S tím souhlasím.
Pokud aktualizujete servery, pak jsou problémy minimální.
Většina problémů je skrz aplikace (PHP atd.)
Zde jednoznačně správně nastavit uživatelská práva v databázi.
Už jsem zažil, že web měl SQLi chybu a bohužel mysql user práva
k celé mysql.
---- On Wed, 27 Nov 2013 20:59:44 +0100 Jakub Fišer<kuba@ufiseru.cz> wrote ----
Používání nestandardních portů je tak trochu přežitek. To když už, tak
spíš použít port knocking. Jinak u SSH (ale i dalších služeb) se mi
nejvíc osvědčil fail2ban plus samozřejmně ssh klíče. Hesla jsou OK,
dokud jsou bezpečná (http://xkcd.com/936/ :) ).
Chroot tam, kde to má smysl, atd. Ale hlavně si uvědomte, že nejvíc
útoků, jak už bylo řečeno, není na "systémové" služby, ale na
aplikace, především na ty rozšířené (Wordpress, Joomla, ownCloud,
různé *wiki, atd, atd..), takže řešit bezpečnost má smysl především
tam.
-miky
2013/11/27 Vít Novák <vit.novak@firepanel.cz>:
> Ahoj,
>
> co se týče SSH, tak osobně preferuji zakázat přihlášení na root a zavést SSH
> klíče a ty jednou za čas aktualizovat. :-)
>
> Vítek
>
>
> Dne 27. listopadu 2013 20:38 "Ing. Lukáš Jelínek - AIKEN" <lukas@aiken.cz>
> napsal(a):
>
>> Ahoj,
>> hlavně pozor na slabá hesla - jak u SSH/FTP..., tak u pošty. Už jsem
>> takových útoků zažil řadu (myslím úspěšných), včetně vlastních serverů, kde
>> si uživatelé nastavili extrémně slabá hesla, protože jim v tom nic technicky
>> nebránilo. Viz též nedávný útok na GitHub. Jedno slabé heslo na mailserveru
>> stačí k zařazení na blacklist během chvilky, u SSH mohou být následky ještě
>> horší.
>>
>> Lukáš Jelínek
>>
>>
>> Ahoj,
>>
>> určitě bych se v tomhle rád poučil, ač si vše držím aktualizované,
>> nemyslím si, že to nutně stačí k bezpečnosti. Byly by nějaké tipy na co si
>> určitě dát pozor?
>>
>> Vojtěch Knyttl | GoOut
>>
>> knyttl@goout.cz
>> +420 607 008 510
>> http://goout.cz
>>
>> On Wednesday, November 27, 2013 at 7:04 PM, Pavel Snajdr wrote:
>>
>> -----BEGIN PGP SIGNED MESSAGE-----
>> Hash: SHA256
>>
>> Ahojte,
>>
>> mnozi se nam pripady, kdy jsou VPS clenu hacknute, protoze jsou
>> neaktualizovane.
>>
>> Prosim uvedomte si, ze zijeme v roce 2013 a skenovani Internetu na
>> zranitelnosti maji sigri davno automatizovane, neexistuje teda nic
>> jako "stejne nikoho nezajimam".
>>
>> V pripade, ze narazim na hacknutou VPS, ma dany clen suspended account
>> a nejde VPS zapnout, dokud se neozve. A v 99.9% proste pozaduji reinstall.
>>
>> Abyste se tomu vyhnuli, prosim aktualizujte si pravidelne system - jde
>> to krasne zautomatizovat.
>> Zaroven ale nezapominejte na aplikace, ktere nejsou nainstalovane pres
>> balickovaci system - napriklad vsemozne PHPckovske aplikace,
>> pravidelne jsou v nich diry - za nedavne pripady, ktere nas potkaly,
>> jmenuji konkretne napriklad Wordpress a phpBB.
>>
>> Diky.
>>
>> S pozdravem
>>
>> Pavel Snajdr
>>
>> +421 948 816 186 | +420 720 107 791 | 110-010-956
>> CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE
>> http://relbit.com | http://vpsfree.cz | https://www.redhat.com
>> -----BEGIN PGP SIGNATURE-----
>> Version: GnuPG v1.4.12 (GNU/Linux)
>> Comment: Using GnuPG with Icedove - http://www.enigmail.net/
>>
>> iF0EAREIAAYFAlKWNDcACgkQMBKdi9lkZ6pbMAD1GQMMITldBPlxXXCtUpgjJ6bU
>> ox89BBBGbs417zxEngEA04YfyPxXGlNAqDLLdWxz25rPpX/5IFVUjQ5rQbH8hEk=
>> =iQ1w
>> -----END PGP SIGNATURE-----
>> _______________________________________________
>> Community-list mailing list
>> Community-list@lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
>>
>>
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list@lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
>>
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list@lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
>
>
> _______________________________________________
> Community-list mailing list
> Community-list@lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
--
Jakub Fišer
IT & Security consulting
kuba@ufiseru.cz
_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list