Omlouvám se, přehkedl jsem se, jsem myslel, že se bavíte o KB.
Petr Parolek
Dne 22. března 2014 18:00 Jiří Čermák jirka.cer@gmail.com napsal(a):
Jen taková drobnost - na https://prasiatko.vpsfree.cz/wiki/doku.php?id=pripojovani_k_vps_pomoci_sshje překlep u chmod 600 ~/.ssh_authorized_keys (místo podtržítka lomítko).
Jirka
Dne 21. března 2014 0:49 Ondrej Mikle ondrej.mikle@gmail.com napsal(a):
Sorry, jsem si uvedomil, ze jsem nechal mail v draftech misto odeslani. Viz komentare inline nize.
Jinak pokud si pamatuji, tak Petr Krcmar mel celkem dobre slajdy k zabezpeceni VPS - https://vpsfree.cz/download/2014_2_schuze-petr.pdf
On 03/18/2014 08:49 PM, Pavel Snajdr wrote:
On 03/17/2014 11:54 PM, Pavel Snajdr wrote: Ahojte,
jak jsem tu zminil uz sice jako OT v diskuzi s Ondrou, mnozi se nam security issues.
Bezpecnost systemu na verejne dostupnem Internetu v roce 2014 "neni prdel". Fakt si nedelam srandu, ta uz skoncila.
[...]
Co vim, Ondra by byl dobrej kandidat - nasel by si cas?
Nasel, ale musime si nejprve "vymezit", jaky ma mit tato tematika zaber. "Security 2014+" neni jednorazova akce - clovek *musi sledovat logy a auditovat*. Utocnici zacinaji byt velmi vynalezavi. V 2005 jsme se jim smali, jake smesne metody pouzivaji - protoze tehdy to postacovalo - ale bylo jasne, ze to bude jenom tezsi.
Ja jsem kdysi psal do vpsfree KB wiki clanek, jak spravne nastavit SSH server, SSH klienty, jak pouzivat klice s heslem a jak do toho zakomponovat ssh-agent a ssh-add. Tohle je ta stranka (po nejakych upravach) - https://prasiatko.vpsfree.cz/wiki/doku.php?id=pripojovani_k_vps_pomoci_ssh
Absolutne zakladni principy:
- vypnout SSH prihlasovani heslem
- vypnout SSH root login
- na roota se musi vyzadovat dalsi jine heslo (pres 'su' apod)
- radsi vubec nepouzivat nic napsane v php (vim, ze tohle bude velmi
kontroverzni, ale samotni autori jazyka predvedli dost nekompetentni pristup napr. pri zavleceni critical remote code execution, kdyz jenom chteli udelat workaround pro hashtable DoS; a to nebyl jediny pripad) a php aplikace maji priserne skore v bezpecnosti obecne
- podivejte se na doporuceni zabezpecovani Tor hidden services
- updatovat - budto automaticky updater, nebo pravidelne a casto rucne
- zakaznik mozna bude obcas nadavat, ale budete radsi az vam leakne
kompletni databaze "and the shit hits the fan"?
Advanced veci:
- pouziti kryptografickych tokenu na ukladani klicu nebo 2-faktorou
autentizaci
- nastaveni PAM pro pouziti hardwarovych tokenu
- manualni audity - obrovska pruda, sezere mnoho casu
- grsecurity - humus na udrzovani, asi bude vyzadovat extra admina, ale
ucinne
Nechat uzivatele autentizovat "jednoduse" typicky znamena, ze to bude jednoduchy i pro utocniky (kteri maji nakradene+nakoupene databaze hesel a exploitu, oclhashcat-like crackery a tak dale).
Je vas tu vic takovejch, co jsou security-aware a co vam neni cizi i obcas neco vysvetlit ostatnim, prosim, zapojte se.
Ok, muzem sesidlit KB, wiki a web na jednu VPS, urovnat to, jak jsme se bavili a muzes zacit. Akorat jsem cekal, ze se zapoji nekdo dalsi, o kdyz se zacne mluvit o bezpecnosti, vetsinou se tu objevujou urcity obvykly jmena a ted jsou ticho :))
Ne nejsme ticho, jen prace je vic nez casu :-)
OM
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list