Re: [vpsFree.cz: community-list] brutoforce attack

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 On 03/30/2015 02:29 AM, René Klačan wrote: Cili tvoji radou je nastavit read-only, co read-only nastavit jde. Vzdavat to takhle "babsky" a prejit na proprietarni platformu, jeste neznamena bezpecnost (za staleho prskani odchazim od kbd a jdu si udelat caj :D). ... (/me je zpatky :) ) Kdyz se bavime o zabezpecovani odflaknutych aplikaci, kde o PHP svete se v podstate da rict, ze co aplikace, to garantovane nebezpecne derave reseto, muzu doporucit par obecnych tipu - konkretni postupy se budou lisit od toho, jak to kazdy ma nastavene. - - aplikace by nemela mit schopnost prepisovat/upravovat/rozsirovat samu sebe, UGO opravneni vetsinou staci, pokrocilejsi moznosti v pripade potreby jsou ACL (v zacatku se ZFS ACL nefungovaly, ted uz jdou) - - appka by nemela byt schopna includovat soubory odjinud, nez kde ji mate, z toho vyplyva idealne oddelit PHP (ne)logiku od dynamickych dat uplne - - dobry napad je osetrit vsechny mozne vstupni URL, ktere jsou zpracovavane PHPckem, uz na urovni webserveru (napr. htacess-em pro Apache), vetsinou na tohle pomahaji veci jako mod_rewrite, pokud jde napr. prave o WP, kde vsechno zpracovava index.php (a teda jeste je potreba osetrit admin UI) - - samozrejme kazda aplikace, by mela mit svoje UID/GID, od toho ty skupiny a uzivatele v POSIXu jsou, aby mezi nimi OS delal zed - - aplikace nema co spoustet programy, ktere nepotrebuje ke svemu behu vubec poustet, vetsina webu nema co poustet vubec nic a ma si vystacit sama se svymi PHP soubory (myslim napr. moznost pustit veci jako ls, mv, cat a podobne) - - uplne super je aplikaci za-chroot-ovat, nicmene PHPko na tohle ma ini settingy, aby aplikace nemohla sahat jinam, potom je potreba mit aktualni verzi PHP, aby se nedal samotny interpreter exploitovat nejakou proflaknutou chybou - - databaze samozrejme taky oddelene per aplikace, vc. uzivatelu v te DB, pokud je multi-user, jako napr. mysql - - delat casto zalohy databaze, kdyz je mozne, pouzit snapshoty - podle vasi reakcni doby, cetnosti a dulezitosti zmen dat a dalsich faktoru, na ktere je dobre myslet predem, nastavte periodicitu a historii (tohle bude v nasem pripade podporovat vpsAdmin 2.0, takze dodelat k tomu nejakou automatizaci do cronu pujde snadno zvykackou a spejlemi - treba pres bash skripty) - - omezit prostredky aplikaci na vsech urovnich, ktere se daji zneuzit, podle maximalnich hodnot, kterych ta aplikace dosahuje v beznem provozu - tady jde o veci jako memory limit (umi PHP interpreter rovnou), CPU limit - pro CPU limit jdou pouzit cgroups, pokud chcete limitovat s presnosti na jednotky % casu CPU jader - ale taky PHP-FPM umi pro kazdy pool procesu (aplikaci) nastavit maximalni pocet procesu, coz v pripade VPSky s dostupnymi 8 cores staci - s databazi to byva slozitejsi, existuji patche pro MySQL/MariaDB, ktere to resi, ale stejne se neda omezit vsechno; pokud je aplikaci od jednoho klienta vic, treba se da proste pustit dalsi instance toho DB serveru, pokud nevadi vetsi pametova rezie (tady vali systemd v podpore multi-instance service units, ale dalsi lepsi-nez-bash-spagety init systemy to budou umet taky) - nekterym serverum na Internetu se da krasne vybombit i serving statickych stranek, pokud jsou v ceste napr. silene/rozsahle obludnosti v htaccess-ech Samozrejme je potreba udrzovat vsechny komponenty systemu, vcetne a hlavne prave aplikaci a vsech jejich modulu, aktualni a opatchovane na vsechny zname bezpecnostni problemy. To vyzaduje se o system/aplikace trochu zajimat, ne jenom nainstalovat, nechat bezet a uz se toho v zivote nedotknout. Dobrou otazkou je, jak jsou na tom s prehledem o psani bezpecnych aplikaci napr. autori HHVM (JIT interpreter pro PHP, psany v C++), na kterem PHP skripty bezi cim dal kompatibilneji s referencni hruzostrasnou a pomalou implementaci od Zendu. A mimo to je HHVM o dost rychlejsi, i kdyz, rekl bych, zere vic pameti. (Samo)zrejme jsem toho na milion zapomnel, kdyztak doplnte prosim dalsi tipy a vase konkretnejsi postupy. Treba by z toho mohl vzniknout nejaky KB clanek. Zaverem bych rekl, ze sam za sebe nepovazuju za dobre byt na neznale prilis mily a dovolit jim vsechno. Kdo nechape, co dela, nebude mit na WP moznost instalovat pluginy. Tecka. A podobne. Cim min toho uzivatel chape, co vlastne pri sve cinnosti dela a zpusobuje, tim min by toho mel mit dovolene. Aneb nedam malemu diteti do jedne ruky zapalovac a do druhe ruky kanystr s ...napalmem. Kdyz se bavime o PHP a bezpecnosti a beznych uzivatelich, slabsi prirovnani mi tam nesedi. /snajpa p/ Dne 29.3.2015 v 14:42 Tomáš Filčák napsal(a):