překlep u
chmod 600 ~/.ssh_authorized_keys (místo podtržítka lomítko).
Jirka
Dne 21. března 2014 0:49 Ondrej Mikle <ondrej.mikle(a)gmail.com> napsal(a):
Sorry, jsem si uvedomil, ze jsem nechal mail v
draftech misto odeslani.
Viz
komentare inline nize.
Jinak pokud si pamatuji, tak Petr Krcmar mel celkem dobre slajdy k
zabezpeceni
VPS -
https://vpsfree.cz/download/2014_2_schuze-petr.pdf
On 03/18/2014 08:49 PM, Pavel Snajdr wrote:
>> On 03/17/2014 11:54 PM, Pavel Snajdr
wrote: Ahojte,
>>
>> jak jsem tu zminil uz sice jako OT v diskuzi s Ondrou, mnozi se
>> nam security issues.
>>
>> Bezpecnost systemu na verejne dostupnem Internetu v roce 2014
>> "neni prdel". Fakt si nedelam srandu, ta uz skoncila.
[...]
>> Co vim, Ondra by byl dobrej kandidat -
nasel by si cas?
Nasel, ale musime si nejprve "vymezit", jaky ma mit tato tematika zaber.
"Security 2014+" neni jednorazova akce - clovek *musi sledovat logy a
auditovat*. Utocnici zacinaji byt velmi vynalezavi. V 2005 jsme se jim
smali,
jake smesne metody pouzivaji - protoze tehdy to postacovalo - ale bylo
jasne, ze
to bude jenom tezsi.
Ja jsem kdysi psal do vpsfree KB wiki clanek, jak spravne nastavit SSH
server,
SSH klienty, jak pouzivat klice s heslem a jak do toho zakomponovat
ssh-agent a
ssh-add. Tohle je ta stranka (po nejakych upravach) -
https://prasiatko.vpsfree.cz/wiki/doku.php?id=pripojovani_k_vps_pomoci_ssh
Absolutne zakladni principy:
- vypnout SSH prihlasovani heslem
- vypnout SSH root login
- na roota se musi vyzadovat dalsi jine heslo (pres 'su' apod)
- radsi vubec nepouzivat nic napsane v php (vim, ze tohle bude velmi
kontroverzni, ale samotni autori jazyka predvedli dost nekompetentni
pristup
napr. pri zavleceni critical remote code execution, kdyz jenom chteli
udelat
workaround pro hashtable DoS; a to nebyl jediny pripad) a php aplikace
maji
priserne skore v bezpecnosti obecne
- podivejte se na doporuceni zabezpecovani Tor hidden services
- updatovat - budto automaticky updater, nebo pravidelne a casto rucne
- zakaznik mozna bude obcas nadavat, ale budete radsi az vam leakne
kompletni
databaze "and the shit hits the fan"?
Advanced veci:
- pouziti kryptografickych tokenu na ukladani klicu nebo 2-faktorou
autentizaci
- nastaveni PAM pro pouziti hardwarovych tokenu
- manualni audity - obrovska pruda, sezere mnoho casu
- grsecurity - humus na udrzovani, asi bude vyzadovat extra admina, ale
ucinne
Nechat uzivatele autentizovat "jednoduse" typicky znamena, ze to bude
jednoduchy
i pro utocniky (kteri maji nakradene+nakoupene databaze hesel a exploitu,
oclhashcat-like crackery a tak dale).
> Je
vas tu vic takovejch, co jsou security-aware a co vam neni
> cizi i obcas neco vysvetlit ostatnim, prosim, zapojte se.
>
Ok, muzem sesidlit KB, wiki a web na jednu VPS, urovnat to, jak jsme
se bavili a muzes zacit. Akorat jsem cekal, ze se zapoji nekdo dalsi,
o kdyz se zacne mluvit o bezpecnosti, vetsinou se tu objevujou urcity
obvykly jmena a ted jsou ticho :))
Ne nejsme ticho, jen prace je vic nez casu :-)
OM
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz