17 Mar
2014
17 Mar
'14
11:52 p.m.
Ahoj,
zajímavý soubor odkazů na tom linuxexpres.cz, ale asi až moc komplexní.
Snajpa určitě ocení že součástí seriálu je i nastavení TOR serveru ;).
Přiznávám že při prvnotním nastavování sem hledal informace po různu. Ne vše
vždy zafungovalo.
Takže bych byl pro jednodušší návody aplikovatelné přímo na instalace
distribucí které používáme (alespoň pro ty nejpoužívanější).
Např. k zlepšení nastavení mailového serveru mi donutil až SPAM (v objemu až
1700 mailů denně a nebavilo mi to mazat ). A přitom kdybych to měl nastaveno
od začátku správně tak bych byl v pohodě rovnou, jenže dokud problém
nevznikne tak o něm člověk ani neví.
Možná by bylo i zajímavý sdílet info o pokusech o hádání přístupů na SSH
nebo mail a automaticky blokovat ? (Podle logu na serveru se stále někdo
snaží a seznam blokovaných ipček mi roste a roste).
David
---------- Původní zpráva ----------
Od: ondra.gersl(a)gmail.com
Komu: vpsFree.cz Community list <community-list(a)lists.vpsfree.cz Datum: 18. 3. 2014 0:10:16
Předmět: Re: [vpsFree.cz: community-list] Security navod pro mene zdatne
wanted
"
Ahoj,
všem, kteří si nejsou v nastavování serveru a jeho služeb úplně jistí,
doporučuji pročíst seriál Správa linuxového serveru, kterou napsal Michal
Dočekal pro server linuxexpres.cz(http://linuxexpres.cz) - http://www.
linuxexpres.cz/praxe/sprava-linuxoveho-serveru
(http://www.linuxexpres.cz/praxe/sprava-linuxoveho-serveru) Zvláště
doporučuji si projít "Praktické rady pro zabezpečení (nejen) SSH".
Dne 18. března 2014 0:01 Pavel Snajdr <snajpa(a)snajpa.net
(mailto:snajpa@snajpa.net)> napsal(a):
" -----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Upresneni:
Nejde mi o kvantitu. Prave naopak, musi to bejt co nejkratsi a doba
nutna pro solidni zabezpeceni musi bejt co nejmensi.
Nemirime na ultra-total-paranoid setup, to se v nasich podminkach pri
kontejnerech ani udelat neda.
Jde o to snadno a efektivne provest zacatecnika zabezpecenim VPSky v
nasich podminkach, presne tak, jak to sedi na nase prostredi a na
nejbeznejc deployovany sluzby u nas.
LAMP stack, dalsi nejbeznejsi web stacky, mail, bezne databaze,
minecrafty a podobne.
To zabezpeceni musi bejt co nejmin intruzivni co se tyce pouzivani a
adminovani toho VPS potom. Zamek, ktery musim otacet 40x, aby
dozamknul, pokazde zamykat nebudu, kdyz odchazim jenom na 10s.. jsme
lidi a je potreba to tak brat.
Proto je potreba tu bezpecnost demystifikovat, udelat z toho neco, co
i beznej Franta Zacinajici Admin muze mit a praktikovat. Netreba hned
zachazet do veci jako trilion-nasobna autentizace pres 10 hopu po
svete, a tak :)
/snajpa
On 03/17/2014 11:54 PM, Pavel Snajdr wrote:
-----BEGIN PGP
SIGNATURE-----
Version: GnuPG v1
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
(http://www.enigmail.net/)
iF4EAREIAAYFAlMnfucACgkQMBKdi9lkZ6q5MgD/Xf5sp9rOIrbqyIWvFfVZdTym
zmNwwb8Ff9SblYcq0jkA/04OGoYuA4Jxy9lN/+oAEsqR+afislUvEJ+Adoiua9lr
=qrXg
-----END PGP SIGNATURE----- _______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz(mailto:Community-list@lists.vpsfree.cz)
http://lists.vpsfree.cz/listinfo/community-list
(http://lists.vpsfree.cz/listinfo/community-list)
"
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list"
Ahojte,
jak jsem tu zminil uz sice jako OT v diskuzi s Ondrou, mnozi se
nam security issues.
Bezpecnost systemu na verejne dostupnem Internetu v roce 2014
"neni prdel". Fakt si nedelam srandu, ta uz skoncila.
Mate system na verejnem Internetu, mate za nej zodpovednost.
Vetsina lidi, co se vubec obtezuje prihlasit do nasich ML pojem o
bezpecnosti ma, takze to neberte, ze sirim hromy blesky spatnym
smerem.
Pisu to proto, ze hledam lidi, kteri si opravdu vezmou na starost
pripravit kvalitni sbirku linku nebo kratkych navodu, jak
kompletne zabezpecit nase nejbeznejsi distribuce - tedy Debian,
Ubuntu a CentOS se vsema nejpouzivanejsima sluzbama.
Prioritou je CZ/SK jazyk, kdyz se fakt neda jinak, tak zkousneme i
anglicke zdroje.
Primarne jde o to udelat a udrzovat opravdu aktualni, ucelenou
kolekci, ktere se muze chytit i zacatecnik a mit jistotu, ze muze
spat aspon tak klidne, jako my v tom adminskym cechu dyl pusobici.
Jelikoz tohle opravdu hodne chceme, jsme ochotni zaplatit klidne
hodinovku tomu, kdo si to vezme na starost a opravdu kvalitne to
zpracuje.
IMHO to vola po necem na zpusob vpsFree-CIRT.
Co vim, Ondra by byl dobrej kandidat - nasel by si cas?
Je vas tu vic takovejch, co jsou security-aware a co vam neni cizi
i obcas neco vysvetlit ostatnim, prosim, zapojte se.
Tenhle material potom bude soucasti kazdyho uvodniho mailu, 400px
fontem, tucne, kurzivou a podrtrzene comic sans ruzovou barvou na
cernym pozadi, aby si toho kazdej vsimnul.
Ok, to uz si delam srandu, ale o cem mluvim sranda neni, tohle je
serious, musime delat lepsi osvetu, jinak se nam ty hacky a DoSy a
svinstva budou akorat mnozit. To nechce myslim nikdo z nas :)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of
Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com
(http://relbit.com)
|
(https://www.redhat.com)
_______________________________________________
Community-list
mailing list Community-list(a)lists.vpsfree.cz
(mailto:Community-list@lists.vpsfree.cz)
(http://lists.vpsfree.cz/listinfo/community-list)