downtime'u niż czas kopiowania.

Kilka miesięcy temu, myślałem o konteneryzacji usług WWW :P Możesz powiedzieć coś więcej o swoich testach?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ja to tam kombinuję, ale testowałem wersję z LEMP na 1 kontenerze i drugą, gdzie na kontenerze jest php z plikami lub nginx+php z plikami, a przed tym wszystkim nginx + varnish, który rzuca ruch na kontenery.

 

Narzut niewielki, bezpieczeństwo testowałem z kilkoma grupami i każdy szalał jak chciał, ale tylko w obrębie kontenera. Użyłbym tego produkcyjnie gdybym miał firmę na pewno. Klient chce .htacces? Proszę! Nie chce? Lepiej, sam nginx!

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×