"bezobsluzne plsone testy" - uprime receno, me by se nelibylo, kdyby se bez meho souhlasu a vedomi nekdo hrabal ve skriptech a delal scany i v dobre vire (pokud se ptate na verejne dostupne sluzby, je to v poradku)
Umim si predstavit, ze by to otravilo i spoustu potencionalnich clenu, takove psi-kusy se daji delat na testovacich VPSkach, kde to uzivak vylozene chce.
Kde je audit, tam je vyhodnoceni. Bez lidskeho rozmeru to neni ono a dostavate pocit falesneho bezpeci. Ruku na srdce, predstavte si ze sme o 8mesicu v budoucnosti a ve VPS adminu Vam pribude report Security check a tam bude pet zelenych odrazek, splneno, zabezpeceno.
Znamena to , ze jste zabezpeceni, asi moc ne ze? * Pokud se nepodivate dovnitr tech skriptu co delaji a kam sahaji, asi vite kulove.
Nejsou to zas tak spatne napady a daji se nejak uchopit, ale implementacne (vzhledem k security benefitu) je cena vysoka.
Ja jsem pro nejakou zakladni uroven checku a zbytek edukativne doresit, treba i hloupimi tutorialy nebo serii odkazu. Dulezite je, aby novi clenove informaci o spatnem zabezpeceni dostali.
Pokud se na to podivame z prinosu pro sdruzeni, tak identifikace VPSek, ktere nejsou se zakladnim zabezpeceni dobre je asi ta nejcennejsi informace a otazkou je, jak to udelat systemove a s malym usilim. Nesoustredte se prilis na technickou implementaci, ale na to, proc to zavadite a jaky chcete mit uzitek, ktery se da "nejak" zmerit
S pozdravem Petr Juhanak
Dne 12.3.2012 20:41, Jan Grmela napsal(a):
Ja bych se primlouval za externi scan. Da se primountovat filesystem vpsky? Predpokladam, ze ano. A tak by to cele mohlo byt bezobsluzne (jen je treba aby kod byl trvale verejny, aby nekdo nenamital, ze mu to ukradne soukroma data) a automatizovane. Proste pravidelne plosne testy nastaveni VPS nebo ten cudlik v adminu "otestujte moji vps" ci "[x] pravidelne testovat bezpecnost moji vps".
Nebral bych to jako nastroj vynucovani nybrz jako marketingovou vyhodu - mimo managed serveru prece nikdo automaticke audity vpsek nedela, hm? Takhle muzeme rict, ze maji clenove data v bezpeci diky automatickym testum (nebo neco v tom smyslu).
-- Jan Grmela jan.grmela@imakers.cz mailto:jan.grmela@imakers.cz www.imakers.cz http://www.imakers.cz +420 608 110 686 <tel:+420 608 110 686> iMakers, s.r.o. Absolonova 725/81, Brno, 62400, Czech Republic ICO/Id: 29228875 DIC/VAT No: CZ29228875 Sent from my HP TouchPad
On 12.3.2012 20:32, Petr Juhaňák petr@juhanak.cz wrote: podle mne je autentizace SSH pres klice to nejlepsi co se da udelat ze zacatku. S tim omezenim po 1mesici mi to prijde drsne.
mnohem lepsi by bylo udelat mesicni scan na novou VPSku (sami) zeptat se SSH serveru zda umoznuje autentizace heslem a cloveka oslovit emailem spolu s navodem na wiki jak to zmenit
S pozdravem Petr Juhanak
Dne 12.3.2012 20:20, Peter Bubelíny napsal(a):
Domnievam sa, ze ako ista preukazatalna znalost by mohla byt podmienka prihlasovania sa na server pomocou publickey. K tomu by sa spravil pripadne navod, ak by to niekomu nebolo jasne. Stanovila by sa tiez podmienka pouzivania publickey do 1 mesiaca od vstupu do vpsFree. Pre zdruzenie by to malo zo security hladiska iba vyhodu. A urcite teda spravit security basic know-how pri sprave OS. Pozdaval by sa Vam navrh s publickey?
On 03/12/2012 08:08 PM, Jan Grmela wrote:
Rozhodne souhlas s temito body + automaticky security check po mesici.
Myslim, ze bash skript s nmapem to vyresi za chvili (ty zakladni
kontroly).
Se schvalovanim nesouhlasim, uz jen proto, ze je to zbytecna
administrativa a za druhe - jak nove cleny posuzovat? Na zaklade dotazniku? Na zaklade CV? Osobne bych radsi byl proto, aby mohl do sdruzeni kazdy s tim, ze se vsak bude muset naucit behem prvniho mesice (ci jineho obdobi) spravovat svuj server pokud to jeste neumi (treba proto, ze nikdy zadny server neprovozoval a na vpsfree se to chce
naucit).
-- Jan Grmela jan.grmela@imakers.cz mailto:jan.grmela@imakers.cz www.imakers.cz http://www.imakers.cz +420 608 110 686 <tel:+420 608 110 686> iMakers, s.r.o. Absolonova 725/81, Brno, 62400, Czech Republic ICO/Id: 29228875 DIC/VAT No: CZ29228875 Sent from my HP TouchPad
On 12.3.2012 19:56, Matej Snoha matej@snoha.info wrote: No asi by to fungovalo.
Par tipov:
- po vytvoreni VPS rozposielat nejaky security bulletin, aby si ludia
zabezpecili sluzby
- dat dokopy nejaky navod, nech ti menej znali vedia aspon nastavit
fail2ban alebo tak
- pripadne uz nieco pridat do sablon, ale s tym by bolo asi prace a
nie kazdy to chce
Neviem nakolko je situacia vazna (teda, ci je polovica VPS v botnetoch alebo je to 1 incident za rok). A ak chceme najskor statistiky, nejake dobrovolne otazky na skusku by urcite mohli byt.
Matej Snoha
2012/3/12 Pavel Snajdr snajpa@snajpa.net: Ahojte,
dneska premyslim nad problemem poslednich par tydnu - obcas se k nam prihlasi lidi, kteri vubec netusi ani ze by si meli nastavit root heslo, na podporu nam pak prijde dotaz "nemuzu se dostat do VPS, proc?"...
Pak se nam stava, ze VPS takovych clenu jsou uplne snadnym tercem ruznych botu => chodi pak stiznosti, ze odesilame SPAM a podobne.
Myslite si, ze bychom meli mit nejake (i kdyz treba minimalni) naroky na znalosti uchazecu o clenstvi?
Napriklad 3 kontrolni dotazy pri vyplneni prihlasky?
Co si o tomhle obecne myslite?
Dik za nazory.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- S pozdravom / Best regards Peter Bubelíny PGP key: http://goo.gl/ic2Wc Jabber: peter.bubeliny@jabbim.sk
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list