Skocz do zawartości
Fizyda

TeamSpeak 3 - zabezpieczanie, chrootować czy nie?

Polecane posty

Instalacja TS3 nie jest skomplikowana, pytanie tylko czy należy coś bezwzględnie zrobić by zabezpieczyć serwer, no i chrootować czy nie?

 

Z postów na forum wynika że TS3 jest dość dziurawy. Gdy pytałem o samego chroota dowiedziałem się, że jeśli aplikacja go oferuje to warto robić (http://www.webhostingtalk.pl/topic/53940-linux-jailchroot-kiedy-stosowac/?p=461823). Z tego co widzę TS3 nie oferuje chroota, ale @Archi napisał też, że pojedyncze aplikacje jak TS warto chrootować.

 

Więc jak to jest? Poza chrootowaniem coś jeszcze z security dla TSa czy mu wystarczy?

 

EDIT:

Jakaś dokumentacja, manual do ts to istnieje :D?

Edytowano przez Fizyda (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ja wrzuciłem, nie zaszkodziło odizolować. Pamiętaj by jeszcze kernela dotweekować grsecurity. Wtedy chroot będzie coś wart.

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

Generalnie największym zagrożeniem dla TS3 to są dziurawe rangi (może nie dziurawe, ale źle zrobione i wgrywane z paczek z internet). Później robi się bajzel na serwerze.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Generalnie największym zagrożeniem dla TS3 to są dziurawe rangi (może nie dziurawe, ale źle zrobione i wgrywane z paczek z internet). Później robi się bajzel na serwerze.

 

Takich rzeczy robić nie będę więc bez obaw ;). Niemniej dzięki za odpowiedź.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dodatkowo najlepszym zabezpieczeniem jest korzystanie z jak najaktualniejszych wersji TSa. Co chwile na niego coś wychodzi i te łatki w jakimś stopniu na jakiś czas to niwelują. Dodatkowo musisz się pobawić zaporami sieciowymi a z tym jest zabawy. Przy dobrze postawionej zaporze, odpowiednich limitach nie ma mowy o jakiś podstawowych fuckerach, którzy chcą się pobawić.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dodatkowo najlepszym zabezpieczeniem jest korzystanie z jak najaktualniejszych wersji TSa. Co chwile na niego coś wychodzi i te łatki w jakimś stopniu na jakiś czas to niwelują. Dodatkowo musisz się pobawić zaporami sieciowymi a z tym jest zabawy. Przy dobrze postawionej zaporze, odpowiednich limitach nie ma mowy o jakiś podstawowych fuckerach, którzy chcą się pobawić.

Pozostaje jeszcze kwestia flodu/ddos na pozostałe usługi serwera.

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Pozostaje jeszcze kwestia flodu/ddos na pozostałe usługi serwera.

Owszem, lecz jeżeli ktoś stawia serwery z głową to nie stawia TSa na jednej maszynie ze SQL, WWW, etc.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Owszem, lecz jeżeli ktoś stawia serwery z głową to nie stawia TSa na jednej maszynie ze SQL, WWW, etc.

 

Będzie stał na jednej maszynie, ale w osobnym kontenerze lxc z ograniczonymi zasobami. Zastanawiałem się jaką instalacje TS stawiać sqlite czy mysql/mariadb, w internecie doczytałem że z sqlite działa szybciej, a z zewnętrzną bazą danych potrafi mieć lagi przy niektórych operacjach. Co Ty o tym myślisz?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Do czego Ci MySQL/MariaDB na TSie? sqlLite zostawiłbym chociażby dla samej wydajności - jest on domyślny dla TSa, przez co już jego twórcy jakkolwiek go dostosowali do tej roboty.

 

Co do LXC - ja osobiście jestem sceptycznie nastawiony do niego.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Filip Nowacki

Do czego Ci MySQL/MariaDB na TSie? sqlLite zostawiłbym chociażby dla samej wydajności - jest on domyślny dla TSa, przez co już jego twórcy jakkolwiek go dostosowali do tej roboty.

 

Co do LXC - ja osobiście jestem sceptycznie nastawiony do niego.

Chociażby pod wszelkiego rodzaju panele via www ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Można to rozwiązać bez potrzeby zmiany głównej bazy danych.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Filip Nowacki

Jeśli masz na myśli TS3 API czy cokolwiek co leci po query porcie to nie, to nie jest dobry pomysł ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jeśli masz na myśli TS3 API czy cokolwiek co leci po query porcie to nie, to nie jest dobry pomysł ;)

 

Dobrym pomysłem to nie jest pakowanie TSa w MySQL - overhead w postaci socketów i przesyłania danych + niepotrzebnego obciążenia bazy, która ma lepsze rzeczy do roboty nie wyjdzie nikomu na plus.

 

Musiałbyś mieć kilkaset serwerów na jednej maszynie, żeby w ogóle zacząć się zastanawiać czy z punktu wydajnościowego MySQL będzie lepszy. Opóźnienie wynikające z dostępu do bazy MySQL w porównaniu do SQLite jest odczuwalne nawet bez pomiarów. W 99.9% przypadków SQLite będzie lepszy pod każdym względem, a ten specyficzny 0.1% bardzo dobrze zdaje sobie sprawę z tego dlaczego MySQL jest lepszym wyborem.

 

I nie, nie należysz do tego 0.1% - ja też nie.

Edytowano przez Archi (zobacz historię edycji)
  • Upvote 3

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Pozostaje jeszcze kwestia flodu/ddos na pozostałe usługi serwera.

 

Floody i wszelakie ataku DDOS z metod typu : ack, ts3fuck, ts3dropper, ts3_amp lub innej maści skrypty pisane i atakujące aplikacje ts3 są wykorzystywane bardziej w dwóch Państwach. Do takich Państwa najczęściej atakowanych serwerów zaliczamy :

- Polskie,

- Tureckie.

 

Z prowadzenia własnego serwera teamspeak3 natrafiałem na wielką ilość osób, które przychodziły z miłym planem fuzji dwóch serwerów w jeden, a jeżeli otrzymały odpowiedź negatywną (tzw. NIE) to po chwili serwer leżał i kwiczał.

 

Jeżeli jednak tworzysz serwer dla obcokrajowców i innych państw wyżej wymienionych to jesteś bezpieczny do czasu, kiedy potencjalny cebulak nie dowie się, że jesteś Polakiem.

 

 

Generalnie największym zagrożeniem dla TS3 to są dziurawe rangi (może nie dziurawe, ale źle zrobione i wgrywane z paczek z internet). Później robi się bajzel na serwerze.

 

Raczej fałszywa załoga.

 

Poleciłbym :

- zablokować port 10011 oraz 22 (tylko dla wybranych adresów + gametracker)

- nie przyjmować Administracji z zewnątrz (3/4 cebula)

- zablokować dostęp do [listy banów] (chodzi tutaj o uniemożliwienie dodania bana z adresem *.*.*.* potencjalnemu oszustowi)

- nie korzystać z apache2 !

 

Owszem, lecz jeżeli ktoś stawia serwery z głową to nie stawia TSa na jednej maszynie ze SQL, WWW, etc.

 

Z tym się zgodzę, ale i tak stawiają :)

Trzymanie innych aplikacji z ts3 na vps otwiera drogę do łatwiejszego wyrzucenia serwera.

 

 

Będzie stał na jednej maszynie, ale w osobnym kontenerze lxc z ograniczonymi zasobami. Zastanawiałem się jaką instalacje TS stawiać sqlite czy mysql/mariadb, w internecie doczytałem że z sqlite działa szybciej, a z zewnętrzną bazą danych potrafi mieć lagi przy niektórych operacjach. Co Ty o tym myślisz?

 

SQLITE - szybsze niż mysql. Jak przedmówcy lepiej zostać przy sqlite.

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie lepiej przejść na discord ? po co bawić się w jakieś TSy i męczyć się z tym?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
  • Gorsza jakość dźwięku;
  • Jesteś uzależniony od Discord Team. Padnie Discord - padnie wszystko;
  • Discorda nie możesz hostować samodzielnie.

To moje trzy zarzuty dla Discorda. Poza tym - TS3 dalej jest bardzo popularny.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

  • Gorsza jakość dźwięku;
  • Jesteś uzależniony od Discord Team. Padnie Discord - padnie wszystko;
  • Discorda nie możesz hostować samodzielnie.

To moje trzy zarzuty dla Discorda. Poza tym - TS3 dalej jest bardzo popularny.

 

 

Akurat tu się nie zgodzę - TS3 z ich pierdzielniętym systemem licencji jest dużo gorszy jeśli się przyczepić do punktu drugiego.

 

Reszta jak najbardziej.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dla małych grup (do 32 osób) licencja jest już zbędna. Samo hostowanie wystarczy. Licencje dzisiaj już biorą wyłącznie Ci co chcą jakkolwiek jeszcze na tym biznesie zarobić. Pomijając graczy wysokiego szczebla, na tym rynku już mało co można ugrać.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

Akurat tu się nie zgodzę - TS3 z ich pierdzielniętym systemem licencji jest dużo gorszy jeśli się przyczepić do punktu drugiego.

 

Reszta jak najbardziej.

 

Ale możesz za darmo otrzymać tzw. [sponsorship License], która jest zwykła licencją AAL z dopiskiem w pliku licensekey.dat.

 

Taka licencja przyznawana jest na 6 miesięcy z możliwością przedłużenia jej. Wystarczy napisać 2 tygodnie przed wygasaniem :).

 

Licencja ta ma limity tylko do 128 slotów!

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

  • Gorsza jakość dźwięku;
  • Jesteś uzależniony od Discord Team. Padnie Discord - padnie wszystko;
  • Discorda nie możesz hostować samodzielnie.

To moje trzy zarzuty dla Discorda. Poza tym - TS3 dalej jest bardzo popularny.

 

 

A to ciekawe bo jak Tobie vps padnie to pewnie i TS3 padnie aa jak padnie hosting ts3 to i ts3 Tobie padnie ... nie widzę związku..

Jakość głosu słaba? To tam muzykę puszczasz czy rozmawiasz?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Inaczej - nad TSem self-host masz większą kontrolę niż nad Discordem. Jeżeli ktoś nie umie zarządzać VPSem to poprostu tego nie robi, proste jak 2+2=4.

 

A co do jakości głosu - uwierz, ale denerwujący jest fakt obniżonej jakości głosu, ale nie będę dyskutować na ten temat bo to nie miejsce i czas.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Inaczej - nad TSem self-host masz większą kontrolę niż nad Discordem. Jeżeli ktoś nie umie zarządzać VPSem to poprostu tego nie robi, proste jak 2+2=4.

 

A co do jakości głosu - uwierz, ale denerwujący jest fakt obniżonej jakości głosu, ale nie będę dyskutować na ten temat bo to nie miejsce i czas.

 

Dyskutuj , w końcu po to jest te forum.

 

Ja używam discord od bardzo dawna i jakość dźwięku mam bardzo dobrą nie mam żadnych chrupnięć itd.

Zarządzanie VPS to jedno a TS3 to drugie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Spoofy

Fakt: TeamSpeak jest popularniejszy i wygodniejszy dla końcowych użytkowników.

Fakt no.2:

 

Chociażby pod wszelkiego rodzaju panele via www ;)

 

MySQL jest 1000 razy lepszy jeżeli wiesz do czego tego potrzebujesz (i masz do czego to wykorzystać), lecz "teoretycznie" grzebanie bezpośrednio w bazie danych ts'a jest złe i nie wspierane przez twórców (oni twierdzą że wszystko po ts query), co nie oznacza że czasami jakieś mysql query nie może iść do bazy danych ts'a ;)

 

Fakt no.3:

Każda usługa/proces uruchamiany z osobnymi uprawnieniami użytkownika systemowego, dodatkowo jail'owany chrootem, docker'em, Selinux'em/Apparmorem/PaX'em czy innym RBAC'iem jest bezpieczniejszy niż cała reszta, tym bardziej że upload plików na system lokalny może narobić jakąś szkodę, prawda? ;)

 

 

  • Upvote 2

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×