Ahoj,
myslenka nejakeho bezpecnostni testu, ktery bych si idealne sam mohl spustit z VPSadminu, se mi velmi libi. Jako ne az tak zkuseny uzivatel se rad poucim, kde mam bezpecnostni mezery a rad si je opravim. Kdyby k tomu byly dostupne jeste nejake navody (idkyz tech je na internetu i tak dost), bylo by to skvele!

Znalostni test pro nove cleny sdruzeni je myslim bezpredmetny. Kazdy se muze nekoho zeptat nebo jednoduse vygooglit spravnou odpoved a nic se tim o pripadnem clenovi nedozvime.

S pozdravem

Michal

On 12.3.2012 22:14, Tomas Meszaros wrote:
Podla mna by ste problem vyriesili tak ze by ste mohli zaviest kontrolu hesla... pokial je silne root pusti dalej pokial nie zmenit...
A problem solve.
Ten test, by fakt z bussines hladiska nebol dobry napad.imho.

Arty

-----Original Message-----
From: community-list-bounces@lists.vpsfree.cz [mailto:community-list-
bounces@lists.vpsfree.cz] On Behalf Of Petr Juhaňák
Sent: Monday, March 12, 2012 8:56 PM
To: Jan Grmela; vpsFree.cz Community list
Subject: Re: [vpsFree.cz: community-list] K diskuzi a zamysleni: minimalni
znalosti clena vpsFree.cz?

"bezobsluzne plsone testy" - uprime receno, me by se nelibylo, kdyby se bez
meho souhlasu a vedomi nekdo hrabal ve skriptech a delal scany i v dobre vire
(pokud se ptate na verejne dostupne sluzby, je to v poradku)

Umim si predstavit, ze by to otravilo i spoustu potencionalnich clenu, takove
psi-kusy se daji delat na testovacich VPSkach, kde to uzivak vylozene chce.

Kde je audit, tam je vyhodnoceni. Bez lidskeho rozmeru to neni ono a
dostavate pocit falesneho bezpeci. Ruku na srdce, predstavte si ze sme o
8mesicu v budoucnosti a ve VPS adminu Vam pribude report Security check a
tam bude pet zelenych odrazek, splneno, zabezpeceno.

Znamena to , ze jste zabezpeceni, asi moc ne ze?
* Pokud se nepodivate dovnitr tech skriptu co delaji a kam sahaji, asi vite
kulove.

Nejsou to zas tak spatne napady a daji se nejak uchopit, ale implementacne
(vzhledem k security benefitu) je cena vysoka.

Ja jsem pro nejakou zakladni uroven checku a zbytek edukativne doresit, treba
i hloupimi tutorialy nebo serii odkazu. Dulezite je, aby novi clenove informaci o
spatnem zabezpeceni dostali.

Pokud se na to podivame z prinosu pro sdruzeni, tak identifikace VPSek, ktere
nejsou se zakladnim zabezpeceni dobre je asi ta nejcennejsi informace a
otazkou je, jak to udelat systemove a s malym usilim.
Nesoustredte se prilis na technickou implementaci, ale na to, proc to zavadite
a jaky chcete mit uzitek, ktery se da "nejak" zmerit

S pozdravem
Petr Juhanak

Dne 12.3.2012 20:41, Jan Grmela napsal(a):
Ja bych se primlouval za externi scan. Da se primountovat filesystem
vpsky? Predpokladam, ze ano. A tak by to cele mohlo byt bezobsluzne
(jen je treba aby kod byl trvale verejny, aby nekdo nenamital, ze mu
to ukradne soukroma data) a automatizovane. Proste pravidelne plosne
testy nastaveni VPS nebo ten cudlik v adminu "otestujte moji vps" ci
"[x] pravidelne testovat bezpecnost moji vps".

Nebral bych to jako nastroj vynucovani nybrz jako marketingovou vyhodu
- mimo managed serveru prece nikdo automaticke audity vpsek nedela, hm?
Takhle muzeme rict, ze maji clenove data v bezpeci diky automatickym
testum (nebo neco v tom smyslu).

--
Jan Grmela
jan.grmela@imakers.cz <mailto:jan.grmela@imakers.cz> www.imakers.cz
<http://www.imakers.cz>
+420 608 110 686 <tel:+420 608 110 686>
iMakers, s.r.o.
Absolonova 725/81, Brno, 62400, Czech Republic
ICO/Id: 29228875
DIC/VAT No: CZ29228875
Sent from my HP TouchPad
----------------------------------------------------------------------
-- On 12.3.2012 20:32, Petr Juhaňák <petr@juhanak.cz> wrote:
podle mne je autentizace SSH pres klice to nejlepsi co se da udelat ze
zacatku. S tim omezenim po 1mesici mi to prijde drsne.

mnohem lepsi by bylo udelat mesicni scan na novou VPSku (sami) zeptat
se SSH serveru zda umoznuje autentizace heslem a cloveka oslovit
emailem spolu s navodem na wiki jak to zmenit

S pozdravem
Petr Juhanak

Dne 12.3.2012 20:20, Peter Bubelíny napsal(a):
 > Domnievam sa, ze ako ista preukazatalna znalost by mohla byt
podmienka  > prihlasovania sa na server pomocou publickey. K tomu by
sa spravil  > pripadne navod, ak by to niekomu nebolo jasne. Stanovila
by sa tiez  > podmienka pouzivania publickey do 1 mesiaca od vstupu do
vpsFree. Pre  > zdruzenie by to malo zo security hladiska iba vyhodu.
 > A urcite teda spravit security basic know-how pri sprave OS.
 > Pozdaval by sa Vam navrh s publickey?
 >
 > On 03/12/2012 08:08 PM, Jan Grmela wrote:
 >> Rozhodne souhlas s temito body + automaticky security check po mesici.
 > Myslim, ze bash skript s nmapem to vyresi za chvili (ty zakladni
kontroly).
 >>
 >> Se schvalovanim nesouhlasim, uz jen proto, ze je to zbytecna  >
administrativa a za druhe - jak nove cleny posuzovat? Na zaklade  >
dotazniku? Na zaklade CV? Osobne bych radsi byl proto, aby mohl do  >
sdruzeni kazdy s tim, ze se vsak bude muset naucit behem prvniho
mesice  > (ci jineho obdobi) spravovat svuj server pokud to jeste
neumi (treba  > proto, ze nikdy zadny server neprovozoval a na vpsfree
se to chce naucit).
 >>
 >> --
 >> Jan Grmela
 >> jan.grmela@imakers.cz <mailto:jan.grmela@imakers.cz>  >>
www.imakers.cz <http://www.imakers.cz>  >> +420 608 110 686 <tel:+420
608 110 686>  >> iMakers, s.r.o.
 >> Absolonova 725/81, Brno, 62400, Czech Republic  >> ICO/Id:
29228875  >> DIC/VAT No: CZ29228875  >> Sent from my HP TouchPad  >>
-------------------------  >> On 12.3.2012 19:56, Matej Snoha
<matej@snoha.info> wrote:
 >> No asi by to fungovalo.
 >>
 >> Par tipov:
 >>
 >> * po vytvoreni VPS rozposielat nejaky security bulletin, aby si
ludia  >> zabezpecili sluzby  >> * dat dokopy nejaky navod, nech ti
menej znali vedia aspon nastavit  >> fail2ban alebo tak  >> * pripadne
uz nieco pridat do sablon, ale s tym by bolo asi prace a  >> nie kazdy
to chce  >>  >> Neviem nakolko je situacia vazna (teda, ci je polovica
VPS v botnetoch  >> alebo je to 1 incident za rok).
 >> A ak chceme najskor statistiky, nejake dobrovolne otazky na skusku
by  >> urcite mohli byt.
 >>
 >> Matej Snoha
 >>
 >> 2012/3/12 Pavel Snajdr <snajpa@snajpa.net>:
 >> Ahojte,
 >>
 >> dneska premyslim nad problemem poslednich par tydnu - obcas se k
nam  >> prihlasi lidi, kteri vubec netusi ani ze by si meli nastavit
root heslo,  >> na podporu nam pak prijde dotaz "nemuzu se dostat do VPS,
proc?"...
 >>
 >> Pak se nam stava, ze VPS takovych clenu jsou uplne snadnym tercem
ruznych botu => chodi pak stiznosti, ze odesilame SPAM a podobne.
 >>
 >> Myslite si, ze bychom meli mit nejake (i kdyz treba minimalni)
naroky na  >> znalosti uchazecu o clenstvi?
 >>
 >> Napriklad 3 kontrolni dotazy pri vyplneni prihlasky?
 >>
 >> Co si o tomhle obecne myslite?
 >>
 >> Dik za nazory.
 >>
 >> > _______________________________________________
 >> > Community-list mailing list
 >> > Community-list@lists.vpsfree.cz
 >> > http://lists.vpsfree.cz/listinfo/community-list
 >> _______________________________________________
 >> Community-list mailing list
 >> Community-list@lists.vpsfree.cz
 >> http://lists.vpsfree.cz/listinfo/community-list
 >>
 >>
 >> _______________________________________________
 >> Community-list mailing list
 >> Community-list@lists.vpsfree.cz
 >> http://lists.vpsfree.cz/listinfo/community-list
 >
 > --
 > S pozdravom / Best regards
 > Peter Bubelíny
 > PGP key: http://goo.gl/ic2Wc
 > Jabber: peter.bubeliny@jabbim.sk
 >
 >
 >
 > _______________________________________________
 > Community-list mailing list
 > Community-list@lists.vpsfree.cz
 > http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list


_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list