<div dir="ltr"><div>Jen taková drobnost - na <a href="https://prasiatko.vpsfree.cz/wiki/doku.php?id=pripojovani_k_vps_pomoci_ssh">https://prasiatko.vpsfree.cz/wiki/doku.php?id=pripojovani_k_vps_pomoci_ssh</a> je překlep u chmod 600 ~/.ssh_authorized_keys (místo podtržítka lomítko).<br>
<br></div>Jirka<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">Dne 21. března 2014 0:49 Ondrej Mikle <span dir="ltr"><<a href="mailto:ondrej.mikle@gmail.com" target="_blank">ondrej.mikle@gmail.com</a>></span> napsal(a):<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Sorry, jsem si uvedomil, ze jsem nechal mail v draftech misto odeslani. Viz<br>
komentare inline nize.<br>
<br>
Jinak pokud si pamatuji, tak Petr Krcmar mel celkem dobre slajdy k zabezpeceni<br>
VPS - <a href="https://vpsfree.cz/download/2014_2_schuze-petr.pdf" target="_blank">https://vpsfree.cz/download/2014_2_schuze-petr.pdf</a><br>
<div class=""><br>
On 03/18/2014 08:49 PM, Pavel Snajdr wrote:<br>
>>> On 03/17/2014 11:54 PM, Pavel Snajdr wrote: Ahojte,<br>
>>><br>
>>> jak jsem tu zminil uz sice jako OT v diskuzi s Ondrou, mnozi se<br>
>>> nam security issues.<br>
>>><br>
>>> Bezpecnost systemu na verejne dostupnem Internetu v roce 2014<br>
>>> "neni prdel". Fakt si nedelam srandu, ta uz skoncila.<br>
</div>[...]<br>
<div class="">>>> Co vim, Ondra by byl dobrej kandidat - nasel by si cas?<br>
<br>
</div>Nasel, ale musime si nejprve "vymezit", jaky ma mit tato tematika zaber.<br>
"Security 2014+" neni jednorazova akce - clovek *musi sledovat logy a<br>
auditovat*. Utocnici zacinaji byt velmi vynalezavi. V 2005 jsme se jim smali,<br>
jake smesne metody pouzivaji - protoze tehdy to postacovalo - ale bylo jasne, ze<br>
to bude jenom tezsi.<br>
<br>
Ja jsem kdysi psal do vpsfree KB wiki clanek, jak spravne nastavit SSH server,<br>
SSH klienty, jak pouzivat klice s heslem a jak do toho zakomponovat ssh-agent a<br>
ssh-add. Tohle je ta stranka (po nejakych upravach) -<br>
<a href="https://prasiatko.vpsfree.cz/wiki/doku.php?id=pripojovani_k_vps_pomoci_ssh" target="_blank">https://prasiatko.vpsfree.cz/wiki/doku.php?id=pripojovani_k_vps_pomoci_ssh</a><br>
<br>
Absolutne zakladni principy:<br>
<br>
- vypnout SSH prihlasovani heslem<br>
- vypnout SSH root login<br>
- na roota se musi vyzadovat dalsi jine heslo (pres 'su' apod)<br>
- radsi vubec nepouzivat nic napsane v php (vim, ze tohle bude velmi<br>
kontroverzni, ale samotni autori jazyka predvedli dost nekompetentni pristup<br>
napr. pri zavleceni critical remote code execution, kdyz jenom chteli udelat<br>
workaround pro hashtable DoS; a to nebyl jediny pripad) a php aplikace maji<br>
priserne skore v bezpecnosti obecne<br>
  - podivejte se na doporuceni zabezpecovani Tor hidden services<br>
- updatovat - budto automaticky updater, nebo pravidelne a casto rucne<br>
  - zakaznik mozna bude obcas nadavat, ale budete radsi az vam leakne kompletni<br>
databaze "and the shit hits the fan"?<br>
<br>
Advanced veci:<br>
<br>
- pouziti kryptografickych tokenu na ukladani klicu nebo 2-faktorou autentizaci<br>
- nastaveni PAM pro pouziti hardwarovych tokenu<br>
- manualni audity - obrovska pruda, sezere mnoho casu<br>
- grsecurity - humus na udrzovani, asi bude vyzadovat extra admina, ale ucinne<br>
<br>
Nechat uzivatele autentizovat "jednoduse" typicky znamena, ze to bude jednoduchy<br>
i pro utocniky (kteri maji nakradene+nakoupene databaze hesel a exploitu,<br>
oclhashcat-like crackery a tak dale).<br>
<div class=""><br>
>>> Je vas tu vic takovejch, co jsou security-aware a co vam neni<br>
>>> cizi i obcas neco vysvetlit ostatnim, prosim, zapojte se.<br>
>>><br>
</div><div class="">> Ok, muzem sesidlit KB, wiki a web na jednu VPS, urovnat to, jak jsme<br>
> se bavili a muzes zacit. Akorat jsem cekal, ze se zapoji nekdo dalsi,<br>
> o kdyz se zacne mluvit o bezpecnosti, vetsinou se tu objevujou urcity<br>
> obvykly jmena a ted jsou ticho :))<br>
<br>
</div>Ne nejsme ticho, jen prace je vic nez casu :-)<br>
<span class="HOEnZb"><font color="#888888"><br>
OM<br>
<br>
</font></span><br>_______________________________________________<br>
Community-list mailing list<br>
<a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a><br>
<a href="http://lists.vpsfree.cz/listinfo/community-list" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
<br></blockquote></div><br></div>