-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahojte,
mnozi se nam pripady, kdy jsou VPS clenu hacknute, protoze jsou neaktualizovane.
Prosim uvedomte si, ze zijeme v roce 2013 a skenovani Internetu na zranitelnosti maji sigri davno automatizovane, neexistuje teda nic jako "stejne nikoho nezajimam".
V pripade, ze narazim na hacknutou VPS, ma dany clen suspended account a nejde VPS zapnout, dokud se neozve. A v 99.9% proste pozaduji reinstall.
Abyste se tomu vyhnuli, prosim aktualizujte si pravidelne system - jde to krasne zautomatizovat. Zaroven ale nezapominejte na aplikace, ktere nejsou nainstalovane pres balickovaci system - napriklad vsemozne PHPckovske aplikace, pravidelne jsou v nich diry - za nedavne pripady, ktere nas potkaly, jmenuji konkretne napriklad Wordpress a phpBB.
Diky.
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
Zdravím všechny,
kdyby jste v souvislosti s předchozí zprávou měli zájem o penetrační testování, pak mě neváhejte kontaktovat na pokorny@diginto.cz.
S pozdravem
Jan Pokorný
---- On Wed, 27 Nov 2013 19:04:39 +0100 Pavel Snajdr <snajpa@snajpa.net> wrote ----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahojte,
mnozi se nam pripady, kdy jsou VPS clenu hacknute, protoze jsou neaktualizovane.
Prosim uvedomte si, ze zijeme v roce 2013 a skenovani Internetu na zranitelnosti maji sigri davno automatizovane, neexistuje teda nic jako "stejne nikoho nezajimam".
V pripade, ze narazim na hacknutou VPS, ma dany clen suspended account a nejde VPS zapnout, dokud se neozve. A v 99.9% proste pozaduji reinstall.
Abyste se tomu vyhnuli, prosim aktualizujte si pravidelne system - jde to krasne zautomatizovat. Zaroven ale nezapominejte na aplikace, ktere nejsou nainstalovane pres balickovaci system - napriklad vsemozne PHPckovske aplikace, pravidelne jsou v nich diry - za nedavne pripady, ktere nas potkaly, jmenuji konkretne napriklad Wordpress a phpBB.
Diky.
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahoj,
určitě bych se v tomhle rád poučil, ač si vše držím aktualizované, nemyslím si, že to nutně stačí k bezpečnosti. Byly by nějaké tipy na co si určitě dát pozor?
Vojtěch Knyttl | GoOut
knyttl@goout.cz +420 607 008 510 http://goout.cz
On Wednesday, November 27, 2013 at 7:04 PM, Pavel Snajdr wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahojte,
mnozi se nam pripady, kdy jsou VPS clenu hacknute, protoze jsou neaktualizovane.
Prosim uvedomte si, ze zijeme v roce 2013 a skenovani Internetu na zranitelnosti maji sigri davno automatizovane, neexistuje teda nic jako "stejne nikoho nezajimam".
V pripade, ze narazim na hacknutou VPS, ma dany clen suspended account a nejde VPS zapnout, dokud se neozve. A v 99.9% proste pozaduji reinstall.
Abyste se tomu vyhnuli, prosim aktualizujte si pravidelne system - jde to krasne zautomatizovat. Zaroven ale nezapominejte na aplikace, ktere nejsou nainstalovane pres balickovaci system - napriklad vsemozne PHPckovske aplikace, pravidelne jsou v nich diry - za nedavne pripady, ktere nas potkaly, jmenuji konkretne napriklad Wordpress a phpBB.
Diky.
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz (http://vpsFree.cz), o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux) Comment: Using GnuPG with Icedove - http://www.enigmail.net/
iF0EAREIAAYFAlKWNDcACgkQMBKdi9lkZ6pbMAD1GQMMITldBPlxXXCtUpgjJ6bU ox89BBBGbs417zxEngEA04YfyPxXGlNAqDLLdWxz25rPpX/5IFVUjQ5rQbH8hEk= =iQ1w -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz (mailto:Community-list@lists.vpsfree.cz) http://lists.vpsfree.cz/listinfo/community-list
Ahoj, hlavně pozor na slabá hesla - jak u SSH/FTP..., tak u pošty. Už jsem takových útoků zažil řadu (myslím úspěšných), včetně vlastních serverů, kde si uživatelé nastavili extrémně slabá hesla, protože jim v tom nic technicky nebránilo. Viz též nedávný útok na GitHub. Jedno slabé heslo na mailserveru stačí k zařazení na blacklist během chvilky, u SSH mohou být následky ještě horší.
Lukáš Jelínek
Ahoj,
určitě bych se v tomhle rád poučil, ač si vše držím aktualizované, nemyslím si, že to nutně stačí k bezpečnosti. Byly by nějaké tipy na co si určitě dát pozor?
Vojtěch Knyttl | GoOut
knyttl@goout.cz +420 607 008 510 http://goout.cz
On Wednesday, November 27, 2013 at 7:04 PM, Pavel Snajdr wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahojte,
mnozi se nam pripady, kdy jsou VPS clenu hacknute, protoze jsou neaktualizovane.
Prosim uvedomte si, ze zijeme v roce 2013 a skenovani Internetu na zranitelnosti maji sigri davno automatizovane, neexistuje teda nic jako "stejne nikoho nezajimam".
V pripade, ze narazim na hacknutou VPS, ma dany clen suspended account a nejde VPS zapnout, dokud se neozve. A v 99.9% proste pozaduji reinstall.
Abyste se tomu vyhnuli, prosim aktualizujte si pravidelne system - jde to krasne zautomatizovat. Zaroven ale nezapominejte na aplikace, ktere nejsou nainstalovane pres balickovaci system - napriklad vsemozne PHPckovske aplikace, pravidelne jsou v nich diry - za nedavne pripady, ktere nas potkaly, jmenuji konkretne napriklad Wordpress a phpBB.
Diky.
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz http://vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux) Comment: Using GnuPG with Icedove - http://www.enigmail.net/
iF0EAREIAAYFAlKWNDcACgkQMBKdi9lkZ6pbMAD1GQMMITldBPlxXXCtUpgjJ6bU ox89BBBGbs417zxEngEA04YfyPxXGlNAqDLLdWxz25rPpX/5IFVUjQ5rQbH8hEk= =iQ1w -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahoj,
co se týče SSH, tak osobně preferuji zakázat přihlášení na root a zavést SSH klíče a ty jednou za čas aktualizovat. :-)
Vítek
Dne 27. listopadu 2013 20:38 "Ing. Lukáš Jelínek - AIKEN" lukas@aiken.cznapsal(a):
Ahoj, hlavně pozor na slabá hesla - jak u SSH/FTP..., tak u pošty. Už jsem takových útoků zažil řadu (myslím úspěšných), včetně vlastních serverů, kde si uživatelé nastavili extrémně slabá hesla, protože jim v tom nic technicky nebránilo. Viz též nedávný útok na GitHub. Jedno slabé heslo na mailserveru stačí k zařazení na blacklist během chvilky, u SSH mohou být následky ještě horší.
Lukáš Jelínek
Ahoj,
určitě bych se v tomhle rád poučil, ač si vše držím aktualizované, nemyslím si, že to nutně stačí k bezpečnosti. Byly by nějaké tipy na co si určitě dát pozor?
Vojtěch Knyttl | GoOut
knyttl@goout.cz +420 607 008 510 http://goout.cz
On Wednesday, November 27, 2013 at 7:04 PM, Pavel Snajdr wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahojte,
mnozi se nam pripady, kdy jsou VPS clenu hacknute, protoze jsou neaktualizovane.
Prosim uvedomte si, ze zijeme v roce 2013 a skenovani Internetu na zranitelnosti maji sigri davno automatizovane, neexistuje teda nic jako "stejne nikoho nezajimam".
V pripade, ze narazim na hacknutou VPS, ma dany clen suspended account a nejde VPS zapnout, dokud se neozve. A v 99.9% proste pozaduji reinstall.
Abyste se tomu vyhnuli, prosim aktualizujte si pravidelne system - jde to krasne zautomatizovat. Zaroven ale nezapominejte na aplikace, ktere nejsou nainstalovane pres balickovaci system - napriklad vsemozne PHPckovske aplikace, pravidelne jsou v nich diry - za nedavne pripady, ktere nas potkaly, jmenuji konkretne napriklad Wordpress a phpBB.
Diky.
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux) Comment: Using GnuPG with Icedove - http://www.enigmail.net/
iF0EAREIAAYFAlKWNDcACgkQMBKdi9lkZ6pbMAD1GQMMITldBPlxXXCtUpgjJ6bU ox89BBBGbs417zxEngEA04YfyPxXGlNAqDLLdWxz25rPpX/5IFVUjQ5rQbH8hEk= =iQ1w -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing listCommunity-list@lists.vpsfree.czhttp://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahoj,
Co se týče SSH. Osobně bych doporučoval SSH klíče, zakázat přihlašování heslem a třeba i fail2ban. Který dává takové útoky po pár pokusech do firewallu na určitou dobu.
-- S pozdravem | Best regards
Michal Janoušek Tel.: +420 736701492 Jabber: kerry@kerrycze.net
Dne 27. listopadu 2013 20:50 Vít Novák vit.novak@firepanel.cz napsal(a):
Ahoj,
co se týče SSH, tak osobně preferuji zakázat přihlášení na root a zavést SSH klíče a ty jednou za čas aktualizovat. :-)
Vítek
Dne 27. listopadu 2013 20:38 "Ing. Lukáš Jelínek - AIKEN" lukas@aiken.cznapsal(a):
Ahoj,
hlavně pozor na slabá hesla - jak u SSH/FTP..., tak u pošty. Už jsem takových útoků zažil řadu (myslím úspěšných), včetně vlastních serverů, kde si uživatelé nastavili extrémně slabá hesla, protože jim v tom nic technicky nebránilo. Viz též nedávný útok na GitHub. Jedno slabé heslo na mailserveru stačí k zařazení na blacklist během chvilky, u SSH mohou být následky ještě horší.
Lukáš Jelínek
Ahoj,
určitě bych se v tomhle rád poučil, ač si vše držím aktualizované, nemyslím si, že to nutně stačí k bezpečnosti. Byly by nějaké tipy na co si určitě dát pozor?
Vojtěch Knyttl | GoOut
knyttl@goout.cz +420 607 008 510 http://goout.cz
On Wednesday, November 27, 2013 at 7:04 PM, Pavel Snajdr wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahojte,
mnozi se nam pripady, kdy jsou VPS clenu hacknute, protoze jsou neaktualizovane.
Prosim uvedomte si, ze zijeme v roce 2013 a skenovani Internetu na zranitelnosti maji sigri davno automatizovane, neexistuje teda nic jako "stejne nikoho nezajimam".
V pripade, ze narazim na hacknutou VPS, ma dany clen suspended account a nejde VPS zapnout, dokud se neozve. A v 99.9% proste pozaduji reinstall.
Abyste se tomu vyhnuli, prosim aktualizujte si pravidelne system - jde to krasne zautomatizovat. Zaroven ale nezapominejte na aplikace, ktere nejsou nainstalovane pres balickovaci system - napriklad vsemozne PHPckovske aplikace, pravidelne jsou v nich diry - za nedavne pripady, ktere nas potkaly, jmenuji konkretne napriklad Wordpress a phpBB.
Diky.
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux) Comment: Using GnuPG with Icedove - http://www.enigmail.net/
iF0EAREIAAYFAlKWNDcACgkQMBKdi9lkZ6pbMAD1GQMMITldBPlxXXCtUpgjJ6bU ox89BBBGbs417zxEngEA04YfyPxXGlNAqDLLdWxz25rPpX/5IFVUjQ5rQbH8hEk= =iQ1w -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing listCommunity-list@lists.vpsfree.czhttp://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ja na ssh pouzivam vsade ako druhy faktor yubikey. Stoji ta par korun a zatial sa mi to pozdava...
Několik lidí kolem to používá taky, ale nějak nevidím attack vector, proti kterému to chrání. - na serveru to vypadá stejně, jako kdyby ses přihlašoval klíčem - při vyhackování počítače, ze kterého se přihlašuješ, ti stejně vyhackujou binárku ssh klienta a spustí tam, co chtějí
Co přehlížím?
Jenda
On 27.11.2013 20:58, semanmar@gmail.com wrote:
Ja na ssh pouzivam vsade ako druhy faktor yubikey. Stoji ta par korun a zatial sa mi to pozdava...
S pozdravom/Kind regards Martin Seman *From: *Michal Janoušek *Sent: *Mittwoch, 27. November 2013 20:56 *To: *vpsFree.cz Community list *Reply To: *vpsFree.cz Community list *Subject: *Re: [vpsFree.cz: community-list] Aktualizujte si VPS
Ahoj,
Co se týče SSH. Osobně bych doporučoval SSH klíče, zakázat přihlašování heslem a třeba i fail2ban. Který dává takové útoky po pár pokusech do firewallu na určitou dobu.
-- S pozdravem | Best regards
Michal Janoušek Tel.: +420 736701492 Jabber: kerry@kerrycze.net mailto:kerry@kerrycze.net
Dne 27. listopadu 2013 20:50 Vít Novák <vit.novak@firepanel.cz mailto:vit.novak@firepanel.cz> napsal(a):
Ahoj, co se týče SSH, tak osobně preferuji zakázat přihlášení na root a zavést SSH klíče a ty jednou za čas aktualizovat. :-) Vítek Dne 27. listopadu 2013 20:38 "Ing. Lukáš Jelínek - AIKEN" <lukas@aiken.cz <mailto:lukas@aiken.cz>> napsal(a): Ahoj, hlavně pozor na slabá hesla - jak u SSH/FTP..., tak u pošty. Už jsem takových útoků zažil řadu (myslím úspěšných), včetně vlastních serverů, kde si uživatelé nastavili extrémně slabá hesla, protože jim v tom nic technicky nebránilo. Viz též nedávný útok na GitHub. Jedno slabé heslo na mailserveru stačí k zařazení na blacklist během chvilky, u SSH mohou být následky ještě horší. Lukáš JelínekAhoj, určitě bych se v tomhle rád poučil, ač si vše držím aktualizované, nemyslím si, že to nutně stačí k bezpečnosti. Byly by nějaké tipy na co si určitě dát pozor? Vojtěch Knyttl | GoOut knyttl@goout.cz <mailto:knyttl@goout.cz> +420 607 008 510 <tel:%2B420%20607%20008%20510> http://goout.cz On Wednesday, November 27, 2013 at 7:04 PM, Pavel Snajdr wrote:Ahojte,
mnozi se nam pripady, kdy jsou VPS clenu hacknute, protoze jsou neaktualizovane.
Prosim uvedomte si, ze zijeme v roce 2013 a skenovani Internetu na zranitelnosti maji sigri davno automatizovane, neexistuje teda nic jako "stejne nikoho nezajimam".
V pripade, ze narazim na hacknutou VPS, ma dany clen suspended account a nejde VPS zapnout, dokud se neozve. A v 99.9% proste pozaduji reinstall.
Abyste se tomu vyhnuli, prosim aktualizujte si pravidelne system - jde to krasne zautomatizovat. Zaroven ale nezapominejte na aplikace, ktere nejsou nainstalovane pres balickovaci system - napriklad vsemozne PHPckovske aplikace, pravidelne jsou v nich diry - za nedavne pripady, ktere nas potkaly, jmenuji konkretne napriklad Wordpress a phpBB.
Diky.
S pozdravem
Pavel Snajdr
+421 948 816 186 tel:%2B421%20948%20816%20186 | +420 720 107 791 tel:%2B420%20720%20107%20791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz http://vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz> http://lists.vpsfree.cz/listinfo/community-list_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz> http://lists.vpsfree.cz/listinfo/community-list_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz> http://lists.vpsfree.cz/listinfo/community-list _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz> http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512
Ma to jedinou vyhodu - kdyz ti ukradnou ten HW klic, tak poznas ze ti ho ukradli (proste ho fyzicky nemas), takze vis na cem jsi. Kdyz ti nekdo ukradne normlani provatni SSH klic, tak si ho zkopiruje a u tebe ho mazat nebude, takze nepoznas ze jsi o nej prisel. Jinak to zadny vyhody nema....
- -- Stanislav Petr
On 28/11/13 13:31, Jan Hrach wrote:
Ja na ssh pouzivam vsade ako druhy faktor yubikey. Stoji ta par korun a zatial sa mi to pozdava...
Několik lidí kolem to používá taky, ale nějak nevidím attack vector, proti kterému to chrání. - na serveru to vypadá stejně, jako kdyby ses přihlašoval klíčem - při vyhackování počítače, ze kterého se přihlašuješ, ti stejně vyhackujou binárku ssh klienta a spustí tam, co chtějí
Co přehlížím?
Jenda
On 27.11.2013 20:58, semanmar@gmail.com wrote:
Ja na ssh pouzivam vsade ako druhy faktor yubikey. Stoji ta par korun a zatial sa mi to pozdava...
S pozdravom/Kind regards Martin Seman *From: *Michal Janoušek *Sent: *Mittwoch, 27. November 2013 20:56 *To: *vpsFree.cz Community list *Reply To: *vpsFree.cz Community list *Subject: *Re: [vpsFree.cz: community-list] Aktualizujte si VPS
Ahoj,
Co se týče SSH. Osobně bych doporučoval SSH klíče, zakázat přihlašování heslem a třeba i fail2ban. Který dává takové útoky po pár pokusech do firewallu na určitou dobu.
-- S pozdravem | Best regards
Michal Janoušek Tel.: +420 736701492 Jabber: kerry@kerrycze.net mailto:kerry@kerrycze.net
Dne 27. listopadu 2013 20:50 Vít Novák <vit.novak@firepanel.cz mailto:vit.novak@firepanel.cz> napsal(a):
Ahoj,
co se týče SSH, tak osobně preferuji zakázat přihlášení na root a zavést SSH klíče a ty jednou za čas aktualizovat. :-)
Vítek
Dne 27. listopadu 2013 20:38 "Ing. Lukáš Jelínek - AIKEN" <lukas@aiken.cz mailto:lukas@aiken.cz> napsal(a):
Ahoj, hlavně pozor na slabá hesla - jak u SSH/FTP..., tak u pošty. Už jsem takových útoků zažil řadu (myslím úspěšných), včetně vlastních serverů, kde si uživatelé nastavili extrémně slabá hesla, protože jim v tom nic technicky nebránilo. Viz též nedávný útok na GitHub. Jedno slabé heslo na mailserveru stačí k zařazení na blacklist během chvilky, u SSH mohou být následky ještě horší.
Lukáš Jelínek
Ahoj,
určitě bych se v tomhle rád poučil, ač si vše držím aktualizované, nemyslím si, že to nutně stačí k bezpečnosti. Byly by nějaké tipy na co si určitě dát pozor?
Vojtěch Knyttl | GoOut
knyttl@goout.cz mailto:knyttl@goout.cz +420 607 008 510 tel:%2B420%20607%20008%20510 http://goout.cz
On Wednesday, November 27, 2013 at 7:04 PM, Pavel Snajdr wrote:
Ahojte,
mnozi se nam pripady, kdy jsou VPS clenu hacknute, protoze jsou neaktualizovane.
Prosim uvedomte si, ze zijeme v roce 2013 a skenovani Internetu na zranitelnosti maji sigri davno automatizovane, neexistuje teda nic jako "stejne nikoho nezajimam".
V pripade, ze narazim na hacknutou VPS, ma dany clen suspended account a nejde VPS zapnout, dokud se neozve. A v 99.9% proste pozaduji reinstall.
Abyste se tomu vyhnuli, prosim aktualizujte si pravidelne system
- jde to krasne zautomatizovat. Zaroven ale nezapominejte na
aplikace, ktere nejsou nainstalovane pres balickovaci system - napriklad vsemozne PHPckovske aplikace, pravidelne jsou v nich diry - za nedavne pripady, ktere nas potkaly, jmenuji konkretne napriklad Wordpress a phpBB.
Diky.
S pozdravem
Pavel Snajdr
+421 948 816 186 tel:%2B421%20948%20816%20186 | +420 720 107 791 tel:%2B420%20720%20107%20791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz http://vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
On 28.11.2013 14:35, semanmar@gmail.com wrote:
Pri yubikey ale este stale maju prekazku user hesla (ktoreho lamanie uvidis v logoch, ked doteraz nevsimol ze yubikey ti chyba). Ale ziadna dalsia alchymia v tom nie je...
A co tak upravit PAM aby vyžadoval SSH klíč *a* zároveň heslo? Yubikey na tohle fakt potřeba není.
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Myslel jsem nějaký přesnější popis útoku… Třeba jak vypadá situace, že můžu číst ~/.ssh (a navíc třeba i keyloggerovat, pokud je klíč zaheslovaný), ale nemůžu zapisovat do USB zařízení ani měnit/debugovat ssh.
On 28.11.2013 14:19, Stanislav Petr wrote:
Ma to jedinou vyhodu - kdyz ti ukradnou ten HW klic, tak poznas ze ti ho ukradli (proste ho fyzicky nemas), takze vis na cem jsi. Kdyz ti nekdo ukradne normlani provatni SSH klic, tak si ho zkopiruje a u tebe ho mazat nebude, takze nepoznas ze jsi o nej prisel. Jinak to zadny vyhody nema....
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Používání nestandardních portů je tak trochu přežitek. To když už, tak spíš použít port knocking. Jinak u SSH (ale i dalších služeb) se mi nejvíc osvědčil fail2ban plus samozřejmně ssh klíče. Hesla jsou OK, dokud jsou bezpečná (http://xkcd.com/936/ :) ).
Chroot tam, kde to má smysl, atd. Ale hlavně si uvědomte, že nejvíc útoků, jak už bylo řečeno, není na "systémové" služby, ale na aplikace, především na ty rozšířené (Wordpress, Joomla, ownCloud, různé *wiki, atd, atd..), takže řešit bezpečnost má smysl především tam.
-miky
2013/11/27 Vít Novák vit.novak@firepanel.cz:
Ahoj,
co se týče SSH, tak osobně preferuji zakázat přihlášení na root a zavést SSH klíče a ty jednou za čas aktualizovat. :-)
Vítek
Dne 27. listopadu 2013 20:38 "Ing. Lukáš Jelínek - AIKEN" lukas@aiken.cz napsal(a):
Ahoj, hlavně pozor na slabá hesla - jak u SSH/FTP..., tak u pošty. Už jsem takových útoků zažil řadu (myslím úspěšných), včetně vlastních serverů, kde si uživatelé nastavili extrémně slabá hesla, protože jim v tom nic technicky nebránilo. Viz též nedávný útok na GitHub. Jedno slabé heslo na mailserveru stačí k zařazení na blacklist během chvilky, u SSH mohou být následky ještě horší.
Lukáš Jelínek
Ahoj,
určitě bych se v tomhle rád poučil, ač si vše držím aktualizované, nemyslím si, že to nutně stačí k bezpečnosti. Byly by nějaké tipy na co si určitě dát pozor?
Vojtěch Knyttl | GoOut
knyttl@goout.cz +420 607 008 510 http://goout.cz
On Wednesday, November 27, 2013 at 7:04 PM, Pavel Snajdr wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahojte,
mnozi se nam pripady, kdy jsou VPS clenu hacknute, protoze jsou neaktualizovane.
Prosim uvedomte si, ze zijeme v roce 2013 a skenovani Internetu na zranitelnosti maji sigri davno automatizovane, neexistuje teda nic jako "stejne nikoho nezajimam".
V pripade, ze narazim na hacknutou VPS, ma dany clen suspended account a nejde VPS zapnout, dokud se neozve. A v 99.9% proste pozaduji reinstall.
Abyste se tomu vyhnuli, prosim aktualizujte si pravidelne system - jde to krasne zautomatizovat. Zaroven ale nezapominejte na aplikace, ktere nejsou nainstalovane pres balickovaci system - napriklad vsemozne PHPckovske aplikace, pravidelne jsou v nich diry - za nedavne pripady, ktere nas potkaly, jmenuji konkretne napriklad Wordpress a phpBB.
Diky.
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux) Comment: Using GnuPG with Icedove - http://www.enigmail.net/
iF0EAREIAAYFAlKWNDcACgkQMBKdi9lkZ6pbMAD1GQMMITldBPlxXXCtUpgjJ6bU ox89BBBGbs417zxEngEA04YfyPxXGlNAqDLLdWxz25rPpX/5IFVUjQ5rQbH8hEk= =iQ1w -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
S tím souhlasím. Pokud aktualizujete servery, pak jsou problémy minimální.
Většina problémů je skrz aplikace (PHP atd.) Zde jednoznačně správně nastavit uživatelská práva v databázi. Už jsem zažil, že web měl SQLi chybu a bohužel mysql user práva k celé mysql.
---- On Wed, 27 Nov 2013 20:59:44 +0100 Jakub Fišer<kuba@ufiseru.cz> wrote ----
Používání nestandardních portů je tak trochu přežitek. To když už, tak spíš použít port knocking. Jinak u SSH (ale i dalších služeb) se mi nejvíc osvědčil fail2ban plus samozřejmně ssh klíče. Hesla jsou OK, dokud jsou bezpečná (http://xkcd.com/936/ :) ).
Chroot tam, kde to má smysl, atd. Ale hlavně si uvědomte, že nejvíc útoků, jak už bylo řečeno, není na "systémové" služby, ale na aplikace, především na ty rozšířené (Wordpress, Joomla, ownCloud, různé *wiki, atd, atd..), takže řešit bezpečnost má smysl především tam.
-miky
2013/11/27 Vít Novák <vit.novak@firepanel.cz>: > Ahoj, > > co se týče SSH, tak osobně preferuji zakázat přihlášení na root a zavést SSH > klíče a ty jednou za čas aktualizovat. :-) > > Vítek > > > Dne 27. listopadu 2013 20:38 "Ing. Lukáš Jelínek - AIKEN" <lukas@aiken.cz> > napsal(a): > >> Ahoj, >> hlavně pozor na slabá hesla - jak u SSH/FTP..., tak u pošty. Už jsem >> takových útoků zažil řadu (myslím úspěšných), včetně vlastních serverů, kde >> si uživatelé nastavili extrémně slabá hesla, protože jim v tom nic technicky >> nebránilo. Viz též nedávný útok na GitHub. Jedno slabé heslo na mailserveru >> stačí k zařazení na blacklist během chvilky, u SSH mohou být následky ještě >> horší. >> >> Lukáš Jelínek >> >> >> Ahoj, >> >> určitě bych se v tomhle rád poučil, ač si vše držím aktualizované, >> nemyslím si, že to nutně stačí k bezpečnosti. Byly by nějaké tipy na co si >> určitě dát pozor? >> >> Vojtěch Knyttl | GoOut >> >> knyttl@goout.cz >> +420 607 008 510 >> http://goout.cz >> >> On Wednesday, November 27, 2013 at 7:04 PM, Pavel Snajdr wrote: >> >> -----BEGIN PGP SIGNED MESSAGE----- >> Hash: SHA256 >> >> Ahojte, >> >> mnozi se nam pripady, kdy jsou VPS clenu hacknute, protoze jsou >> neaktualizovane. >> >> Prosim uvedomte si, ze zijeme v roce 2013 a skenovani Internetu na >> zranitelnosti maji sigri davno automatizovane, neexistuje teda nic >> jako "stejne nikoho nezajimam". >> >> V pripade, ze narazim na hacknutou VPS, ma dany clen suspended account >> a nejde VPS zapnout, dokud se neozve. A v 99.9% proste pozaduji reinstall. >> >> Abyste se tomu vyhnuli, prosim aktualizujte si pravidelne system - jde >> to krasne zautomatizovat. >> Zaroven ale nezapominejte na aplikace, ktere nejsou nainstalovane pres >> balickovaci system - napriklad vsemozne PHPckovske aplikace, >> pravidelne jsou v nich diry - za nedavne pripady, ktere nas potkaly, >> jmenuji konkretne napriklad Wordpress a phpBB. >> >> Diky. >> >> S pozdravem >> >> Pavel Snajdr >> >> +421 948 816 186 | +420 720 107 791 | 110-010-956 >> CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE >> http://relbit.com | http://vpsfree.cz | https://www.redhat.com >> -----BEGIN PGP SIGNATURE----- >> Version: GnuPG v1.4.12 (GNU/Linux) >> Comment: Using GnuPG with Icedove - http://www.enigmail.net/ >> >> iF0EAREIAAYFAlKWNDcACgkQMBKdi9lkZ6pbMAD1GQMMITldBPlxXXCtUpgjJ6bU >> ox89BBBGbs417zxEngEA04YfyPxXGlNAqDLLdWxz25rPpX/5IFVUjQ5rQbH8hEk= >> =iQ1w >> -----END PGP SIGNATURE----- >> _______________________________________________ >> Community-list mailing list >> Community-list@lists.vpsfree.cz >> http://lists.vpsfree.cz/listinfo/community-list >> >> >> >> >> _______________________________________________ >> Community-list mailing list >> Community-list@lists.vpsfree.cz >> http://lists.vpsfree.cz/listinfo/community-list >> >> >> >> _______________________________________________ >> Community-list mailing list >> Community-list@lists.vpsfree.cz >> http://lists.vpsfree.cz/listinfo/community-list >> > > > _______________________________________________ > Community-list mailing list > Community-list@lists.vpsfree.cz > http://lists.vpsfree.cz/listinfo/community-list >
On Wed, 27 Nov 2013 20:59:44 +0100 Jakub Fišer kuba@ufiseru.cz wrote:
Používání nestandardních portů je tak trochu přežitek. To když už, tak spíš použít port knocking. Jinak u SSH (ale i dalších služeb) se mi nejvíc osvědčil fail2ban plus samozřejmně ssh klíče. Hesla jsou OK, dokud jsou bezpečná (http://xkcd.com/936/ :) ).
Jojo, já mám taky na roota heslo "CorrectHorseBatteryStaple" a vod tý doby se mi nemůže nic stát...
Ale vážně. Máte někdo seznam 2000 snadno zapamatovatelných slov, z kterých by se dalo náhodně vybírat? Zkoušel jsem to s různými seznamy nejfrekventovanějších slov, ale protože ty jsou zřejmě založené na novinových zprávách, tak to nebylo úplně ono: "fruit cross timber story" ani "tower exposure fleet classification" se rozhodně nedají srovnávat s tím dílem xkcd, pokusy s českým korpusem dopadly ještě hůř.
Petr T
Zkopíroval bych slovník z Electrum (pro angličtinu). Občas jako kdyby se mi počítač snažil něco naznačit: wrong worth remember ashamed constantly yourself deeply stupid scratch somehow beg moral.
On 28.11.2013 15:26, Petr Tesařík wrote:
On Wed, 27 Nov 2013 20:59:44 +0100 Jakub Fišer kuba@ufiseru.cz wrote:
Používání nestandardních portů je tak trochu přežitek. To když už, tak spíš použít port knocking. Jinak u SSH (ale i dalších služeb) se mi nejvíc osvědčil fail2ban plus samozřejmně ssh klíče. Hesla jsou OK, dokud jsou bezpečná (http://xkcd.com/936/ :) ).
Jojo, já mám taky na roota heslo "CorrectHorseBatteryStaple" a vod tý doby se mi nemůže nic stát...
Ale vážně. Máte někdo seznam 2000 snadno zapamatovatelných slov, z kterých by se dalo náhodně vybírat? Zkoušel jsem to s různými seznamy nejfrekventovanějších slov, ale protože ty jsou zřejmě založené na novinových zprávách, tak to nebylo úplně ono: "fruit cross timber story" ani "tower exposure fleet classification" se rozhodně nedají srovnávat s tím dílem xkcd, pokusy s českým korpusem dopadly ještě hůř.
Petr T _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Krome silnyho hesla nezapomen i na nejakej blacklisting brutoforce utoku. Napr fail2ban a podobny daemoni. Jinak je to pokud bude utocnik odhodlanej jen otazka casu...
- -- Stanislav Petr HOSTING90 systems s.r.o.
On 27. 11. 2013 20:38, "Ing. Lukáš Jelínek - AIKEN" wrote:
Ahoj, hlavně pozor na slabá hesla - jak u SSH/FTP..., tak u pošty. Už jsem
takových útoků zažil řadu (myslím úspěšných), včetně vlastních serverů, kde si uživatelé nastavili extrémně slabá hesla, protože jim v tom nic technicky nebránilo. Viz též nedávný útok na GitHub. Jedno slabé heslo na mailserveru stačí k zařazení na blacklist během chvilky, u SSH mohou být následky ještě horší.
Lukáš Jelínek
Ahoj,
určitě bych se v tomhle rád poučil, ač si vše držím aktualizované,
nemyslím si, že to nutně stačí k bezpečnosti. Byly by nějaké tipy na co si určitě dát pozor?
Vojtěch Knyttl | GoOut
knyttl@goout.cz +420 607 008 510 http://goout.cz
On Wednesday, November 27, 2013 at 7:04 PM, Pavel Snajdr wrote:
Ahojte,
mnozi se nam pripady, kdy jsou VPS clenu hacknute, protoze jsou neaktualizovane.
Prosim uvedomte si, ze zijeme v roce 2013 a skenovani Internetu na zranitelnosti maji sigri davno automatizovane, neexistuje teda nic jako "stejne nikoho nezajimam".
V pripade, ze narazim na hacknutou VPS, ma dany clen suspended account a nejde VPS zapnout, dokud se neozve. A v 99.9% proste pozaduji reinstall.
Abyste se tomu vyhnuli, prosim aktualizujte si pravidelne system - jde to krasne zautomatizovat. Zaroven ale nezapominejte na aplikace, ktere nejsou nainstalovane pres balickovaci system - napriklad vsemozne PHPckovske aplikace, pravidelne jsou v nich diry - za nedavne pripady, ktere nas potkaly, jmenuji konkretne napriklad Wordpress a phpBB.
Diky.
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz http://vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
--- Tato zpráva neobsahuje viry ani jiný škodlivý kód - avast! Antivirus je aktivní. http://www.avast.com
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Moje zkušenost je taková, že pokud jde nějaký brute-force, tak to jde spíš z jednoho, či málo míst, takže velkou spoustu těchto pokusů opravdu zachytí.
A podpora IPv6 tuším už je (používám, ale tohle si nevybavím v rychlosti) - ale je to skoro jedno. Minimum útoků jde dnes po IPv6. Jak se nikomu přecházet na IPv6 nechce, tak naštěstí ani těm útočníkům.
Robin Obůrka
Dne 27.11.2013 22:05, semanmar@gmail.com napsal(a):
Mne sa osobne fail2ban a podobne blacklisty neosvedcili. Ked mi naposledy skusali bruteforce na jeden server, tak utok siel zrejme z nejakeho botnetu stylom 3 pokusy z IP1, dalsie 3 z IP2, atd., cize akurat mi to plnilo host.deny, no realny efekt to neprinieslo ziaden. Nehovoriac o tom, ze pokial viem, tak ani fail2ban ani jemu podobne hracky nefunguju s ipv6 (mozno sa to odvtedy zmenilo, neviem).
S pozdravom/Kind regards Martin Seman *From: *Stanislav Petr *Sent: *Mittwoch, 27. November 2013 21:19 *To: *vpsFree.cz Community list *Reply To: *vpsFree.cz Community list *Subject: *Re: [vpsFree.cz: community-list] Aktualizujte si VPS
Krome silnyho hesla nezapomen i na nejakej blacklisting brutoforce utoku. Napr fail2ban a podobny daemoni. Jinak je to pokud bude utocnik odhodlanej jen otazka casu...
Tato zpráva neobsahuje viry ani jiný škodlivý kód -avast! Antivirus http://www.avast.com/ je aktivní.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahoj Vojtěchu, po různých pokusech o útok na ssh se mi osvědčilo nastavit ssh na nestandardní port a vyžadovat při přihlašování certifikát. U aplikací jednoznačně snížená práva a chroot...
S pozdravem *Pavel Sieder*
Dne 27. listopadu 2013 20:33 Vojtěch Knyttl knyttl@goout.cz napsal(a):
Ahoj,
určitě bych se v tomhle rád poučil, ač si vše držím aktualizované, nemyslím si, že to nutně stačí k bezpečnosti. Byly by nějaké tipy na co si určitě dát pozor?
Vojtěch Knyttl | GoOut
knyttl@goout.cz +420 607 008 510 http://goout.cz
On Wednesday, November 27, 2013 at 7:04 PM, Pavel Snajdr wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahojte,
mnozi se nam pripady, kdy jsou VPS clenu hacknute, protoze jsou neaktualizovane.
Prosim uvedomte si, ze zijeme v roce 2013 a skenovani Internetu na zranitelnosti maji sigri davno automatizovane, neexistuje teda nic jako "stejne nikoho nezajimam".
V pripade, ze narazim na hacknutou VPS, ma dany clen suspended account a nejde VPS zapnout, dokud se neozve. A v 99.9% proste pozaduji reinstall.
Abyste se tomu vyhnuli, prosim aktualizujte si pravidelne system - jde to krasne zautomatizovat. Zaroven ale nezapominejte na aplikace, ktere nejsou nainstalovane pres balickovaci system - napriklad vsemozne PHPckovske aplikace, pravidelne jsou v nich diry - za nedavne pripady, ktere nas potkaly, jmenuji konkretne napriklad Wordpress a phpBB.
Diky.
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux) Comment: Using GnuPG with Icedove - http://www.enigmail.net/
iF0EAREIAAYFAlKWNDcACgkQMBKdi9lkZ6pbMAD1GQMMITldBPlxXXCtUpgjJ6bU ox89BBBGbs417zxEngEA04YfyPxXGlNAqDLLdWxz25rPpX/5IFVUjQ5rQbH8hEk= =iQ1w -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Nic proti, ale to, co tu kluci resi, je vetsinou (az na silna hesla) zbytecne. Mnohem dulezitejsi je opravdu udrzovat system vcetne vsech aplikaci aktualni a nepoustet pristup nikomu, komu se neda verit na 1000%.
S pozdravem,
Pavel Snajdr
Odeslano z mobilniho zarizeni.
On 27 Nov 2013, at 20:33, Vojtěch Knyttl knyttl@goout.cz wrote:
Ahoj,
určitě bych se v tomhle rád poučil, ač si vše držím aktualizované, nemyslím si, že to nutně stačí k bezpečnosti. Byly by nějaké tipy na co si určitě dát pozor?
Vojtěch Knyttl | GoOut
knyttl@goout.cz +420 607 008 510 http://goout.cz
On Wednesday, November 27, 2013 at 7:04 PM, Pavel Snajdr wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahojte,
mnozi se nam pripady, kdy jsou VPS clenu hacknute, protoze jsou neaktualizovane.
Prosim uvedomte si, ze zijeme v roce 2013 a skenovani Internetu na zranitelnosti maji sigri davno automatizovane, neexistuje teda nic jako "stejne nikoho nezajimam".
V pripade, ze narazim na hacknutou VPS, ma dany clen suspended account a nejde VPS zapnout, dokud se neozve. A v 99.9% proste pozaduji reinstall.
Abyste se tomu vyhnuli, prosim aktualizujte si pravidelne system - jde to krasne zautomatizovat. Zaroven ale nezapominejte na aplikace, ktere nejsou nainstalovane pres balickovaci system - napriklad vsemozne PHPckovske aplikace, pravidelne jsou v nich diry - za nedavne pripady, ktere nas potkaly, jmenuji konkretne napriklad Wordpress a phpBB.
Diky.
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux) Comment: Using GnuPG with Icedove - http://www.enigmail.net/
iF0EAREIAAYFAlKWNDcACgkQMBKdi9lkZ6pbMAD1GQMMITldBPlxXXCtUpgjJ6bU ox89BBBGbs417zxEngEA04YfyPxXGlNAqDLLdWxz25rPpX/5IFVUjQ5rQbH8hEk= =iQ1w -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Kdyz uz jsme u ty bezpecnosti, tak mam par dotazu:
1. Podpora SElinuxu jeste porad v OpenVZ neni? Nebo na tom nekdo pracuje? Spouste utokum (zejmena 0day exploity) to dokaze velice efektivne zabranit. Pripadne jinej bezpecnostni modul (AppArmor, TOMOYO)?
2. Co se tyka firewallu, slo by doplnit moduly iplimit, u32, mport, pkttype, psd (mozna i ||ipv4options)? Dost uzivatelum by to asi pomohlo.
3. Muze uvnitr OpenVZ guestu jadro vyuzivat tc? Jak se ve vyslednym provozu projevi qos nastaveny uvnitr konternerove virtualizace?
Chapu vyhody OpenVZ v maximani efektivite vyuziti systemovych prostredku serveru, ale pokud se jedna o bezpecnost, tak tam mi prijde ze obcas OpenVZ hazi klacky pod nohy...
- -- Stanislav Petr
On 27. 11. 2013 19:04, Pavel Snajdr wrote:
Ahojte,
mnozi se nam pripady, kdy jsou VPS clenu hacknute, protoze jsou neaktualizovane.
Prosim uvedomte si, ze zijeme v roce 2013 a skenovani Internetu na zranitelnosti maji sigri davno automatizovane, neexistuje teda nic jako "stejne nikoho nezajimam".
V pripade, ze narazim na hacknutou VPS, ma dany clen suspended account a nejde VPS zapnout, dokud se neozve. A v 99.9% proste pozaduji reinstall.
Abyste se tomu vyhnuli, prosim aktualizujte si pravidelne system - jde to krasne zautomatizovat. Zaroven ale nezapominejte na aplikace, ktere nejsou nainstalovane pres balickovaci system - napriklad vsemozne PHPckovske aplikace, pravidelne jsou v nich diry - za nedavne pripady, ktere nas potkaly, jmenuji konkretne napriklad Wordpress a phpBB.
Diky.
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
--- Tato zpráva neobsahuje viry ani jiný škodlivý kód - avast! Antivirus je aktivní. http://www.avast.com
community-list@lists.vpsfree.cz
-
"Ing. Lukáš Jelínek - AIKEN" -
Jakub Fišer -
Jan Hrach -
Jan Pokorný - diginto.cz -
Michal Janoušek -
mrkva@mrkva.eu -
Pavel Sieder -
Pavel Snajdr -
Petr Tesařík -
Robin Obůrka -
semanmar@gmail.com -
Stanislav Petr -
Vojtěch Knyttl -
Vít Novák