-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahojte,
dneska premyslim nad problemem poslednich par tydnu - obcas se k nam prihlasi lidi, kteri vubec netusi ani ze by si meli nastavit root heslo, na podporu nam pak prijde dotaz "nemuzu se dostat do VPS, proc?"...
Pak se nam stava, ze VPS takovych clenu jsou uplne snadnym tercem ruznych botu => chodi pak stiznosti, ze odesilame SPAM a podobne.
Myslite si, ze bychom meli mit nejake (i kdyz treba minimalni) naroky na znalosti uchazecu o clenstvi?
Napriklad 3 kontrolni dotazy pri vyplneni prihlasky?
Co si o tomhle obecne myslite?
Dik za nazory.
- -- Pavel Snajdr
+420 720 107 791
Davnejsie tu tiez na to padla rec od teba a premyslal som nad tym. Pred registraciou by nebolo zle dat nejake 3 otazky (nie zlozite) aby potencialneho noveho uzivatela neodradilo.
2012/3/12 Pavel Snajdr snajpa@snajpa.net
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahojte,
dneska premyslim nad problemem poslednich par tydnu - obcas se k nam prihlasi lidi, kteri vubec netusi ani ze by si meli nastavit root heslo, na podporu nam pak prijde dotaz "nemuzu se dostat do VPS, proc?"...
Pak se nam stava, ze VPS takovych clenu jsou uplne snadnym tercem ruznych botu => chodi pak stiznosti, ze odesilame SPAM a podobne.
Myslite si, ze bychom meli mit nejake (i kdyz treba minimalni) naroky na znalosti uchazecu o clenstvi?
Napriklad 3 kontrolni dotazy pri vyplneni prihlasky?
Co si o tomhle obecne myslite?
Dik za nazory.
Pavel Snajdr
+420 720 107 791
http://vpsfree.cz -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iF4EAREIAAYFAk9eQ0QACgkQdh+64ds5DaYQpQD+OHY1aYL3PiqRQI4TFJnFhiIt uBlzMWfu34nuDDEST/ABAJxV3v0ErTLDl4w47Nq1vlQsC6sp4m2jJ5GUyPpDJBYZ =C5QI -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Tak ale ked sa na to opyta kamarada, tak uz minimalne tie tri chyby nespravi :D Ale co navrhujes znie tiez dobre..
2012/3/12 Jan Grmela jan.grmela@imakers.cz
Ahoj, Myslim, ze kontrolni otazky nic moc nevyresi - napisou kamaradovi nebo se zeptaji na webu. Co by vsak mohlo fungovat, je zadat do podminek clenstvi nejakou formuli o tom, ze je treba si VPS zabezpecit, chranit pred utoky, etc. Pro formu.
Pak v navaznosti na to upozornovat clena, ze nesplnuje podminky (napr opakovane mu hacknou VPS) a ze muze byt vyloucen.
Je to sice mozna drsna praktika ale obavam se, ze jinak nez timto pristupem si kvalitni clenskou zakladnu a ferove vytizene servery do budoucna nezajistime.
-- Jan Grmela jan.grmela@imakers.cz www.imakers.cz +420 608 110 686 <+420%20608%20110%20686> iMakers, s.r.o. Absolonova 725/81, Brno, 62400, Czech Republic ICO/Id: 29228875 DIC/VAT No: CZ29228875 Sent from my HP TouchPad
On 12.3.2012 19:41, Pavel Snajdr snajpa@snajpa.net wrote: -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahojte,
dneska premyslim nad problemem poslednich par tydnu - obcas se k nam prihlasi lidi, kteri vubec netusi ani ze by si meli nastavit root heslo, na podporu nam pak prijde dotaz "nemuzu se dostat do VPS, proc?"...
Pak se nam stava, ze VPS takovych clenu jsou uplne snadnym tercem ruznych botu => chodi pak stiznosti, ze odesilame SPAM a podobne.
Myslite si, ze bychom meli mit nejake (i kdyz treba minimalni) naroky na znalosti uchazecu o clenstvi?
Napriklad 3 kontrolni dotazy pri vyplneni prihlasky?
Co si o tomhle obecne myslite?
Dik za nazory.
Pavel Snajdr
+420 720 107 791
http://vpsfree.cz -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iF4EAREIAAYFAk9eQ0QACgkQdh+64ds5DaYQpQD+OHY1aYL3PiqRQI4TFJnFhiIt uBlzMWfu34nuDDEST/ABAJxV3v0ErTLDl4w47Nq1vlQsC6sp4m2jJ5GUyPpDJBYZ =C5QI -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Myslim ze to otazkama nevyresis. Spis tutorialy, wiki atpd. Proste ty lidi vzdelavat. A pak nejaka automaticka kontrola zabezpeceni VPS s vyzvou k naprave, pripadne radou jak na to. -----Original Message----- From: Pavel Snajdr snajpa@snajpa.net Sender: community-list-bounces@lists.vpsfree.cz Date: Mon, 12 Mar 2012 19:41:08 To: vpsFree.cz Community listcommunity-list@lists.vpsfree.cz Reply-To: "vpsFree.cz Community list" community-list@lists.vpsfree.cz Subject: [vpsFree.cz: community-list] K diskuzi a zamysleni: minimalni znalosti clena vpsFree.cz?
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahojte,
dneska premyslim nad problemem poslednich par tydnu - obcas se k nam prihlasi lidi, kteri vubec netusi ani ze by si meli nastavit root heslo, na podporu nam pak prijde dotaz "nemuzu se dostat do VPS, proc?"...
Pak se nam stava, ze VPS takovych clenu jsou uplne snadnym tercem ruznych botu => chodi pak stiznosti, ze odesilame SPAM a podobne.
Myslite si, ze bychom meli mit nejake (i kdyz treba minimalni) naroky na znalosti uchazecu o clenstvi?
Napriklad 3 kontrolni dotazy pri vyplneni prihlasky?
Co si o tomhle obecne myslite?
Dik za nazory.
- -- Pavel Snajdr
+420 720 107 791
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
No asi by to fungovalo.
Par tipov:
* po vytvoreni VPS rozposielat nejaky security bulletin, aby si ludia zabezpecili sluzby * dat dokopy nejaky navod, nech ti menej znali vedia aspon nastavit fail2ban alebo tak * pripadne uz nieco pridat do sablon, ale s tym by bolo asi prace a nie kazdy to chce
Neviem nakolko je situacia vazna (teda, ci je polovica VPS v botnetoch alebo je to 1 incident za rok). A ak chceme najskor statistiky, nejake dobrovolne otazky na skusku by urcite mohli byt.
Matej Snoha
2012/3/12 Pavel Snajdr snajpa@snajpa.net:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahojte,
dneska premyslim nad problemem poslednich par tydnu - obcas se k nam prihlasi lidi, kteri vubec netusi ani ze by si meli nastavit root heslo, na podporu nam pak prijde dotaz "nemuzu se dostat do VPS, proc?"...
Pak se nam stava, ze VPS takovych clenu jsou uplne snadnym tercem ruznych botu => chodi pak stiznosti, ze odesilame SPAM a podobne.
Myslite si, ze bychom meli mit nejake (i kdyz treba minimalni) naroky na znalosti uchazecu o clenstvi?
Napriklad 3 kontrolni dotazy pri vyplneni prihlasky?
Co si o tomhle obecne myslite?
Dik za nazory.
Pavel Snajdr
+420 720 107 791
http://vpsfree.cz -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iF4EAREIAAYFAk9eQ0QACgkQdh+64ds5DaYQpQD+OHY1aYL3PiqRQI4TFJnFhiIt uBlzMWfu34nuDDEST/ABAJxV3v0ErTLDl4w47Nq1vlQsC6sp4m2jJ5GUyPpDJBYZ =C5QI -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Dobry večer,
Pokud jde o reseni typu vstupni test, tak to jde vzdy oblafnout a nekdo to bude muset vyhodnocovat.
Wiki nebo obecne navody na zabezpeceni jsou dobra vec, ale otazka je kdo to bude udrzovat a jaky je prinos. Ostatne tyto informace uz na webu jsou a jak se bude merit, ze osveta pomohla ?
Podle meho soudu je nejlepsi vymyslet sadu overovacich skryptu nebo nastaveni bezpecnostnich pravidel ktera uzivatele navedou/donuti premyslet.
At tak ci onak, zameril bych se na zakladni nastaveni, napr SSH + www sluzeb (a zakladni OS). Udelat seznam co chcete sledovat. Napriklad zacit s 5 opatrenimi, pokud se to chytne.
Nema smysl budovat nejake robustni reseni a know how zakladnu, kdyz to bude slozite pro uzivatele novacky.
S pozdravem Petr Juhanak
Odesláno z mého bezdrátového handheldu BlackBerry®
-----Original Message----- From: Matej Snoha matej@snoha.info Sender: community-list-bounces@lists.vpsfree.cz Date: Mon, 12 Mar 2012 19:55:18 To: vpsFree.cz Community listcommunity-list@lists.vpsfree.cz Reply-To: "vpsFree.cz Community list" community-list@lists.vpsfree.cz Subject: Re: [vpsFree.cz: community-list] K diskuzi a zamysleni: minimalni znalosti clena vpsFree.cz?
No asi by to fungovalo.
Par tipov:
* po vytvoreni VPS rozposielat nejaky security bulletin, aby si ludia zabezpecili sluzby * dat dokopy nejaky navod, nech ti menej znali vedia aspon nastavit fail2ban alebo tak * pripadne uz nieco pridat do sablon, ale s tym by bolo asi prace a nie kazdy to chce
Neviem nakolko je situacia vazna (teda, ci je polovica VPS v botnetoch alebo je to 1 incident za rok). A ak chceme najskor statistiky, nejake dobrovolne otazky na skusku by urcite mohli byt.
Matej Snoha
2012/3/12 Pavel Snajdr snajpa@snajpa.net:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahojte,
dneska premyslim nad problemem poslednich par tydnu - obcas se k nam prihlasi lidi, kteri vubec netusi ani ze by si meli nastavit root heslo, na podporu nam pak prijde dotaz "nemuzu se dostat do VPS, proc?"...
Pak se nam stava, ze VPS takovych clenu jsou uplne snadnym tercem ruznych botu => chodi pak stiznosti, ze odesilame SPAM a podobne.
Myslite si, ze bychom meli mit nejake (i kdyz treba minimalni) naroky na znalosti uchazecu o clenstvi?
Napriklad 3 kontrolni dotazy pri vyplneni prihlasky?
Co si o tomhle obecne myslite?
Dik za nazory.
Pavel Snajdr
+420 720 107 791
http://vpsfree.cz -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iF4EAREIAAYFAk9eQ0QACgkQdh+64ds5DaYQpQD+OHY1aYL3PiqRQI4TFJnFhiIt uBlzMWfu34nuDDEST/ABAJxV3v0ErTLDl4w47Nq1vlQsC6sp4m2jJ5GUyPpDJBYZ =C5QI -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Zkusim nadhodit, jestli se to chytne.
Ve VPS adminu by pribylo tlacitko security test. Napriklad pro Debian. Novacek by si hold musel vybrat jedno distro pokud zacina. (Uz vidim jak se pereme ktere distro je nejlepsi)
Uzivateli by se namontoval na server adresar /security-check se startovacim skriptem.
Uzivak vyplnil root heslo, projelo by to SSH konfigurak a silu hesel (nevim presne jak) a vylistovalo by to spustene sluzb na portech (nmapem).
S pozdravem Petr Juhanak Odesláno z mého bezdrátového handheldu BlackBerry®
-----Original Message----- From: "Jan Grmela" jan.grmela@imakers.cz Sender: community-list-bounces@lists.vpsfree.cz Date: Mon, 12 Mar 2012 20:08:48 To: vpsFree.cz Community listcommunity-list@lists.vpsfree.cz Reply-To: Jan Grmela jan.grmela@imakers.cz, "vpsFree.cz Community list" community-list@lists.vpsfree.cz Subject: Re: [vpsFree.cz: community-list] K diskuzi a zamysleni: minimalni znalosti clena vpsFree.cz?
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Skocim ti trochu do reci -
On 03/12/2012 08:19 PM, petr@juhanak.cz wrote:
Zkusim nadhodit, jestli se to chytne.
Ve VPS adminu by pribylo tlacitko security test. Napriklad pro Debian. Novacek by si hold musel vybrat jedno distro pokud zacina. (Uz vidim jak se pereme ktere distro je nejlepsi)
Uzivateli by se namontoval na server adresar /security-check se startovacim skriptem.
Jsem urcite pro nejakymu security-check package - nemontovat adresar, ale udrzovat nejaky repo, kde budou security scripts. Ty si pak proste stahnes k sobe a pustis lokalne, s tim ze to asi bude muset volat nejakej cizi server zvenku kvuli testovani iptables napriklad.
Nicmene, to by melo bejt realizovatelny.
Tim vubec muzeme udelat kompletni nejenom security, ale proste obecnej linux internet server e-learning course. Neco jako RH kurzy, ale v nasem stylu zamereny na internetovy sluzby. Zajemce o takovej kurz by si u nas proste vzal VPSko a pak by si ho mohl nechat (a samozrejme celou dobu uz od zacatku by platil clenskej prispevek).
To bych ale potreboval nekoho, kdo mi s tim pomuze - dobrovolnici?
Uzivak vyplnil root heslo, projelo by to SSH konfigurak a silu hesel (nevim presne jak) a vylistovalo by to spustene sluzb na portech (nmapem).
S pozdravem Petr Juhanak Odesláno z mého bezdrátového handheldu BlackBerry®
-----Original Message----- From: "Jan Grmela" jan.grmela@imakers.cz Sender: community-list-bounces@lists.vpsfree.cz Date: Mon, 12 Mar 2012 20:08:48 To: vpsFree.cz Community listcommunity-list@lists.vpsfree.cz Reply-To: Jan Grmela jan.grmela@imakers.cz, "vpsFree.cz Community list" community-list@lists.vpsfree.cz Subject: Re: [vpsFree.cz: community-list] K diskuzi a zamysleni: minimalni znalosti clena vpsFree.cz?
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ono napady su to fajn :) ... ale troska by sme mohli ist poporiadku :) doriesit security problem a potom e-learning kurzy, co je opakovane tiez fajn napad..
On 03/12/2012 08:23 PM, Pavel Snajdr wrote:
Skocim ti trochu do reci -
On 03/12/2012 08:19 PM, petr@juhanak.cz wrote:
Zkusim nadhodit, jestli se to chytne.
Ve VPS adminu by pribylo tlacitko security test. Napriklad pro
Debian. Novacek by si hold musel vybrat jedno distro pokud zacina. (Uz vidim jak se pereme ktere distro je nejlepsi)
Uzivateli by se namontoval na server adresar /security-check se
startovacim skriptem.
Jsem urcite pro nejakymu security-check package - nemontovat adresar, ale udrzovat nejaky repo, kde budou security scripts. Ty si pak proste stahnes k sobe a pustis lokalne, s tim ze to asi bude muset volat nejakej cizi server zvenku kvuli testovani iptables napriklad.
Nicmene, to by melo bejt realizovatelny.
Tim vubec muzeme udelat kompletni nejenom security, ale proste obecnej linux internet server e-learning course. Neco jako RH kurzy, ale v nasem stylu zamereny na internetovy sluzby. Zajemce o takovej kurz by si u nas proste vzal VPSko a pak by si ho mohl nechat (a samozrejme celou dobu uz od zacatku by platil clenskej prispevek).
To bych ale potreboval nekoho, kdo mi s tim pomuze - dobrovolnici?
Uzivak vyplnil root heslo, projelo by to SSH konfigurak a silu hesel
(nevim presne jak) a vylistovalo by to spustene sluzb na portech (nmapem).
S pozdravem Petr Juhanak Odesláno z mého bezdrátového handheldu BlackBerry®
-----Original Message----- From: "Jan Grmela" jan.grmela@imakers.cz Sender: community-list-bounces@lists.vpsfree.cz Date: Mon, 12 Mar 2012 20:08:48 To: vpsFree.cz Community listcommunity-list@lists.vpsfree.cz Reply-To: Jan Grmela jan.grmela@imakers.cz, "vpsFree.cz Community list" community-list@lists.vpsfree.cz Subject: Re: [vpsFree.cz: community-list] K diskuzi a zamysleni:
minimalni
znalosti clena vpsFree.cz?
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ja bych do toho Pavle šel, ale pokud časově zkolabuju, tak se na mě nesmíš zlobit, to říkám narovinu, (mám dvě děti a nemám pořádně čas ani na svou VPSKu, čas mám jen po večer, přes den na komunikaci poskromnu)
nemáme co ztratit, kdyžtak to dáme někomu jinému na starost, to je vše co mohu nabídnout.
--
Pokud jde o nějaké testy nebo vynucování pravidel, tak podle mého názoru tohle není ta správná cesta. Komunita by měla spíše nadchnout něco dělat, ukázat cestu, pokud to vyloženě není věc, která by kriticky ohrožovala existenci a bezpečnost.
S pozdravem Petr Juhaňák
Dne 12.3.2012 20:23, Pavel Snajdr napsal(a):
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Skocim ti trochu do reci -
On 03/12/2012 08:19 PM, petr@juhanak.cz wrote:
Zkusim nadhodit, jestli se to chytne.
Ve VPS adminu by pribylo tlacitko security test. Napriklad pro Debian. Novacek by si hold musel vybrat jedno distro pokud zacina. (Uz vidim jak se pereme ktere distro je nejlepsi)
Uzivateli by se namontoval na server adresar /security-check se startovacim skriptem.
Jsem urcite pro nejakymu security-check package - nemontovat adresar, ale udrzovat nejaky repo, kde budou security scripts. Ty si pak proste stahnes k sobe a pustis lokalne, s tim ze to asi bude muset volat nejakej cizi server zvenku kvuli testovani iptables napriklad.
Nicmene, to by melo bejt realizovatelny.
Tim vubec muzeme udelat kompletni nejenom security, ale proste obecnej linux internet server e-learning course. Neco jako RH kurzy, ale v nasem stylu zamereny na internetovy sluzby. Zajemce o takovej kurz by si u nas proste vzal VPSko a pak by si ho mohl nechat (a samozrejme celou dobu uz od zacatku by platil clenskej prispevek).
To bych ale potreboval nekoho, kdo mi s tim pomuze - dobrovolnici?
Uzivak vyplnil root heslo, projelo by to SSH konfigurak a silu hesel (nevim presne jak) a vylistovalo by to spustene sluzb na portech (nmapem).
S pozdravem Petr Juhanak Odesláno z mého bezdrátového handheldu BlackBerry®
-----Original Message----- From: "Jan Grmela"jan.grmela@imakers.cz Sender: community-list-bounces@lists.vpsfree.cz Date: Mon, 12 Mar 2012 20:08:48 To: vpsFree.cz Community listcommunity-list@lists.vpsfree.cz Reply-To: Jan Grmelajan.grmela@imakers.cz, "vpsFree.cz Community list"community-list@lists.vpsfree.cz Subject: Re: [vpsFree.cz: community-list] K diskuzi a zamysleni: minimalni znalosti clena vpsFree.cz?
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iF4EAREIAAYFAk9eTUYACgkQdh+64ds5DaY4owD/StrXLUG7BmFmUNXGaRMF+DAi Md7NZXBqBxf4foWgLzgA/2hVyUF9JAUg2wQk1plEq72gKOwCU3wTvWhxl1LFBvLz =VMx9 -----END PGP SIGNATURE-----
Ahojte,
co se týče otázek, tak jsem asi lehce proti multi-choice otázkám ("Ovládám následující technologie:" [kopec checkboxů]; "co je bezpečnější: heslo nebo publickey?") a dal bych tam jen dvě -- k čemu chci VPS používat (jaké služby mi tam nejspíš poběži)? Jaké jsou mé předchozí zkušenosti?. Multi-choice nechci proto, že se to dá snadno obejít, jak už tu bylo naznačeno (prostě se zeptám kamaráda/Googlu). U free-form otázek se toho dozvíme o uchazeči mnohem více a přijde mi, že jsou na místě právě proto, že nejsme firma, ale o.s. Samozřejmě je naprosto v pořádku, když někdo napíše, že nemá žádné zkušenosti, ale asi by měl mít tušení, že když chce mail, bude instalovat postfix (např.).
Co se dalších návrhů týče -- repo se security-check skripty by bylo skvělé, kurzy ještě lepší. Přidat povinný publickey do nějaké community policy je myslím dobrý nápad a docela základní pravidlo, které by umožnilo vyfiltrovat ty, kteří se nechtějí naučit ani takhle základní věc. Rozvinutí téhle myšlenky do automatizovaných checků (ssh publickey? + nmapem projet porty a nějaký další bezpečnostní audit atd.) se mi líbí, aby si uživatel uvědomil, co všechno jde zjistit zvenku. Přístupem ke členům by to mělo být podobné, jako když CZ.NIC rozesílá checky domén -- takové přátelské upomenutí "máš blbě nastavené DNS servery, sprav si to!". Ne moc drsné (až na věci, které by se zařadily do pravidel), s nějakým ukazatelem na to, jak věc napravit, ale zároveň by mělo být jasné, že to není úplně jedno.
al-Quaknaa
Domnievam sa, ze ako ista preukazatalna znalost by mohla byt podmienka prihlasovania sa na server pomocou publickey. K tomu by sa spravil pripadne navod, ak by to niekomu nebolo jasne. Stanovila by sa tiez podmienka pouzivania publickey do 1 mesiaca od vstupu do vpsFree. Pre zdruzenie by to malo zo security hladiska iba vyhodu. A urcite teda spravit security basic know-how pri sprave OS. Pozdaval by sa Vam navrh s publickey?
On 03/12/2012 08:08 PM, Jan Grmela wrote:
Rozhodne souhlas s temito body + automaticky security check po mesici.
Myslim, ze bash skript s nmapem to vyresi za chvili (ty zakladni kontroly).
Se schvalovanim nesouhlasim, uz jen proto, ze je to zbytecna
administrativa a za druhe - jak nove cleny posuzovat? Na zaklade dotazniku? Na zaklade CV? Osobne bych radsi byl proto, aby mohl do sdruzeni kazdy s tim, ze se vsak bude muset naucit behem prvniho mesice (ci jineho obdobi) spravovat svuj server pokud to jeste neumi (treba proto, ze nikdy zadny server neprovozoval a na vpsfree se to chce naucit).
-- Jan Grmela jan.grmela@imakers.cz mailto:jan.grmela@imakers.cz www.imakers.cz http://www.imakers.cz +420 608 110 686 <tel:+420 608 110 686> iMakers, s.r.o. Absolonova 725/81, Brno, 62400, Czech Republic ICO/Id: 29228875 DIC/VAT No: CZ29228875 Sent from my HP TouchPad
On 12.3.2012 19:56, Matej Snoha matej@snoha.info wrote: No asi by to fungovalo.
Par tipov:
- po vytvoreni VPS rozposielat nejaky security bulletin, aby si ludia
zabezpecili sluzby
- dat dokopy nejaky navod, nech ti menej znali vedia aspon nastavit
fail2ban alebo tak
- pripadne uz nieco pridat do sablon, ale s tym by bolo asi prace a
nie kazdy to chce
Neviem nakolko je situacia vazna (teda, ci je polovica VPS v botnetoch alebo je to 1 incident za rok). A ak chceme najskor statistiky, nejake dobrovolne otazky na skusku by urcite mohli byt.
Matej Snoha
2012/3/12 Pavel Snajdr snajpa@snajpa.net: Ahojte,
dneska premyslim nad problemem poslednich par tydnu - obcas se k nam prihlasi lidi, kteri vubec netusi ani ze by si meli nastavit root heslo, na podporu nam pak prijde dotaz "nemuzu se dostat do VPS, proc?"...
Pak se nam stava, ze VPS takovych clenu jsou uplne snadnym tercem ruznych botu => chodi pak stiznosti, ze odesilame SPAM a podobne.
Myslite si, ze bychom meli mit nejake (i kdyz treba minimalni) naroky na znalosti uchazecu o clenstvi?
Napriklad 3 kontrolni dotazy pri vyplneni prihlasky?
Co si o tomhle obecne myslite?
Dik za nazory.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
podle mne je autentizace SSH pres klice to nejlepsi co se da udelat ze zacatku. S tim omezenim po 1mesici mi to prijde drsne.
mnohem lepsi by bylo udelat mesicni scan na novou VPSku (sami) zeptat se SSH serveru zda umoznuje autentizace heslem a cloveka oslovit emailem spolu s navodem na wiki jak to zmenit
S pozdravem Petr Juhanak
Dne 12.3.2012 20:20, Peter Bubelíny napsal(a):
Domnievam sa, ze ako ista preukazatalna znalost by mohla byt podmienka prihlasovania sa na server pomocou publickey. K tomu by sa spravil pripadne navod, ak by to niekomu nebolo jasne. Stanovila by sa tiez podmienka pouzivania publickey do 1 mesiaca od vstupu do vpsFree. Pre zdruzenie by to malo zo security hladiska iba vyhodu. A urcite teda spravit security basic know-how pri sprave OS. Pozdaval by sa Vam navrh s publickey?
On 03/12/2012 08:08 PM, Jan Grmela wrote:
Rozhodne souhlas s temito body + automaticky security check po mesici.
Myslim, ze bash skript s nmapem to vyresi za chvili (ty zakladni kontroly).
Se schvalovanim nesouhlasim, uz jen proto, ze je to zbytecna
administrativa a za druhe - jak nove cleny posuzovat? Na zaklade dotazniku? Na zaklade CV? Osobne bych radsi byl proto, aby mohl do sdruzeni kazdy s tim, ze se vsak bude muset naucit behem prvniho mesice (ci jineho obdobi) spravovat svuj server pokud to jeste neumi (treba proto, ze nikdy zadny server neprovozoval a na vpsfree se to chce naucit).
-- Jan Grmela jan.grmela@imakers.cz mailto:jan.grmela@imakers.cz www.imakers.cz http://www.imakers.cz +420 608 110 686 <tel:+420 608 110 686> iMakers, s.r.o. Absolonova 725/81, Brno, 62400, Czech Republic ICO/Id: 29228875 DIC/VAT No: CZ29228875 Sent from my HP TouchPad
On 12.3.2012 19:56, Matej Snoha matej@snoha.info wrote: No asi by to fungovalo.
Par tipov:
- po vytvoreni VPS rozposielat nejaky security bulletin, aby si ludia
zabezpecili sluzby
- dat dokopy nejaky navod, nech ti menej znali vedia aspon nastavit
fail2ban alebo tak
- pripadne uz nieco pridat do sablon, ale s tym by bolo asi prace a
nie kazdy to chce
Neviem nakolko je situacia vazna (teda, ci je polovica VPS v botnetoch alebo je to 1 incident za rok). A ak chceme najskor statistiky, nejake dobrovolne otazky na skusku by urcite mohli byt.
Matej Snoha
2012/3/12 Pavel Snajdr snajpa@snajpa.net: Ahojte,
dneska premyslim nad problemem poslednich par tydnu - obcas se k nam prihlasi lidi, kteri vubec netusi ani ze by si meli nastavit root heslo, na podporu nam pak prijde dotaz "nemuzu se dostat do VPS, proc?"...
Pak se nam stava, ze VPS takovych clenu jsou uplne snadnym tercem ruznych botu => chodi pak stiznosti, ze odesilame SPAM a podobne.
Myslite si, ze bychom meli mit nejake (i kdyz treba minimalni) naroky na znalosti uchazecu o clenstvi?
Napriklad 3 kontrolni dotazy pri vyplneni prihlasky?
Co si o tomhle obecne myslite?
Dik za nazory.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- S pozdravom / Best regards Peter Bubelíny PGP key: http://goo.gl/ic2Wc Jabber: peter.bubeliny@jabbim.sk
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
"bezobsluzne plsone testy" - uprime receno, me by se nelibylo, kdyby se bez meho souhlasu a vedomi nekdo hrabal ve skriptech a delal scany i v dobre vire (pokud se ptate na verejne dostupne sluzby, je to v poradku)
Umim si predstavit, ze by to otravilo i spoustu potencionalnich clenu, takove psi-kusy se daji delat na testovacich VPSkach, kde to uzivak vylozene chce.
Kde je audit, tam je vyhodnoceni. Bez lidskeho rozmeru to neni ono a dostavate pocit falesneho bezpeci. Ruku na srdce, predstavte si ze sme o 8mesicu v budoucnosti a ve VPS adminu Vam pribude report Security check a tam bude pet zelenych odrazek, splneno, zabezpeceno.
Znamena to , ze jste zabezpeceni, asi moc ne ze? * Pokud se nepodivate dovnitr tech skriptu co delaji a kam sahaji, asi vite kulove.
Nejsou to zas tak spatne napady a daji se nejak uchopit, ale implementacne (vzhledem k security benefitu) je cena vysoka.
Ja jsem pro nejakou zakladni uroven checku a zbytek edukativne doresit, treba i hloupimi tutorialy nebo serii odkazu. Dulezite je, aby novi clenove informaci o spatnem zabezpeceni dostali.
Pokud se na to podivame z prinosu pro sdruzeni, tak identifikace VPSek, ktere nejsou se zakladnim zabezpeceni dobre je asi ta nejcennejsi informace a otazkou je, jak to udelat systemove a s malym usilim. Nesoustredte se prilis na technickou implementaci, ale na to, proc to zavadite a jaky chcete mit uzitek, ktery se da "nejak" zmerit
S pozdravem Petr Juhanak
Dne 12.3.2012 20:41, Jan Grmela napsal(a):
Ja bych se primlouval za externi scan. Da se primountovat filesystem vpsky? Predpokladam, ze ano. A tak by to cele mohlo byt bezobsluzne (jen je treba aby kod byl trvale verejny, aby nekdo nenamital, ze mu to ukradne soukroma data) a automatizovane. Proste pravidelne plosne testy nastaveni VPS nebo ten cudlik v adminu "otestujte moji vps" ci "[x] pravidelne testovat bezpecnost moji vps".
Nebral bych to jako nastroj vynucovani nybrz jako marketingovou vyhodu - mimo managed serveru prece nikdo automaticke audity vpsek nedela, hm? Takhle muzeme rict, ze maji clenove data v bezpeci diky automatickym testum (nebo neco v tom smyslu).
-- Jan Grmela jan.grmela@imakers.cz mailto:jan.grmela@imakers.cz www.imakers.cz http://www.imakers.cz +420 608 110 686 <tel:+420 608 110 686> iMakers, s.r.o. Absolonova 725/81, Brno, 62400, Czech Republic ICO/Id: 29228875 DIC/VAT No: CZ29228875 Sent from my HP TouchPad
On 12.3.2012 20:32, Petr Juhaňák petr@juhanak.cz wrote: podle mne je autentizace SSH pres klice to nejlepsi co se da udelat ze zacatku. S tim omezenim po 1mesici mi to prijde drsne.
mnohem lepsi by bylo udelat mesicni scan na novou VPSku (sami) zeptat se SSH serveru zda umoznuje autentizace heslem a cloveka oslovit emailem spolu s navodem na wiki jak to zmenit
S pozdravem Petr Juhanak
Dne 12.3.2012 20:20, Peter Bubelíny napsal(a):
Domnievam sa, ze ako ista preukazatalna znalost by mohla byt podmienka prihlasovania sa na server pomocou publickey. K tomu by sa spravil pripadne navod, ak by to niekomu nebolo jasne. Stanovila by sa tiez podmienka pouzivania publickey do 1 mesiaca od vstupu do vpsFree. Pre zdruzenie by to malo zo security hladiska iba vyhodu. A urcite teda spravit security basic know-how pri sprave OS. Pozdaval by sa Vam navrh s publickey?
On 03/12/2012 08:08 PM, Jan Grmela wrote:
Rozhodne souhlas s temito body + automaticky security check po mesici.
Myslim, ze bash skript s nmapem to vyresi za chvili (ty zakladni
kontroly).
Se schvalovanim nesouhlasim, uz jen proto, ze je to zbytecna
administrativa a za druhe - jak nove cleny posuzovat? Na zaklade dotazniku? Na zaklade CV? Osobne bych radsi byl proto, aby mohl do sdruzeni kazdy s tim, ze se vsak bude muset naucit behem prvniho mesice (ci jineho obdobi) spravovat svuj server pokud to jeste neumi (treba proto, ze nikdy zadny server neprovozoval a na vpsfree se to chce
naucit).
-- Jan Grmela jan.grmela@imakers.cz mailto:jan.grmela@imakers.cz www.imakers.cz http://www.imakers.cz +420 608 110 686 <tel:+420 608 110 686> iMakers, s.r.o. Absolonova 725/81, Brno, 62400, Czech Republic ICO/Id: 29228875 DIC/VAT No: CZ29228875 Sent from my HP TouchPad
On 12.3.2012 19:56, Matej Snoha matej@snoha.info wrote: No asi by to fungovalo.
Par tipov:
- po vytvoreni VPS rozposielat nejaky security bulletin, aby si ludia
zabezpecili sluzby
- dat dokopy nejaky navod, nech ti menej znali vedia aspon nastavit
fail2ban alebo tak
- pripadne uz nieco pridat do sablon, ale s tym by bolo asi prace a
nie kazdy to chce
Neviem nakolko je situacia vazna (teda, ci je polovica VPS v botnetoch alebo je to 1 incident za rok). A ak chceme najskor statistiky, nejake dobrovolne otazky na skusku by urcite mohli byt.
Matej Snoha
2012/3/12 Pavel Snajdr snajpa@snajpa.net: Ahojte,
dneska premyslim nad problemem poslednich par tydnu - obcas se k nam prihlasi lidi, kteri vubec netusi ani ze by si meli nastavit root heslo, na podporu nam pak prijde dotaz "nemuzu se dostat do VPS, proc?"...
Pak se nam stava, ze VPS takovych clenu jsou uplne snadnym tercem ruznych botu => chodi pak stiznosti, ze odesilame SPAM a podobne.
Myslite si, ze bychom meli mit nejake (i kdyz treba minimalni) naroky na znalosti uchazecu o clenstvi?
Napriklad 3 kontrolni dotazy pri vyplneni prihlasky?
Co si o tomhle obecne myslite?
Dik za nazory.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- S pozdravom / Best regards Peter Bubelíny PGP key: http://goo.gl/ic2Wc Jabber: peter.bubeliny@jabbim.sk
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Podla mna by ste problem vyriesili tak ze by ste mohli zaviest kontrolu hesla... pokial je silne root pusti dalej pokial nie zmenit... A problem solve. Ten test, by fakt z bussines hladiska nebol dobry napad.imho.
Arty
-----Original Message----- From: community-list-bounces@lists.vpsfree.cz [mailto:community-list- bounces@lists.vpsfree.cz] On Behalf Of Petr Juhaňák Sent: Monday, March 12, 2012 8:56 PM To: Jan Grmela; vpsFree.cz Community list Subject: Re: [vpsFree.cz: community-list] K diskuzi a zamysleni: minimalni znalosti clena vpsFree.cz?
"bezobsluzne plsone testy" - uprime receno, me by se nelibylo, kdyby se bez meho souhlasu a vedomi nekdo hrabal ve skriptech a delal scany i v dobre vire (pokud se ptate na verejne dostupne sluzby, je to v poradku)
Umim si predstavit, ze by to otravilo i spoustu potencionalnich clenu, takove psi-kusy se daji delat na testovacich VPSkach, kde to uzivak vylozene chce.
Kde je audit, tam je vyhodnoceni. Bez lidskeho rozmeru to neni ono a dostavate pocit falesneho bezpeci. Ruku na srdce, predstavte si ze sme o 8mesicu v budoucnosti a ve VPS adminu Vam pribude report Security check a tam bude pet zelenych odrazek, splneno, zabezpeceno.
Znamena to , ze jste zabezpeceni, asi moc ne ze?
- Pokud se nepodivate dovnitr tech skriptu co delaji a kam sahaji, asi vite
kulove.
Nejsou to zas tak spatne napady a daji se nejak uchopit, ale implementacne (vzhledem k security benefitu) je cena vysoka.
Ja jsem pro nejakou zakladni uroven checku a zbytek edukativne doresit, treba i hloupimi tutorialy nebo serii odkazu. Dulezite je, aby novi clenove informaci o spatnem zabezpeceni dostali.
Pokud se na to podivame z prinosu pro sdruzeni, tak identifikace VPSek, ktere nejsou se zakladnim zabezpeceni dobre je asi ta nejcennejsi informace a otazkou je, jak to udelat systemove a s malym usilim. Nesoustredte se prilis na technickou implementaci, ale na to, proc to zavadite a jaky chcete mit uzitek, ktery se da "nejak" zmerit
S pozdravem Petr Juhanak
Dne 12.3.2012 20:41, Jan Grmela napsal(a):
Ja bych se primlouval za externi scan. Da se primountovat filesystem vpsky? Predpokladam, ze ano. A tak by to cele mohlo byt bezobsluzne (jen je treba aby kod byl trvale verejny, aby nekdo nenamital, ze mu to ukradne soukroma data) a automatizovane. Proste pravidelne plosne testy nastaveni VPS nebo ten cudlik v adminu "otestujte moji vps" ci "[x] pravidelne testovat bezpecnost moji vps".
Nebral bych to jako nastroj vynucovani nybrz jako marketingovou vyhodu
- mimo managed serveru prece nikdo automaticke audity vpsek nedela, hm?
Takhle muzeme rict, ze maji clenove data v bezpeci diky automatickym testum (nebo neco v tom smyslu).
-- Jan Grmela jan.grmela@imakers.cz mailto:jan.grmela@imakers.cz www.imakers.cz http://www.imakers.cz +420 608 110 686 <tel:+420 608 110 686> iMakers, s.r.o. Absolonova 725/81, Brno, 62400, Czech Republic ICO/Id: 29228875 DIC/VAT No: CZ29228875 Sent from my HP TouchPad
-- On 12.3.2012 20:32, Petr Juhaňák petr@juhanak.cz wrote: podle mne je autentizace SSH pres klice to nejlepsi co se da udelat ze zacatku. S tim omezenim po 1mesici mi to prijde drsne.
mnohem lepsi by bylo udelat mesicni scan na novou VPSku (sami) zeptat se SSH serveru zda umoznuje autentizace heslem a cloveka oslovit emailem spolu s navodem na wiki jak to zmenit
S pozdravem Petr Juhanak
Dne 12.3.2012 20:20, Peter Bubelíny napsal(a):
Domnievam sa, ze ako ista preukazatalna znalost by mohla byt
podmienka > prihlasovania sa na server pomocou publickey. K tomu by sa spravil > pripadne navod, ak by to niekomu nebolo jasne. Stanovila by sa tiez > podmienka pouzivania publickey do 1 mesiaca od vstupu do vpsFree. Pre > zdruzenie by to malo zo security hladiska iba vyhodu.
A urcite teda spravit security basic know-how pri sprave OS. Pozdaval by sa Vam navrh s publickey?
On 03/12/2012 08:08 PM, Jan Grmela wrote:
Rozhodne souhlas s temito body + automaticky security check po mesici.
Myslim, ze bash skript s nmapem to vyresi za chvili (ty zakladni
kontroly).
Se schvalovanim nesouhlasim, uz jen proto, ze je to zbytecna >
administrativa a za druhe - jak nove cleny posuzovat? Na zaklade > dotazniku? Na zaklade CV? Osobne bych radsi byl proto, aby mohl do > sdruzeni kazdy s tim, ze se vsak bude muset naucit behem prvniho mesice > (ci jineho obdobi) spravovat svuj server pokud to jeste neumi (treba > proto, ze nikdy zadny server neprovozoval a na vpsfree se to chce naucit).
-- Jan Grmela jan.grmela@imakers.cz mailto:jan.grmela@imakers.cz >>
www.imakers.cz http://www.imakers.cz >> +420 608 110 686 <tel:+420 608 110 686> >> iMakers, s.r.o.
Absolonova 725/81, Brno, 62400, Czech Republic >> ICO/Id:
29228875 >> DIC/VAT No: CZ29228875 >> Sent from my HP TouchPad >> ------------------------- >> On 12.3.2012 19:56, Matej Snoha matej@snoha.info wrote:
No asi by to fungovalo.
Par tipov:
- po vytvoreni VPS rozposielat nejaky security bulletin, aby si
ludia >> zabezpecili sluzby >> * dat dokopy nejaky navod, nech ti menej znali vedia aspon nastavit >> fail2ban alebo tak >> * pripadne uz nieco pridat do sablon, ale s tym by bolo asi prace a >> nie kazdy to chce >> >> Neviem nakolko je situacia vazna (teda, ci je polovica VPS v botnetoch >> alebo je to 1 incident za rok).
A ak chceme najskor statistiky, nejake dobrovolne otazky na skusku
by >> urcite mohli byt.
Matej Snoha
2012/3/12 Pavel Snajdr snajpa@snajpa.net: Ahojte,
dneska premyslim nad problemem poslednich par tydnu - obcas se k
nam >> prihlasi lidi, kteri vubec netusi ani ze by si meli nastavit root heslo, >> na podporu nam pak prijde dotaz "nemuzu se dostat do VPS,
proc?"...
Pak se nam stava, ze VPS takovych clenu jsou uplne snadnym tercem ruznych botu => chodi pak stiznosti, ze odesilame SPAM a podobne.
Myslite si, ze bychom meli mit nejake (i kdyz treba minimalni)
naroky na >> znalosti uchazecu o clenstvi?
Napriklad 3 kontrolni dotazy pri vyplneni prihlasky?
Co si o tomhle obecne myslite?
Dik za nazory.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- S pozdravom / Best regards Peter Bubelíny PGP key: http://goo.gl/ic2Wc Jabber: peter.bubeliny@jabbim.sk
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahoj, myslenka nejakeho bezpecnostni testu, ktery bych si idealne sam mohl spustit z VPSadminu, se mi velmi libi. Jako ne az tak zkuseny uzivatel se rad poucim, kde mam bezpecnostni mezery a rad si je opravim. Kdyby k tomu byly dostupne jeste nejake navody (idkyz tech je na internetu i tak dost), bylo by to skvele!
Znalostni test pro nove cleny sdruzeni je myslim bezpredmetny. Kazdy se muze nekoho zeptat nebo jednoduse vygooglit spravnou odpoved a nic se tim o pripadnem clenovi nedozvime.
S pozdravem
Michal
On 12.3.2012 22:14, Tomas Meszaros wrote:
Podla mna by ste problem vyriesili tak ze by ste mohli zaviest kontrolu hesla... pokial je silne root pusti dalej pokial nie zmenit... A problem solve. Ten test, by fakt z bussines hladiska nebol dobry napad.imho.
Arty
-----Original Message----- From: community-list-bounces@lists.vpsfree.cz [mailto:community-list- bounces@lists.vpsfree.cz] On Behalf Of Petr Juhaňák Sent: Monday, March 12, 2012 8:56 PM To: Jan Grmela; vpsFree.cz Community list Subject: Re: [vpsFree.cz: community-list] K diskuzi a zamysleni: minimalni znalosti clena vpsFree.cz?
"bezobsluzne plsone testy" - uprime receno, me by se nelibylo, kdyby se bez meho souhlasu a vedomi nekdo hrabal ve skriptech a delal scany i v dobre vire (pokud se ptate na verejne dostupne sluzby, je to v poradku)
Umim si predstavit, ze by to otravilo i spoustu potencionalnich clenu, takove psi-kusy se daji delat na testovacich VPSkach, kde to uzivak vylozene chce.
Kde je audit, tam je vyhodnoceni. Bez lidskeho rozmeru to neni ono a dostavate pocit falesneho bezpeci. Ruku na srdce, predstavte si ze sme o 8mesicu v budoucnosti a ve VPS adminu Vam pribude report Security check a tam bude pet zelenych odrazek, splneno, zabezpeceno.
Znamena to , ze jste zabezpeceni, asi moc ne ze?
- Pokud se nepodivate dovnitr tech skriptu co delaji a kam sahaji, asi vite
kulove.
Nejsou to zas tak spatne napady a daji se nejak uchopit, ale implementacne (vzhledem k security benefitu) je cena vysoka.
Ja jsem pro nejakou zakladni uroven checku a zbytek edukativne doresit, treba i hloupimi tutorialy nebo serii odkazu. Dulezite je, aby novi clenove informaci o spatnem zabezpeceni dostali.
Pokud se na to podivame z prinosu pro sdruzeni, tak identifikace VPSek, ktere nejsou se zakladnim zabezpeceni dobre je asi ta nejcennejsi informace a otazkou je, jak to udelat systemove a s malym usilim. Nesoustredte se prilis na technickou implementaci, ale na to, proc to zavadite a jaky chcete mit uzitek, ktery se da "nejak" zmerit
S pozdravem Petr Juhanak
Dne 12.3.2012 20:41, Jan Grmela napsal(a):
Ja bych se primlouval za externi scan. Da se primountovat filesystem vpsky? Predpokladam, ze ano. A tak by to cele mohlo byt bezobsluzne (jen je treba aby kod byl trvale verejny, aby nekdo nenamital, ze mu to ukradne soukroma data) a automatizovane. Proste pravidelne plosne testy nastaveni VPS nebo ten cudlik v adminu "otestujte moji vps" ci "[x] pravidelne testovat bezpecnost moji vps".
Nebral bych to jako nastroj vynucovani nybrz jako marketingovou vyhodu
- mimo managed serveru prece nikdo automaticke audity vpsek nedela, hm?
Takhle muzeme rict, ze maji clenove data v bezpeci diky automatickym testum (nebo neco v tom smyslu).
-- Jan Grmela jan.grmela@imakers.czmailto:jan.grmela@imakers.cz www.imakers.cz http://www.imakers.cz +420 608 110 686<tel:+420 608 110 686> iMakers, s.r.o. Absolonova 725/81, Brno, 62400, Czech Republic ICO/Id: 29228875 DIC/VAT No: CZ29228875 Sent from my HP TouchPad
-- On 12.3.2012 20:32, Petr Juhaňákpetr@juhanak.cz wrote: podle mne je autentizace SSH pres klice to nejlepsi co se da udelat ze zacatku. S tim omezenim po 1mesici mi to prijde drsne.
mnohem lepsi by bylo udelat mesicni scan na novou VPSku (sami) zeptat se SSH serveru zda umoznuje autentizace heslem a cloveka oslovit emailem spolu s navodem na wiki jak to zmenit
S pozdravem Petr Juhanak
Dne 12.3.2012 20:20, Peter Bubelíny napsal(a):
Domnievam sa, ze ako ista preukazatalna znalost by mohla byt
podmienka> prihlasovania sa na server pomocou publickey. K tomu by sa spravil> pripadne navod, ak by to niekomu nebolo jasne. Stanovila by sa tiez> podmienka pouzivania publickey do 1 mesiaca od vstupu do vpsFree. Pre> zdruzenie by to malo zo security hladiska iba vyhodu.
A urcite teda spravit security basic know-how pri sprave OS. Pozdaval by sa Vam navrh s publickey?
On 03/12/2012 08:08 PM, Jan Grmela wrote:
Rozhodne souhlas s temito body + automaticky security check po mesici.
Myslim, ze bash skript s nmapem to vyresi za chvili (ty zakladni
kontroly).
Se schvalovanim nesouhlasim, uz jen proto, ze je to zbytecna>
administrativa a za druhe - jak nove cleny posuzovat? Na zaklade> dotazniku? Na zaklade CV? Osobne bych radsi byl proto, aby mohl do> sdruzeni kazdy s tim, ze se vsak bude muset naucit behem prvniho mesice> (ci jineho obdobi) spravovat svuj server pokud to jeste neumi (treba> proto, ze nikdy zadny server neprovozoval a na vpsfree se to chce naucit).
-- Jan Grmela jan.grmela@imakers.czmailto:jan.grmela@imakers.cz >>
www.imakers.czhttp://www.imakers.cz >> +420 608 110 686<tel:+420 608 110 686> >> iMakers, s.r.o.
Absolonova 725/81, Brno, 62400, Czech Republic>> ICO/Id:
29228875>> DIC/VAT No: CZ29228875>> Sent from my HP TouchPad>> ------------------------->> On 12.3.2012 19:56, Matej Snoha matej@snoha.info wrote:
No asi by to fungovalo.
Par tipov:
- po vytvoreni VPS rozposielat nejaky security bulletin, aby si
ludia>> zabezpecili sluzby>> * dat dokopy nejaky navod, nech ti menej znali vedia aspon nastavit>> fail2ban alebo tak>> * pripadne uz nieco pridat do sablon, ale s tym by bolo asi prace a>> nie kazdy to chce>> >> Neviem nakolko je situacia vazna (teda, ci je polovica VPS v botnetoch>> alebo je to 1 incident za rok).
A ak chceme najskor statistiky, nejake dobrovolne otazky na skusku
by>> urcite mohli byt.
Matej Snoha
2012/3/12 Pavel Snajdrsnajpa@snajpa.net: Ahojte,
dneska premyslim nad problemem poslednich par tydnu - obcas se k
nam>> prihlasi lidi, kteri vubec netusi ani ze by si meli nastavit root heslo,>> na podporu nam pak prijde dotaz "nemuzu se dostat do VPS,
proc?"...
Pak se nam stava, ze VPS takovych clenu jsou uplne snadnym tercem ruznych botu => chodi pak stiznosti, ze odesilame SPAM a podobne.
Myslite si, ze bychom meli mit nejake (i kdyz treba minimalni)
naroky na>> znalosti uchazecu o clenstvi?
Napriklad 3 kontrolni dotazy pri vyplneni prihlasky?
Co si o tomhle obecne myslite?
Dik za nazory.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- S pozdravom / Best regards Peter Bubelíny PGP key: http://goo.gl/ic2Wc Jabber: peter.bubeliny@jabbim.sk
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahoj, moj pohlad na vec je uplne zhodny ako Michalov, +1 ;)
Rasto
Dňa 12. 3. 2012 23:06, Michal Kolínek wrote / napísal(a):
Ahoj, myslenka nejakeho bezpecnostni testu, ktery bych si idealne sam mohl spustit z VPSadminu, se mi velmi libi. Jako ne az tak zkuseny uzivatel se rad poucim, kde mam bezpecnostni mezery a rad si je opravim. Kdyby k tomu byly dostupne jeste nejake navody (idkyz tech je na internetu i tak dost), bylo by to skvele!
Znalostni test pro nove cleny sdruzeni je myslim bezpredmetny. Kazdy se muze nekoho zeptat nebo jednoduse vygooglit spravnou odpoved a nic se tim o pripadnem clenovi nedozvime.
S pozdravem
Michal
On 12.3.2012 22:14, Tomas Meszaros wrote:
Podla mna by ste problem vyriesili tak ze by ste mohli zaviest kontrolu hesla... pokial je silne root pusti dalej pokial nie zmenit... A problem solve. Ten test, by fakt z bussines hladiska nebol dobry napad.imho.
Arty
-----Original Message----- From:community-list-bounces@lists.vpsfree.cz [mailto:community-list- bounces@lists.vpsfree.cz] On Behalf Of Petr Juhaňák Sent: Monday, March 12, 2012 8:56 PM To: Jan Grmela; vpsFree.cz Community list Subject: Re: [vpsFree.cz: community-list] K diskuzi a zamysleni: minimalni znalosti clena vpsFree.cz?
"bezobsluzne plsone testy" - uprime receno, me by se nelibylo, kdyby se bez meho souhlasu a vedomi nekdo hrabal ve skriptech a delal scany i v dobre vire (pokud se ptate na verejne dostupne sluzby, je to v poradku)
Umim si predstavit, ze by to otravilo i spoustu potencionalnich clenu, takove psi-kusy se daji delat na testovacich VPSkach, kde to uzivak vylozene chce.
Kde je audit, tam je vyhodnoceni. Bez lidskeho rozmeru to neni ono a dostavate pocit falesneho bezpeci. Ruku na srdce, predstavte si ze sme o 8mesicu v budoucnosti a ve VPS adminu Vam pribude report Security check a tam bude pet zelenych odrazek, splneno, zabezpeceno.
Znamena to , ze jste zabezpeceni, asi moc ne ze?
- Pokud se nepodivate dovnitr tech skriptu co delaji a kam sahaji, asi vite
kulove.
Nejsou to zas tak spatne napady a daji se nejak uchopit, ale implementacne (vzhledem k security benefitu) je cena vysoka.
Ja jsem pro nejakou zakladni uroven checku a zbytek edukativne doresit, treba i hloupimi tutorialy nebo serii odkazu. Dulezite je, aby novi clenove informaci o spatnem zabezpeceni dostali.
Pokud se na to podivame z prinosu pro sdruzeni, tak identifikace VPSek, ktere nejsou se zakladnim zabezpeceni dobre je asi ta nejcennejsi informace a otazkou je, jak to udelat systemove a s malym usilim. Nesoustredte se prilis na technickou implementaci, ale na to, proc to zavadite a jaky chcete mit uzitek, ktery se da "nejak" zmerit
S pozdravem Petr Juhanak
Dne 12.3.2012 20:41, Jan Grmela napsal(a):
Ja bych se primlouval za externi scan. Da se primountovat filesystem vpsky? Predpokladam, ze ano. A tak by to cele mohlo byt bezobsluzne (jen je treba aby kod byl trvale verejny, aby nekdo nenamital, ze mu to ukradne soukroma data) a automatizovane. Proste pravidelne plosne testy nastaveni VPS nebo ten cudlik v adminu "otestujte moji vps" ci "[x] pravidelne testovat bezpecnost moji vps".
Nebral bych to jako nastroj vynucovani nybrz jako marketingovou vyhodu
- mimo managed serveru prece nikdo automaticke audity vpsek nedela, hm?
Takhle muzeme rict, ze maji clenove data v bezpeci diky automatickym testum (nebo neco v tom smyslu).
-- Jan Grmela jan.grmela@imakers.cz mailto:jan.grmela@imakers.cz www.imakers.cz http://www.imakers.cz +420 608 110 686<tel:+420 608 110 686> iMakers, s.r.o. Absolonova 725/81, Brno, 62400, Czech Republic ICO/Id: 29228875 DIC/VAT No: CZ29228875 Sent from my HP TouchPad
-- On 12.3.2012 20:32, Petr Juhaňákpetr@juhanak.cz wrote: podle mne je autentizace SSH pres klice to nejlepsi co se da udelat ze zacatku. S tim omezenim po 1mesici mi to prijde drsne.
mnohem lepsi by bylo udelat mesicni scan na novou VPSku (sami) zeptat se SSH serveru zda umoznuje autentizace heslem a cloveka oslovit emailem spolu s navodem na wiki jak to zmenit
S pozdravem Petr Juhanak
Dne 12.3.2012 20:20, Peter Bubelíny napsal(a):
Domnievam sa, ze ako ista preukazatalna znalost by mohla byt
podmienka> prihlasovania sa na server pomocou publickey. K tomu by sa spravil> pripadne navod, ak by to niekomu nebolo jasne. Stanovila by sa tiez> podmienka pouzivania publickey do 1 mesiaca od vstupu do vpsFree. Pre> zdruzenie by to malo zo security hladiska iba vyhodu.
A urcite teda spravit security basic know-how pri sprave OS. Pozdaval by sa Vam navrh s publickey?
On 03/12/2012 08:08 PM, Jan Grmela wrote:
Rozhodne souhlas s temito body + automaticky security check po mesici.
Myslim, ze bash skript s nmapem to vyresi za chvili (ty zakladni
kontroly).
Se schvalovanim nesouhlasim, uz jen proto, ze je to zbytecna>
administrativa a za druhe - jak nove cleny posuzovat? Na zaklade> dotazniku? Na zaklade CV? Osobne bych radsi byl proto, aby mohl do> sdruzeni kazdy s tim, ze se vsak bude muset naucit behem prvniho mesice> (ci jineho obdobi) spravovat svuj server pokud to jeste neumi (treba> proto, ze nikdy zadny server neprovozoval a na vpsfree se to chce naucit).
-- Jan Grmela jan.grmela@imakers.cz mailto:jan.grmela@imakers.cz >>
www.imakers.cz http://www.imakers.cz >> +420 608 110 686<tel:+420 608 110 686> >> iMakers, s.r.o.
Absolonova 725/81, Brno, 62400, Czech Republic>> ICO/Id:
29228875>> DIC/VAT No: CZ29228875>> Sent from my HP TouchPad>> ------------------------->> On 12.3.2012 19:56, Matej Snoha matej@snoha.info wrote:
No asi by to fungovalo.
Par tipov:
- po vytvoreni VPS rozposielat nejaky security bulletin, aby si
ludia>> zabezpecili sluzby>> * dat dokopy nejaky navod, nech ti menej znali vedia aspon nastavit>> fail2ban alebo tak>> * pripadne uz nieco pridat do sablon, ale s tym by bolo asi prace a>> nie kazdy to chce>> >> Neviem nakolko je situacia vazna (teda, ci je polovica VPS v botnetoch>> alebo je to 1 incident za rok).
A ak chceme najskor statistiky, nejake dobrovolne otazky na skusku
by>> urcite mohli byt.
Matej Snoha
2012/3/12 Pavel Snajdrsnajpa@snajpa.net: Ahojte,
dneska premyslim nad problemem poslednich par tydnu - obcas se k
nam>> prihlasi lidi, kteri vubec netusi ani ze by si meli nastavit root heslo,>> na podporu nam pak prijde dotaz "nemuzu se dostat do VPS,
proc?"...
Pak se nam stava, ze VPS takovych clenu jsou uplne snadnym tercem ruznych botu => chodi pak stiznosti, ze odesilame SPAM a podobne.
Myslite si, ze bychom meli mit nejake (i kdyz treba minimalni)
naroky na>> znalosti uchazecu o clenstvi?
Napriklad 3 kontrolni dotazy pri vyplneni prihlasky?
Co si o tomhle obecne myslite?
Dik za nazory.
> _______________________________________________ > Community-list mailing list > Community-list@lists.vpsfree.cz > http://lists.vpsfree.cz/listinfo/community-list _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- S pozdravom / Best regards Peter Bubelíny PGP key:http://goo.gl/ic2Wc Jabber:peter.bubeliny@jabbim.sk
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahoj,
proč mají všichni pocit, že SeTo vyřeší, že To za ně někdo udělá.
Pokud něco provozuji, tak musím být připraven za to nést plnou odpovědnost.
Jak to funguje u hostingů? Tam se nikdo s nikým nemazlí:
- "Zlobíš" - varování - "zlobíš víc" - omezení služeb - "zlobíš moc" - běž si zlobit jinam
Žádný pan SeTo není a nikdy nebude.
Při stížnosti/zlobení postupovat individuálně. Někdy to je neznalost/opomenutí/souhra okolností (vypnout/omezit služby do odstranění), jindy to je hrubá neznalost a nebo cílené obcházení "dobrých mravů" - pak Ti uděláme rádi PáPá...
Dne 12.3.2012 23:06, Michal Kolínek napsal(a):
Ahoj, myslenka nejakeho bezpecnostni testu, ktery bych si idealne sam mohl spustit z VPSadminu, se mi velmi libi. Jako ne az tak zkuseny uzivatel se rad poucim, kde mam bezpecnostni mezery a rad si je opravim. Kdyby k tomu byly dostupne jeste nejake navody (idkyz tech je na internetu i tak dost), bylo by to skvele!
Znalostni test pro nove cleny sdruzeni je myslim bezpredmetny. Kazdy se muze nekoho zeptat nebo jednoduse vygooglit spravnou odpoved a nic se tim o pripadnem clenovi nedozvime.
S pozdravem
Michal
On 12.3.2012 22:14, Tomas Meszaros wrote:
Podla mna by ste problem vyriesili tak ze by ste mohli zaviest kontrolu hesla... pokial je silne root pusti dalej pokial nie zmenit... A problem solve. Ten test, by fakt z bussines hladiska nebol dobry napad.imho.
Arty
-----Original Message----- From:community-list-bounces@lists.vpsfree.cz [mailto:community-list- bounces@lists.vpsfree.cz] On Behalf Of Petr Juhaňák Sent: Monday, March 12, 2012 8:56 PM To: Jan Grmela; vpsFree.cz Community list Subject: Re: [vpsFree.cz: community-list] K diskuzi a zamysleni: minimalni znalosti clena vpsFree.cz?
"bezobsluzne plsone testy" - uprime receno, me by se nelibylo, kdyby se bez meho souhlasu a vedomi nekdo hrabal ve skriptech a delal scany i v dobre vire (pokud se ptate na verejne dostupne sluzby, je to v poradku)
Umim si predstavit, ze by to otravilo i spoustu potencionalnich clenu, takove psi-kusy se daji delat na testovacich VPSkach, kde to uzivak vylozene chce.
Kde je audit, tam je vyhodnoceni. Bez lidskeho rozmeru to neni ono a dostavate pocit falesneho bezpeci. Ruku na srdce, predstavte si ze sme o 8mesicu v budoucnosti a ve VPS adminu Vam pribude report Security check a tam bude pet zelenych odrazek, splneno, zabezpeceno.
Znamena to , ze jste zabezpeceni, asi moc ne ze?
- Pokud se nepodivate dovnitr tech skriptu co delaji a kam sahaji, asi vite
kulove.
Nejsou to zas tak spatne napady a daji se nejak uchopit, ale implementacne (vzhledem k security benefitu) je cena vysoka.
Ja jsem pro nejakou zakladni uroven checku a zbytek edukativne doresit, treba i hloupimi tutorialy nebo serii odkazu. Dulezite je, aby novi clenove informaci o spatnem zabezpeceni dostali.
Pokud se na to podivame z prinosu pro sdruzeni, tak identifikace VPSek, ktere nejsou se zakladnim zabezpeceni dobre je asi ta nejcennejsi informace a otazkou je, jak to udelat systemove a s malym usilim. Nesoustredte se prilis na technickou implementaci, ale na to, proc to zavadite a jaky chcete mit uzitek, ktery se da "nejak" zmerit
S pozdravem Petr Juhanak
Dne 12.3.2012 20:41, Jan Grmela napsal(a):
Ja bych se primlouval za externi scan. Da se primountovat filesystem vpsky? Predpokladam, ze ano. A tak by to cele mohlo byt bezobsluzne (jen je treba aby kod byl trvale verejny, aby nekdo nenamital, ze mu to ukradne soukroma data) a automatizovane. Proste pravidelne plosne testy nastaveni VPS nebo ten cudlik v adminu "otestujte moji vps" ci "[x] pravidelne testovat bezpecnost moji vps".
Nebral bych to jako nastroj vynucovani nybrz jako marketingovou vyhodu
- mimo managed serveru prece nikdo automaticke audity vpsek nedela, hm?
Takhle muzeme rict, ze maji clenove data v bezpeci diky automatickym testum (nebo neco v tom smyslu).
-- Jan Grmela jan.grmela@imakers.cz mailto:jan.grmela@imakers.cz www.imakers.cz http://www.imakers.cz +420 608 110 686<tel:+420 608 110 686> iMakers, s.r.o. Absolonova 725/81, Brno, 62400, Czech Republic ICO/Id: 29228875 DIC/VAT No: CZ29228875 Sent from my HP TouchPad
-- On 12.3.2012 20:32, Petr Juhaňákpetr@juhanak.cz wrote: podle mne je autentizace SSH pres klice to nejlepsi co se da udelat ze zacatku. S tim omezenim po 1mesici mi to prijde drsne.
mnohem lepsi by bylo udelat mesicni scan na novou VPSku (sami) zeptat se SSH serveru zda umoznuje autentizace heslem a cloveka oslovit emailem spolu s navodem na wiki jak to zmenit
S pozdravem Petr Juhanak
Dne 12.3.2012 20:20, Peter Bubelíny napsal(a):
Domnievam sa, ze ako ista preukazatalna znalost by mohla byt
podmienka> prihlasovania sa na server pomocou publickey. K tomu by sa spravil> pripadne navod, ak by to niekomu nebolo jasne. Stanovila by sa tiez> podmienka pouzivania publickey do 1 mesiaca od vstupu do vpsFree. Pre> zdruzenie by to malo zo security hladiska iba vyhodu.
A urcite teda spravit security basic know-how pri sprave OS. Pozdaval by sa Vam navrh s publickey?
On 03/12/2012 08:08 PM, Jan Grmela wrote:
Rozhodne souhlas s temito body + automaticky security check po mesici.
Myslim, ze bash skript s nmapem to vyresi za chvili (ty zakladni
kontroly).
Se schvalovanim nesouhlasim, uz jen proto, ze je to zbytecna>
administrativa a za druhe - jak nove cleny posuzovat? Na zaklade> dotazniku? Na zaklade CV? Osobne bych radsi byl proto, aby mohl do> sdruzeni kazdy s tim, ze se vsak bude muset naucit behem prvniho mesice> (ci jineho obdobi) spravovat svuj server pokud to jeste neumi (treba> proto, ze nikdy zadny server neprovozoval a na vpsfree se to chce naucit).
-- Jan Grmela jan.grmela@imakers.cz mailto:jan.grmela@imakers.cz >>
www.imakers.cz http://www.imakers.cz >> +420 608 110 686<tel:+420 608 110 686> >> iMakers, s.r.o.
Absolonova 725/81, Brno, 62400, Czech Republic>> ICO/Id:
29228875>> DIC/VAT No: CZ29228875>> Sent from my HP TouchPad>> ------------------------->> On 12.3.2012 19:56, Matej Snoha matej@snoha.info wrote:
No asi by to fungovalo.
Par tipov:
- po vytvoreni VPS rozposielat nejaky security bulletin, aby si
ludia>> zabezpecili sluzby>> * dat dokopy nejaky navod, nech ti menej znali vedia aspon nastavit>> fail2ban alebo tak>> * pripadne uz nieco pridat do sablon, ale s tym by bolo asi prace a>> nie kazdy to chce>> >> Neviem nakolko je situacia vazna (teda, ci je polovica VPS v botnetoch>> alebo je to 1 incident za rok).
A ak chceme najskor statistiky, nejake dobrovolne otazky na skusku
by>> urcite mohli byt.
Matej Snoha
2012/3/12 Pavel Snajdrsnajpa@snajpa.net: Ahojte,
dneska premyslim nad problemem poslednich par tydnu - obcas se k
nam>> prihlasi lidi, kteri vubec netusi ani ze by si meli nastavit root heslo,>> na podporu nam pak prijde dotaz "nemuzu se dostat do VPS,
proc?"...
Pak se nam stava, ze VPS takovych clenu jsou uplne snadnym tercem ruznych botu => chodi pak stiznosti, ze odesilame SPAM a podobne.
Myslite si, ze bychom meli mit nejake (i kdyz treba minimalni)
naroky na>> znalosti uchazecu o clenstvi?
Napriklad 3 kontrolni dotazy pri vyplneni prihlasky?
Co si o tomhle obecne myslite?
Dik za nazory.
> _______________________________________________ > Community-list mailing list > Community-list@lists.vpsfree.cz > http://lists.vpsfree.cz/listinfo/community-list _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- S pozdravom / Best regards Peter Bubelíny PGP key:*MailScanner has detected definite fraud in the website at "goo.gl". Do/not/ trust this website:* http://goo.gl/ic2Wc Jabber:peter.bubeliny@jabbim.sk
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Mozna by pak chtelo patricne upravit i vpsadmin - misto (pripadne navic k) "nastav rootovske heslo" by bylo "nahraj publickey pro roota" (i kdyz napr. na moji VPSce je root login zakazany a v groupe wheel je jen jediny uzivatel (ja osobne)).
AD security scripts: zvnejsku se lze dostat i dovnitr VPSky, takze skript by mohl znat napr. "spatne" verze balicku (t.j. derave - mel by nejaky seznam) - tady bych se asi zameril hlavne na sluzby naslouchajici ven (apache, bind, exim, atd ....) - a pokud po prohlidnuti nainstalovanych balicku (napr /var/lib/dpkg/status pro debian-based distribuce) zjistit blbou verzi dele nez treba tri dny po vydani balicku s opravou posle majiteli VPSky email :)
U debianu by sly ty spatne derave verze mozna ziskavat parsovanim prislusneho mailing listu (debian-security-announce@lists.debian.org)
Dobrovolne by to slo taky, ale pak je otazka kolik lidi to bude delat (lenost, neznalost, ... ) - ti schopni takovouhle berlicku nepotrebuji a ti "neschopni" asi ji mozna ani nebudou schopni nainstalovat (pripadne na to budou prilis lini)
Martin Petricek
On 12.3.2012 20:23, Petr Juhaňák wrote:
podle mne je autentizace SSH pres klice to nejlepsi co se da udelat ze zacatku. S tim omezenim po 1mesici mi to prijde drsne.
mnohem lepsi by bylo udelat mesicni scan na novou VPSku (sami) zeptat se SSH serveru zda umoznuje autentizace heslem a cloveka oslovit emailem spolu s navodem na wiki jak to zmenit
S pozdravem Petr Juhanak
Dne 12.3.2012 20:20, Peter Bubelíny napsal(a):
Domnievam sa, ze ako ista preukazatalna znalost by mohla byt podmienka prihlasovania sa na server pomocou publickey. K tomu by sa spravil pripadne navod, ak by to niekomu nebolo jasne. Stanovila by sa tiez podmienka pouzivania publickey do 1 mesiaca od vstupu do vpsFree. Pre zdruzenie by to malo zo security hladiska iba vyhodu. A urcite teda spravit security basic know-how pri sprave OS. Pozdaval by sa Vam navrh s publickey?
On 03/12/2012 08:08 PM, Jan Grmela wrote:
Rozhodne souhlas s temito body + automaticky security check po mesici.
Myslim, ze bash skript s nmapem to vyresi za chvili (ty zakladni kontroly).
Se schvalovanim nesouhlasim, uz jen proto, ze je to zbytecna
administrativa a za druhe - jak nove cleny posuzovat? Na zaklade dotazniku? Na zaklade CV? Osobne bych radsi byl proto, aby mohl do sdruzeni kazdy s tim, ze se vsak bude muset naucit behem prvniho mesice (ci jineho obdobi) spravovat svuj server pokud to jeste neumi (treba proto, ze nikdy zadny server neprovozoval a na vpsfree se to chce naucit).
-- Jan Grmela jan.grmela@imakers.cz mailto:jan.grmela@imakers.cz www.imakers.cz http://www.imakers.cz +420 608 110 686 <tel:+420 608 110 686> iMakers, s.r.o. Absolonova 725/81, Brno, 62400, Czech Republic ICO/Id: 29228875 DIC/VAT No: CZ29228875 Sent from my HP TouchPad
On 12.3.2012 19:56, Matej Snoha matej@snoha.info wrote: No asi by to fungovalo.
Par tipov:
- po vytvoreni VPS rozposielat nejaky security bulletin, aby si ludia
zabezpecili sluzby
- dat dokopy nejaky navod, nech ti menej znali vedia aspon nastavit
fail2ban alebo tak
- pripadne uz nieco pridat do sablon, ale s tym by bolo asi prace a
nie kazdy to chce
Neviem nakolko je situacia vazna (teda, ci je polovica VPS v botnetoch alebo je to 1 incident za rok). A ak chceme najskor statistiky, nejake dobrovolne otazky na skusku by urcite mohli byt.
Matej Snoha
2012/3/12 Pavel Snajdr snajpa@snajpa.net: Ahojte,
dneska premyslim nad problemem poslednich par tydnu - obcas se k nam prihlasi lidi, kteri vubec netusi ani ze by si meli nastavit root heslo, na podporu nam pak prijde dotaz "nemuzu se dostat do VPS, proc?"...
Pak se nam stava, ze VPS takovych clenu jsou uplne snadnym tercem ruznych botu => chodi pak stiznosti, ze odesilame SPAM a podobne.
Myslite si, ze bychom meli mit nejake (i kdyz treba minimalni) naroky na znalosti uchazecu o clenstvi?
Napriklad 3 kontrolni dotazy pri vyplneni prihlasky?
Co si o tomhle obecne myslite?
Dik za nazory.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- S pozdravom / Best regards Peter Bubelíny PGP key: http://goo.gl/ic2Wc Jabber: peter.bubeliny@jabbim.sk
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahojte.
No ja si myslim, ze pouzivat rootovske heslo nie je az take bezpecnostne riziko, ak si to vie clovek aspon trochu zabezpecit. Mne osobne by vadilo, ak by ma vpsadmin nutil pouzivat kluce. Skor aby to tam bolo len odporucane.
Pokusy o prihlasenie mam samozrejme logovane a patricne obmedzene (po par zlych pokusoch ban na IP na 14 dni, mail notifikacia). Na porte 22 nepocuva nic. To skor vidim skusat botov rozne loginy na ftp, to mi chodi mail raz denne, aka IP je zasa v blackliste.
Matej Snoha
2012/3/25 Martin Petříček martin@petricek.net
Mozna by pak chtelo patricne upravit i vpsadmin - misto (pripadne navic k) "nastav rootovske heslo" by bylo "nahraj publickey pro roota" (i kdyz napr. na moji VPSce je root login zakazany a v groupe wheel je jen jediny uzivatel (ja osobne)).
AD security scripts: zvnejsku se lze dostat i dovnitr VPSky, takze skript by mohl znat napr. "spatne" verze balicku (t.j. derave - mel by nejaky seznam) - tady bych se asi zameril hlavne na sluzby naslouchajici ven (apache, bind, exim, atd ....) - a pokud po prohlidnuti nainstalovanych balicku (napr /var/lib/dpkg/status pro debian-based distribuce) zjistit blbou verzi dele nez treba tri dny po vydani balicku s opravou posle majiteli VPSky email :)
U debianu by sly ty spatne derave verze mozna ziskavat parsovanim prislusneho mailing listu (debian-security-announce@lists.debian.org)
Dobrovolne by to slo taky, ale pak je otazka kolik lidi to bude delat (lenost, neznalost, ... ) - ti schopni takovouhle berlicku nepotrebuji a ti "neschopni" asi ji mozna ani nebudou schopni nainstalovat (pripadne na to budou prilis lini)
Martin Petricek
On 12.3.2012 20:23, Petr Juhaňák wrote:
podle mne je autentizace SSH pres klice to nejlepsi co se da udelat ze zacatku. S tim omezenim po 1mesici mi to prijde drsne.
mnohem lepsi by bylo udelat mesicni scan na novou VPSku (sami) zeptat se SSH serveru zda umoznuje autentizace heslem a cloveka oslovit emailem spolu s navodem na wiki jak to zmenit
S pozdravem Petr Juhanak
Dne 12.3.2012 20:20, Peter Bubelíny napsal(a):
Domnievam sa, ze ako ista preukazatalna znalost by mohla byt podmienka prihlasovania sa na server pomocou publickey. K tomu by sa spravil pripadne navod, ak by to niekomu nebolo jasne. Stanovila by sa tiez podmienka pouzivania publickey do 1 mesiaca od vstupu do vpsFree. Pre zdruzenie by to malo zo security hladiska iba vyhodu. A urcite teda spravit security basic know-how pri sprave OS. Pozdaval by sa Vam navrh s publickey?
On 03/12/2012 08:08 PM, Jan Grmela wrote:
Rozhodne souhlas s temito body + automaticky security check po mesici.
Myslim, ze bash skript s nmapem to vyresi za chvili (ty zakladni
kontroly).
Se schvalovanim nesouhlasim, uz jen proto, ze je to zbytecna
administrativa a za druhe - jak nove cleny posuzovat? Na zaklade dotazniku? Na zaklade CV? Osobne bych radsi byl proto, aby mohl do sdruzeni kazdy s tim, ze se vsak bude muset naucit behem prvniho mesice (ci jineho obdobi) spravovat svuj server pokud to jeste neumi (treba proto, ze nikdy zadny server neprovozoval a na vpsfree se to chce
naucit).
-- Jan Grmela jan.grmela@imakers.cz mailto:jan.grmela@imakers.cz www.imakers.cz http://www.imakers.cz +420 608 110 686 <tel:+420 608 110 686> iMakers, s.r.o. Absolonova 725/81, Brno, 62400, Czech Republic ICO/Id: 29228875 DIC/VAT No: CZ29228875 Sent from my HP TouchPad
On 12.3.2012 19:56, Matej Snoha matej@snoha.info wrote: No asi by to fungovalo.
Par tipov:
- po vytvoreni VPS rozposielat nejaky security bulletin, aby si ludia
zabezpecili sluzby
- dat dokopy nejaky navod, nech ti menej znali vedia aspon nastavit
fail2ban alebo tak
- pripadne uz nieco pridat do sablon, ale s tym by bolo asi prace a
nie kazdy to chce
Neviem nakolko je situacia vazna (teda, ci je polovica VPS v botnetoch alebo je to 1 incident za rok). A ak chceme najskor statistiky, nejake dobrovolne otazky na skusku by urcite mohli byt.
Matej Snoha
2012/3/12 Pavel Snajdr snajpa@snajpa.net: Ahojte,
dneska premyslim nad problemem poslednich par tydnu - obcas se k nam prihlasi lidi, kteri vubec netusi ani ze by si meli nastavit root
heslo,
na podporu nam pak prijde dotaz "nemuzu se dostat do VPS, proc?"...
Pak se nam stava, ze VPS takovych clenu jsou uplne snadnym tercem ruznych botu => chodi pak stiznosti, ze odesilame SPAM a podobne.
Myslite si, ze bychom meli mit nejake (i kdyz treba minimalni) naroky
na
znalosti uchazecu o clenstvi?
Napriklad 3 kontrolni dotazy pri vyplneni prihlasky?
Co si o tomhle obecne myslite?
Dik za nazory.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- S pozdravom / Best regards Peter Bubelíny PGP key: http://goo.gl/ic2Wc Jabber: peter.bubeliny@jabbim.sk
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
--
GPG/PGP Public key: http://www.petricek.net/petricm.pgp Fingerprint 6AA8 FFCE C061 1CB2 55F0 A1F3 3AA9 EB4F BD50 C1B8 /------------------------------------------------------------\ | WWW: http://www.petricek.net/ | ------------------------------------------------------------/ _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahojte,
popravde, dost se mi protivi pristup "tahle verze je ta spravna, tyhle parametry sou ty spravne". V cem je lepsi pristup pres klic, kdyz mam omezeny pristup na jednoho uzivatele a par IP adres? napr... Stejne tak nastaveni php (tak jak je v tom programu co tu nekdo nahodil v pythonu) nelze tak jednoznacne povazovat za to spravne... A co kdyz mam verzi apache s nejakym patchem? Existuje tu vic nez jedna distribuce, to opravdu bude nekdo udrzovat seznam tech "bezpecnych" baliku? Navic, to, ze mi nejaky skript bude "smirovat" VPSku mi moc super neprijde (proto mam VPS, abych si delal co potrebuji a ne aby nekdo nutil "svoje" reseni).
Pokud uz neco delat, tak osvetu (wiki, FAQ)... Ale pokud nekdo chce pouzivat VPS ala webhosting, a nevi co jak instalovat, je otazka jestli by opravdu mel byt zde.
kryglik
2012/3/25 Matej Snoha matej@snoha.info
Ahojte.
No ja si myslim, ze pouzivat rootovske heslo nie je az take bezpecnostne riziko, ak si to vie clovek aspon trochu zabezpecit. Mne osobne by vadilo, ak by ma vpsadmin nutil pouzivat kluce. Skor aby to tam bolo len odporucane.
Pokusy o prihlasenie mam samozrejme logovane a patricne obmedzene (po par zlych pokusoch ban na IP na 14 dni, mail notifikacia). Na porte 22 nepocuva nic. To skor vidim skusat botov rozne loginy na ftp, to mi chodi mail raz denne, aka IP je zasa v blackliste.
Matej Snoha
2012/3/25 Martin Petříček martin@petricek.net
Mozna by pak chtelo patricne upravit i vpsadmin - misto (pripadne navic k) "nastav rootovske heslo" by bylo "nahraj publickey pro roota" (i kdyz napr. na moji VPSce je root login zakazany a v groupe wheel je jen jediny uzivatel (ja osobne)).
AD security scripts: zvnejsku se lze dostat i dovnitr VPSky, takze skript by mohl znat napr. "spatne" verze balicku (t.j. derave - mel by nejaky seznam) - tady bych se asi zameril hlavne na sluzby naslouchajici ven (apache, bind, exim, atd ....) - a pokud po prohlidnuti nainstalovanych balicku (napr /var/lib/dpkg/status pro debian-based distribuce) zjistit blbou verzi dele nez treba tri dny po vydani balicku s opravou posle majiteli VPSky email :)
U debianu by sly ty spatne derave verze mozna ziskavat parsovanim prislusneho mailing listu (debian-security-announce@lists.debian.org)
Dobrovolne by to slo taky, ale pak je otazka kolik lidi to bude delat (lenost, neznalost, ... ) - ti schopni takovouhle berlicku nepotrebuji a ti "neschopni" asi ji mozna ani nebudou schopni nainstalovat (pripadne na to budou prilis lini)
Martin Petricek
On 12.3.2012 20:23, Petr Juhaňák wrote:
podle mne je autentizace SSH pres klice to nejlepsi co se da udelat ze zacatku. S tim omezenim po 1mesici mi to prijde drsne.
mnohem lepsi by bylo udelat mesicni scan na novou VPSku (sami) zeptat se SSH serveru zda umoznuje autentizace heslem a cloveka oslovit emailem spolu s navodem na wiki jak to zmenit
S pozdravem Petr Juhanak
Dne 12.3.2012 20:20, Peter Bubelíny napsal(a):
Domnievam sa, ze ako ista preukazatalna znalost by mohla byt podmienka prihlasovania sa na server pomocou publickey. K tomu by sa spravil pripadne navod, ak by to niekomu nebolo jasne. Stanovila by sa tiez podmienka pouzivania publickey do 1 mesiaca od vstupu do vpsFree. Pre zdruzenie by to malo zo security hladiska iba vyhodu. A urcite teda spravit security basic know-how pri sprave OS. Pozdaval by sa Vam navrh s publickey?
On 03/12/2012 08:08 PM, Jan Grmela wrote:
Rozhodne souhlas s temito body + automaticky security check po
mesici.
Myslim, ze bash skript s nmapem to vyresi za chvili (ty zakladni
kontroly).
Se schvalovanim nesouhlasim, uz jen proto, ze je to zbytecna
administrativa a za druhe - jak nove cleny posuzovat? Na zaklade dotazniku? Na zaklade CV? Osobne bych radsi byl proto, aby mohl do sdruzeni kazdy s tim, ze se vsak bude muset naucit behem prvniho mesice (ci jineho obdobi) spravovat svuj server pokud to jeste neumi (treba proto, ze nikdy zadny server neprovozoval a na vpsfree se to chce
naucit).
-- Jan Grmela jan.grmela@imakers.cz mailto:jan.grmela@imakers.cz www.imakers.cz http://www.imakers.cz +420 608 110 686 <tel:+420 608 110 686> iMakers, s.r.o. Absolonova 725/81, Brno, 62400, Czech Republic ICO/Id: 29228875 DIC/VAT No: CZ29228875 Sent from my HP TouchPad
On 12.3.2012 19:56, Matej Snoha matej@snoha.info wrote: No asi by to fungovalo.
Par tipov:
- po vytvoreni VPS rozposielat nejaky security bulletin, aby si ludia
zabezpecili sluzby
- dat dokopy nejaky navod, nech ti menej znali vedia aspon nastavit
fail2ban alebo tak
- pripadne uz nieco pridat do sablon, ale s tym by bolo asi prace a
nie kazdy to chce
Neviem nakolko je situacia vazna (teda, ci je polovica VPS v
botnetoch
alebo je to 1 incident za rok). A ak chceme najskor statistiky, nejake dobrovolne otazky na skusku by urcite mohli byt.
Matej Snoha
2012/3/12 Pavel Snajdr snajpa@snajpa.net: Ahojte,
dneska premyslim nad problemem poslednich par tydnu - obcas se k nam prihlasi lidi, kteri vubec netusi ani ze by si meli nastavit root
heslo,
na podporu nam pak prijde dotaz "nemuzu se dostat do VPS, proc?"...
Pak se nam stava, ze VPS takovych clenu jsou uplne snadnym tercem ruznych botu => chodi pak stiznosti, ze odesilame SPAM a podobne.
Myslite si, ze bychom meli mit nejake (i kdyz treba minimalni) naroky
na
znalosti uchazecu o clenstvi?
Napriklad 3 kontrolni dotazy pri vyplneni prihlasky?
Co si o tomhle obecne myslite?
Dik za nazory.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- S pozdravom / Best regards Peter Bubelíny PGP key: http://goo.gl/ic2Wc Jabber: peter.bubeliny@jabbim.sk
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
--
GPG/PGP Public key: http://www.petricek.net/petricm.pgp Fingerprint 6AA8 FFCE C061 1CB2 55F0 A1F3 3AA9 EB4F BD50 C1B8 /------------------------------------------------------------\ | WWW: http://www.petricek.net/ | ------------------------------------------------------------/ _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
No vsak ako tu pisal Pavel Snajdr:
--- Neco, co bych proste pustil z venku s IP nejakeho VPS a ukazalo by to, co nemam zabezpeceny a pripadne by me to poslalo na wiki stranku, kde by bylo popsany, jak si to zabezpecit lip? ---
Moja predstava je, ze si kliknem vo vpsadmine na "zakladny test zabezpecenia" alebo tak nejako, skript mi zvonku zoskenuje porty, da mi vediet ze mam (napriklad) povoleny anonymny pristup na ftp, prihlasovanie heslom na ssh, bezi telnet a tak. A ze ci to skutocne tak chcem mat, alebo som nieco zabudol nastavit. Pripadne odkaz na wiki, s par zakladnymi informaciami.
Samozrejme, ak uz existuje nejaky skript co si uzivatel sam stiahne do VPS a pusti ho kontrolovat konfiguracie, ja sa tomu nebranim. Len si myslim, ze co tu ludom bezi moze byt dost roznorode na to, aby to nestalo za tu namahu programovat nieco prilis rozsiahle.
Matej Snoha
2012/3/25 Kryglik kryglik@chyne.net
Ahojte,
popravde, dost se mi protivi pristup "tahle verze je ta spravna, tyhle parametry sou ty spravne". V cem je lepsi pristup pres klic, kdyz mam omezeny pristup na jednoho uzivatele a par IP adres? napr... Stejne tak nastaveni php (tak jak je v tom programu co tu nekdo nahodil v pythonu) nelze tak jednoznacne povazovat za to spravne... A co kdyz mam verzi apache s nejakym patchem? Existuje tu vic nez jedna distribuce, to opravdu bude nekdo udrzovat seznam tech "bezpecnych" baliku? Navic, to, ze mi nejaky skript bude "smirovat" VPSku mi moc super neprijde (proto mam VPS, abych si delal co potrebuji a ne aby nekdo nutil "svoje" reseni).
Pokud uz neco delat, tak osvetu (wiki, FAQ)... Ale pokud nekdo chce pouzivat VPS ala webhosting, a nevi co jak instalovat, je otazka jestli by opravdu mel byt zde.
kryglik
2012/3/25 Matej Snoha matej@snoha.info
Ahojte.
No ja si myslim, ze pouzivat rootovske heslo nie je az take bezpecnostne riziko, ak si to vie clovek aspon trochu zabezpecit. Mne osobne by vadilo, ak by ma vpsadmin nutil pouzivat kluce. Skor aby to tam bolo len odporucane.
Pokusy o prihlasenie mam samozrejme logovane a patricne obmedzene (po par zlych pokusoch ban na IP na 14 dni, mail notifikacia). Na porte 22 nepocuva nic. To skor vidim skusat botov rozne loginy na ftp, to mi chodi mail raz denne, aka IP je zasa v blackliste.
Matej Snoha
2012/3/25 Martin Petříček martin@petricek.net
Mozna by pak chtelo patricne upravit i vpsadmin - misto (pripadne navic k) "nastav rootovske heslo" by bylo "nahraj publickey pro roota" (i kdyz napr. na moji VPSce je root login zakazany a v groupe wheel je jen jediny uzivatel (ja osobne)).
AD security scripts: zvnejsku se lze dostat i dovnitr VPSky, takze skript by mohl znat napr. "spatne" verze balicku (t.j. derave - mel by nejaky seznam) - tady bych se asi zameril hlavne na sluzby naslouchajici ven (apache, bind, exim, atd ....) - a pokud po prohlidnuti nainstalovanych balicku (napr /var/lib/dpkg/status pro debian-based distribuce) zjistit blbou verzi dele nez treba tri dny po vydani balicku s opravou posle majiteli VPSky email :)
U debianu by sly ty spatne derave verze mozna ziskavat parsovanim prislusneho mailing listu (debian-security-announce@lists.debian.org)
Dobrovolne by to slo taky, ale pak je otazka kolik lidi to bude delat (lenost, neznalost, ... ) - ti schopni takovouhle berlicku nepotrebuji a ti "neschopni" asi ji mozna ani nebudou schopni nainstalovat (pripadne na to budou prilis lini)
Martin Petricek
On 12.3.2012 20:23, Petr Juhaňák wrote:
podle mne je autentizace SSH pres klice to nejlepsi co se da udelat ze zacatku. S tim omezenim po 1mesici mi to prijde drsne.
mnohem lepsi by bylo udelat mesicni scan na novou VPSku (sami) zeptat se SSH serveru zda umoznuje autentizace heslem a cloveka oslovit emailem spolu s navodem na wiki jak to zmenit
S pozdravem Petr Juhanak
Dne 12.3.2012 20:20, Peter Bubelíny napsal(a):
Domnievam sa, ze ako ista preukazatalna znalost by mohla byt podmienka prihlasovania sa na server pomocou publickey. K tomu by sa spravil pripadne navod, ak by to niekomu nebolo jasne. Stanovila by sa tiez podmienka pouzivania publickey do 1 mesiaca od vstupu do vpsFree. Pre zdruzenie by to malo zo security hladiska iba vyhodu. A urcite teda spravit security basic know-how pri sprave OS. Pozdaval by sa Vam navrh s publickey?
On 03/12/2012 08:08 PM, Jan Grmela wrote:
Rozhodne souhlas s temito body + automaticky security check po
mesici.
Myslim, ze bash skript s nmapem to vyresi za chvili (ty zakladni
kontroly).
Se schvalovanim nesouhlasim, uz jen proto, ze je to zbytecna
administrativa a za druhe - jak nove cleny posuzovat? Na zaklade dotazniku? Na zaklade CV? Osobne bych radsi byl proto, aby mohl do sdruzeni kazdy s tim, ze se vsak bude muset naucit behem prvniho
mesice
(ci jineho obdobi) spravovat svuj server pokud to jeste neumi (treba proto, ze nikdy zadny server neprovozoval a na vpsfree se to chce
naucit).
-- Jan Grmela jan.grmela@imakers.cz mailto:jan.grmela@imakers.cz www.imakers.cz http://www.imakers.cz +420 608 110 686 <tel:+420 608 110 686> iMakers, s.r.o. Absolonova 725/81, Brno, 62400, Czech Republic ICO/Id: 29228875 DIC/VAT No: CZ29228875 Sent from my HP TouchPad
On 12.3.2012 19:56, Matej Snoha matej@snoha.info wrote: No asi by to fungovalo.
Par tipov:
- po vytvoreni VPS rozposielat nejaky security bulletin, aby si
ludia
zabezpecili sluzby
- dat dokopy nejaky navod, nech ti menej znali vedia aspon nastavit
fail2ban alebo tak
- pripadne uz nieco pridat do sablon, ale s tym by bolo asi prace a
nie kazdy to chce
Neviem nakolko je situacia vazna (teda, ci je polovica VPS v
botnetoch
alebo je to 1 incident za rok). A ak chceme najskor statistiky, nejake dobrovolne otazky na skusku
by
urcite mohli byt.
Matej Snoha
2012/3/12 Pavel Snajdr snajpa@snajpa.net: Ahojte,
dneska premyslim nad problemem poslednich par tydnu - obcas se k nam prihlasi lidi, kteri vubec netusi ani ze by si meli nastavit root
heslo,
na podporu nam pak prijde dotaz "nemuzu se dostat do VPS, proc?"...
Pak se nam stava, ze VPS takovych clenu jsou uplne snadnym tercem ruznych botu => chodi pak stiznosti, ze odesilame SPAM a podobne.
Myslite si, ze bychom meli mit nejake (i kdyz treba minimalni)
naroky na
znalosti uchazecu o clenstvi?
Napriklad 3 kontrolni dotazy pri vyplneni prihlasky?
Co si o tomhle obecne myslite?
Dik za nazory.
> _______________________________________________ > Community-list mailing list > Community-list@lists.vpsfree.cz > http://lists.vpsfree.cz/listinfo/community-list _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- S pozdravom / Best regards Peter Bubelíny PGP key: http://goo.gl/ic2Wc Jabber: peter.bubeliny@jabbim.sk
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
--
GPG/PGP Public key: http://www.petricek.net/petricm.pgp Fingerprint 6AA8 FFCE C061 1CB2 55F0 A1F3 3AA9 EB4F BD50 C1B8 /------------------------------------------------------------\ | WWW: http://www.petricek.net/ | ------------------------------------------------------------/ _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahoj, co se tyce to python skriptu
Tak souhlasim, ze neexistuje nikdy optmalni konfigurace, ktera pasuje na všechno a nelze dostat odpoved ano nebo ne. Na druhou stranu nikdo nam nebrani vytvorit si vice profilu.
Nikdo z Vas zatim nepremyslel, jak ty zakladni hodnoty pro SSH, PHP a www nastavit pro potreby sdruzeni.
Druhak nejedna se o smirovani, ale uzivatel vpsky se sám rozhodne lokalne si pripojit ty skrypty a spustit si je sam. Externi asi scan nema smysl (neda se zjistit tolik veci).
Python skript je jen jedna z moznosti jak si pomoct, nikomu to netlacim.
Petr Juhanak Odesláno z mého bezdrátového handheldu BlackBerry®
-----Original Message----- From: Matej Snoha matej@snoha.info Sender: community-list-bounces@lists.vpsfree.cz Date: Sun, 25 Mar 2012 18:49:50 To: vpsFree.cz Community listcommunity-list@lists.vpsfree.cz Reply-To: "vpsFree.cz Community list" community-list@lists.vpsfree.cz Subject: Re: [vpsFree.cz: community-list] K diskuzi a zamysleni: minimalni znalosti clena vpsFree.cz?
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Vsechno co se dela externim skriptem se da snadno zjistit i interni, asi i snaze.
Ja bych se drzel toho interniho tedy toho interniho, ale samozrejme bude nutna diskuze o "optimalnich" nastavenich...
On Mon, Mar 26, 2012 at 09:08, petr@juhanak.cz wrote:
Ahoj, co se tyce to python skriptu
Tak souhlasim, ze neexistuje nikdy optmalni konfigurace, ktera pasuje na všechno a nelze dostat odpoved ano nebo ne. Na druhou stranu nikdo nam nebrani vytvorit si vice profilu.
Nikdo z Vas zatim nepremyslel, jak ty zakladni hodnoty pro SSH, PHP a www nastavit pro potreby sdruzeni.
Druhak nejedna se o smirovani, ale uzivatel vpsky se sám rozhodne lokalne si pripojit ty skrypty a spustit si je sam. Externi asi scan nema smysl (neda se zjistit tolik veci).
Python skript je jen jedna z moznosti jak si pomoct, nikomu to netlacim.
Petr Juhanak Odesláno z mého bezdrátového handheldu BlackBerry®
-----Original Message----- From: Matej Snoha matej@snoha.info Sender: community-list-bounces@lists.vpsfree.cz Date: Sun, 25 Mar 2012 18:49:50 To: vpsFree.cz Community listcommunity-list@lists.vpsfree.cz Reply-To: "vpsFree.cz Community list" community-list@lists.vpsfree.cz Subject: Re: [vpsFree.cz: community-list] K diskuzi a zamysleni: minimalni znalosti clena vpsFree.cz?
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Zásadně se musím ohradit k možnosti nastavit klíče přes webové rozhraní VPSAdmin. To se jako někdo domnívá že je bezpečné nastavovat zabezpečení serveru přes webovou aplikaci? Sám používám klíče ale rozhodně je bezpečnější root heslo které je bezpečně zvolené než bezpečné heslo do web aplikace ať už jakékoliv. Na webu je vždy násobně více možností jak se tam dostat než bruteforce proti root heslu. Už jen změněný port je výrazně bezpečnější než klikátko pro lidi kteří neumí nastavit bezpečně ssh nebo ftp. Rozhodně nelze vynutit dostatečně bezpečné heslo na webu a taky nelze zamezit způsobu vniknutí do webové aplikace na sto procent jinou cestou. Jsem za bezpečné nastavení VPS všech ale abychom nevymysleli naopak extrémně nebezpečnou variantu milí spolučlenové ;-)
Skript jsem ještě nespouštěl ale testovat debian lze mnoha způsoby, stačí to jen hledat. Navrhované zjednodušení nevede k osvětě ale k otevření všech VPS při napadení web aplikace.
Děkuji za pozornost.
Aleš Rippl
2012/3/26 Tomáš Volf volf.tomas@gmail.com:
Vsechno co se dela externim skriptem se da snadno zjistit i interni, asi i snaze.
Ja bych se drzel toho interniho tedy toho interniho, ale samozrejme bude nutna diskuze o "optimalnich" nastavenich...
On Mon, Mar 26, 2012 at 09:08, petr@juhanak.cz wrote:
Ahoj, co se tyce to python skriptu
Tak souhlasim, ze neexistuje nikdy optmalni konfigurace, ktera pasuje na všechno a nelze dostat odpoved ano nebo ne. Na druhou stranu nikdo nam nebrani vytvorit si vice profilu.
Nikdo z Vas zatim nepremyslel, jak ty zakladni hodnoty pro SSH, PHP a www nastavit pro potreby sdruzeni.
Druhak nejedna se o smirovani, ale uzivatel vpsky se sám rozhodne lokalne si pripojit ty skrypty a spustit si je sam. Externi asi scan nema smysl (neda se zjistit tolik veci).
Python skript je jen jedna z moznosti jak si pomoct, nikomu to netlacim.
Petr Juhanak Odesláno z mého bezdrátového handheldu BlackBerry®
-----Original Message----- From: Matej Snoha matej@snoha.info Sender: community-list-bounces@lists.vpsfree.cz Date: Sun, 25 Mar 2012 18:49:50 To: vpsFree.cz Community listcommunity-list@lists.vpsfree.cz Reply-To: "vpsFree.cz Community list" community-list@lists.vpsfree.cz Subject: Re: [vpsFree.cz: community-list] K diskuzi a zamysleni: minimalni znalosti clena vpsFree.cz?
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Tomas P4l4cl][n Volf -- "There are only 10 types of people in the world: Those who understand binary, and those who don't." _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Tedy uprimne receno nevidim rozdil jestli pres VPSAdmina nastavuji root heslo nebo root ssh key. Z hlediska "snadnosti" neopravne zmeny pres webove rozhrani je to ale uplne jedno. Nastaveni klicu pres webovou aplikaci umoznuje treba github.com, a presto nebyl na nej proveden jediny utok (as far as I know) ktery by to zneuzil.
Takze jasne, brat o jako "nastavim ssh klic a jsem v suchu" rozhodne ne, ale odsoudit moznost nastaveni klice jako takoveho pres webove rozhrani asi neni duvod.
On Mon, Mar 26, 2012 at 16:34, Aleš Rippl ales@rippl.cz wrote:
Zásadně se musím ohradit k možnosti nastavit klíče přes webové rozhraní VPSAdmin. To se jako někdo domnívá že je bezpečné nastavovat zabezpečení serveru přes webovou aplikaci? Sám používám klíče ale rozhodně je bezpečnější root heslo které je bezpečně zvolené než bezpečné heslo do web aplikace ať už jakékoliv. Na webu je vždy násobně více možností jak se tam dostat než bruteforce proti root heslu. Už jen změněný port je výrazně bezpečnější než klikátko pro lidi kteří neumí nastavit bezpečně ssh nebo ftp. Rozhodně nelze vynutit dostatečně bezpečné heslo na webu a taky nelze zamezit způsobu vniknutí do webové aplikace na sto procent jinou cestou. Jsem za bezpečné nastavení VPS všech ale abychom nevymysleli naopak extrémně nebezpečnou variantu milí spolučlenové ;-)
Skript jsem ještě nespouštěl ale testovat debian lze mnoha způsoby, stačí to jen hledat. Navrhované zjednodušení nevede k osvětě ale k otevření všech VPS při napadení web aplikace.
Děkuji za pozornost.
Aleš Rippl
2012/3/26 Tomáš Volf volf.tomas@gmail.com:
Vsechno co se dela externim skriptem se da snadno zjistit i interni, asi i snaze.
Ja bych se drzel toho interniho tedy toho interniho, ale samozrejme bude nutna diskuze o "optimalnich" nastavenich...
On Mon, Mar 26, 2012 at 09:08, petr@juhanak.cz wrote:
Ahoj, co se tyce to python skriptu
Tak souhlasim, ze neexistuje nikdy optmalni konfigurace, ktera pasuje na všechno a nelze dostat odpoved ano nebo ne. Na druhou stranu nikdo nam nebrani vytvorit si vice profilu.
Nikdo z Vas zatim nepremyslel, jak ty zakladni hodnoty pro SSH, PHP a www nastavit pro potreby sdruzeni.
Druhak nejedna se o smirovani, ale uzivatel vpsky se sám rozhodne lokalne si pripojit ty skrypty a spustit si je sam. Externi asi scan nema smysl (neda se zjistit tolik veci).
Python skript je jen jedna z moznosti jak si pomoct, nikomu to netlacim.
Petr Juhanak Odesláno z mého bezdrátového handheldu BlackBerry®
-----Original Message----- From: Matej Snoha matej@snoha.info Sender: community-list-bounces@lists.vpsfree.cz Date: Sun, 25 Mar 2012 18:49:50 To: vpsFree.cz Community listcommunity-list@lists.vpsfree.cz Reply-To: "vpsFree.cz Community list" community-list@lists.vpsfree.cz Subject: Re: [vpsFree.cz: community-list] K diskuzi a zamysleni: minimalni znalosti clena vpsFree.cz?
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Tomas P4l4cl][n Volf -- "There are only 10 types of people in the world: Those who understand binary, and those who don't." _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Tak to jste natrefil tedy :-D.
Nastavit heslo a jeho změnění v dalších pár minutách a přidání přístupu přes klíč a zakázání root hesla je bezpečnější než nastavení klíčů které tak zůstává platné navždy. Chápu kam tím míříte ale první dokaz na který jsem narazil vám bohužel odporuje.
http://it.slashdot.org/story/12/03/05/1243235/github-hacked
Aleš Rippl
2012/3/26 Tomáš Volf volf.tomas@gmail.com:
Tedy uprimne receno nevidim rozdil jestli pres VPSAdmina nastavuji root heslo nebo root ssh key. Z hlediska "snadnosti" neopravne zmeny pres webove rozhrani je to ale uplne jedno. Nastaveni klicu pres webovou aplikaci umoznuje treba github.com, a presto nebyl na nej proveden jediny utok (as far as I know) ktery by to zneuzil.
Takze jasne, brat o jako "nastavim ssh klic a jsem v suchu" rozhodne ne, ale odsoudit moznost nastaveni klice jako takoveho pres webove rozhrani asi neni duvod.
On Mon, Mar 26, 2012 at 16:34, Aleš Rippl ales@rippl.cz wrote:
Zásadně se musím ohradit k možnosti nastavit klíče přes webové rozhraní VPSAdmin. To se jako někdo domnívá že je bezpečné nastavovat zabezpečení serveru přes webovou aplikaci? Sám používám klíče ale rozhodně je bezpečnější root heslo které je bezpečně zvolené než bezpečné heslo do web aplikace ať už jakékoliv. Na webu je vždy násobně více možností jak se tam dostat než bruteforce proti root heslu. Už jen změněný port je výrazně bezpečnější než klikátko pro lidi kteří neumí nastavit bezpečně ssh nebo ftp. Rozhodně nelze vynutit dostatečně bezpečné heslo na webu a taky nelze zamezit způsobu vniknutí do webové aplikace na sto procent jinou cestou. Jsem za bezpečné nastavení VPS všech ale abychom nevymysleli naopak extrémně nebezpečnou variantu milí spolučlenové ;-)
Skript jsem ještě nespouštěl ale testovat debian lze mnoha způsoby, stačí to jen hledat. Navrhované zjednodušení nevede k osvětě ale k otevření všech VPS při napadení web aplikace.
Děkuji za pozornost.
Aleš Rippl
2012/3/26 Tomáš Volf volf.tomas@gmail.com:
Vsechno co se dela externim skriptem se da snadno zjistit i interni, asi i snaze.
Ja bych se drzel toho interniho tedy toho interniho, ale samozrejme bude nutna diskuze o "optimalnich" nastavenich...
On Mon, Mar 26, 2012 at 09:08, petr@juhanak.cz wrote:
Ahoj, co se tyce to python skriptu
Tak souhlasim, ze neexistuje nikdy optmalni konfigurace, ktera pasuje na všechno a nelze dostat odpoved ano nebo ne. Na druhou stranu nikdo nam nebrani vytvorit si vice profilu.
Nikdo z Vas zatim nepremyslel, jak ty zakladni hodnoty pro SSH, PHP a www nastavit pro potreby sdruzeni.
Druhak nejedna se o smirovani, ale uzivatel vpsky se sám rozhodne lokalne si pripojit ty skrypty a spustit si je sam. Externi asi scan nema smysl (neda se zjistit tolik veci).
Python skript je jen jedna z moznosti jak si pomoct, nikomu to netlacim.
Petr Juhanak Odesláno z mého bezdrátového handheldu BlackBerry®
-----Original Message----- From: Matej Snoha matej@snoha.info Sender: community-list-bounces@lists.vpsfree.cz Date: Sun, 25 Mar 2012 18:49:50 To: vpsFree.cz Community listcommunity-list@lists.vpsfree.cz Reply-To: "vpsFree.cz Community list" community-list@lists.vpsfree.cz Subject: Re: [vpsFree.cz: community-list] K diskuzi a zamysleni: minimalni znalosti clena vpsFree.cz?
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Tomas P4l4cl][n Volf -- "There are only 10 types of people in the world: Those who understand binary, and those who don't." _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Tomas P4l4cl][n Volf -- "There are only 10 types of people in the world: Those who understand binary, and those who don't." _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
O tom jsem cetl, Homakov vyuzil chyby v Ruby on Rails, misto ssh klice mohl klidne zmenit heslo. Tedy SSH klic X heslo, stejna bezpecnost. Alespon v tomto pripane.
Tomas Volf
On Mon, Mar 26, 2012 at 18:02, Aleš Rippl ales@rippl.cz wrote:
Tak to jste natrefil tedy :-D.
Nastavit heslo a jeho změnění v dalších pár minutách a přidání přístupu přes klíč a zakázání root hesla je bezpečnější než nastavení klíčů které tak zůstává platné navždy. Chápu kam tím míříte ale první dokaz na který jsem narazil vám bohužel odporuje.
http://it.slashdot.org/story/12/03/05/1243235/github-hacked
Aleš Rippl
2012/3/26 Tomáš Volf volf.tomas@gmail.com:
Tedy uprimne receno nevidim rozdil jestli pres VPSAdmina nastavuji root heslo nebo root ssh key. Z hlediska "snadnosti" neopravne zmeny pres webove rozhrani je to ale uplne jedno. Nastaveni klicu pres webovou aplikaci umoznuje treba github.com, a presto nebyl na nej proveden jediny utok (as far as I know) ktery by to zneuzil.
Takze jasne, brat o jako "nastavim ssh klic a jsem v suchu" rozhodne ne, ale odsoudit moznost nastaveni klice jako takoveho pres webove rozhrani asi neni duvod.
On Mon, Mar 26, 2012 at 16:34, Aleš Rippl ales@rippl.cz wrote:
Zásadně se musím ohradit k možnosti nastavit klíče přes webové rozhraní VPSAdmin. To se jako někdo domnívá že je bezpečné nastavovat zabezpečení serveru přes webovou aplikaci? Sám používám klíče ale rozhodně je bezpečnější root heslo které je bezpečně zvolené než bezpečné heslo do web aplikace ať už jakékoliv. Na webu je vždy násobně více možností jak se tam dostat než bruteforce proti root heslu. Už jen změněný port je výrazně bezpečnější než klikátko pro lidi kteří neumí nastavit bezpečně ssh nebo ftp. Rozhodně nelze vynutit dostatečně bezpečné heslo na webu a taky nelze zamezit způsobu vniknutí do webové aplikace na sto procent jinou cestou. Jsem za bezpečné nastavení VPS všech ale abychom nevymysleli naopak extrémně nebezpečnou variantu milí spolučlenové ;-)
Skript jsem ještě nespouštěl ale testovat debian lze mnoha způsoby, stačí to jen hledat. Navrhované zjednodušení nevede k osvětě ale k otevření všech VPS při napadení web aplikace.
Děkuji za pozornost.
Aleš Rippl
2012/3/26 Tomáš Volf volf.tomas@gmail.com:
Vsechno co se dela externim skriptem se da snadno zjistit i interni, asi i snaze.
Ja bych se drzel toho interniho tedy toho interniho, ale samozrejme bude nutna diskuze o "optimalnich" nastavenich...
On Mon, Mar 26, 2012 at 09:08, petr@juhanak.cz wrote:
Ahoj, co se tyce to python skriptu
Tak souhlasim, ze neexistuje nikdy optmalni konfigurace, ktera pasuje na všechno a nelze dostat odpoved ano nebo ne. Na druhou stranu nikdo nam nebrani vytvorit si vice profilu.
Nikdo z Vas zatim nepremyslel, jak ty zakladni hodnoty pro SSH, PHP a www nastavit pro potreby sdruzeni.
Druhak nejedna se o smirovani, ale uzivatel vpsky se sám rozhodne lokalne si pripojit ty skrypty a spustit si je sam. Externi asi scan nema smysl (neda se zjistit tolik veci).
Python skript je jen jedna z moznosti jak si pomoct, nikomu to netlacim.
Petr Juhanak Odesláno z mého bezdrátového handheldu BlackBerry®
-----Original Message----- From: Matej Snoha matej@snoha.info Sender: community-list-bounces@lists.vpsfree.cz Date: Sun, 25 Mar 2012 18:49:50 To: vpsFree.cz Community listcommunity-list@lists.vpsfree.cz Reply-To: "vpsFree.cz Community list" community-list@lists.vpsfree.cz Subject: Re: [vpsFree.cz: community-list] K diskuzi a zamysleni: minimalni znalosti clena vpsFree.cz?
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Tomas P4l4cl][n Volf -- "There are only 10 types of people in the world: Those who understand binary, and those who don't." _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Tomas P4l4cl][n Volf -- "There are only 10 types of people in the world: Those who understand binary, and those who don't." _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahoj,
vlozim se vam do diskuze:
- - editace klicu ve vpsAdminu - *nebude* - - tlacitko "testuj bezpecnost" ve vpsAdminu - *nebude*
1. vpsAdmin ma byt obecna aplikace, ne vpsFree.cz-specific 2. dratovat podobne veci do tak simple aplikace, jako je vpsAdmin je docela hrich 3. je tezke udelat to dostatecne univerzalne (ruzna distra, ruzny pristup k uchovani klicu atd.)
Myslim, ze se vam povedlo v diskuzi dostat uplne od tematu :)
Resil jsem, jak zajistit, aby se do vpsFree dostali jenom lidi, kteri maji zajem se neco ucit, pripadne uz s tim umi - nechceme jenom konzumenty vysledku postavenym jednorazove nad VPS. To byla moje pointa.
V ramci toho jsme teda dosli bonusem k tomu, ze udelame nejake testovadlo, ale jenom jako sadu skriptu, kterou si dobrovolne pusti clovek primo z VPS (teda s tim ze to muze volat nejaky vzdaleny testovaci server pro pohled z venku)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 03/26/2012 05:52 PM, Tomáš Volf wrote:
Tedy uprimne receno nevidim rozdil jestli pres VPSAdmina nastavuji root heslo nebo root ssh key. Z hlediska "snadnosti" neopravne zmeny pres webove rozhrani je to ale uplne jedno. Nastaveni klicu pres webovou aplikaci umoznuje treba github.com, a presto nebyl na nej proveden jediny utok (as far as I know) ktery by to zneuzil.
Takze jasne, brat o jako "nastavim ssh klic a jsem v suchu" rozhodne ne, ale odsoudit moznost nastaveni klice jako takoveho pres webove rozhrani asi neni duvod.
On Mon, Mar 26, 2012 at 16:34, Aleš Rippl ales@rippl.cz wrote:
Zásadně se musím ohradit k možnosti nastavit klíče přes webové rozhraní VPSAdmin. To se jako někdo domnívá že je bezpečné nastavovat zabezpečení serveru přes webovou aplikaci? Sám používám klíče ale rozhodně je bezpečnější root heslo které je bezpečně zvolené než bezpečné heslo do web aplikace ať už jakékoliv. Na webu je vždy násobně více možností jak se tam dostat než bruteforce proti root heslu. Už jen změněný port je výrazně bezpečnější než klikátko pro lidi kteří neumí nastavit bezpečně ssh nebo ftp. Rozhodně nelze vynutit dostatečně bezpečné heslo na webu a taky nelze zamezit způsobu vniknutí do webové aplikace na sto procent jinou cestou. Jsem za bezpečné nastavení VPS všech ale abychom nevymysleli naopak extrémně nebezpečnou variantu milí spolučlenové ;-)
Skript jsem ještě nespouštěl ale testovat debian lze mnoha způsoby, stačí to jen hledat. Navrhované zjednodušení nevede k osvětě ale k otevření všech VPS při napadení web aplikace.
Děkuji za pozornost.
Aleš Rippl
2012/3/26 Tomáš Volf volf.tomas@gmail.com:
Vsechno co se dela externim skriptem se da snadno zjistit i interni, asi i snaze.
Ja bych se drzel toho interniho tedy toho interniho, ale samozrejme bude nutna diskuze o "optimalnich" nastavenich...
On Mon, Mar 26, 2012 at 09:08, petr@juhanak.cz wrote:
Ahoj, co se tyce to python skriptu
Tak souhlasim, ze neexistuje nikdy optmalni konfigurace, ktera pasuje na všechno a nelze dostat odpoved ano nebo ne. Na druhou stranu nikdo nam nebrani vytvorit si vice profilu.
Nikdo z Vas zatim nepremyslel, jak ty zakladni hodnoty pro SSH, PHP a www nastavit pro potreby sdruzeni.
Druhak nejedna se o smirovani, ale uzivatel vpsky se sám rozhodne lokalne si pripojit ty skrypty a spustit si je sam. Externi asi scan nema smysl (neda se zjistit tolik veci).
Python skript je jen jedna z moznosti jak si pomoct, nikomu to netlacim.
Petr Juhanak Odesláno z mého bezdrátového handheldu BlackBerry®
-----Original Message----- From: Matej Snoha matej@snoha.info Sender: community-list-bounces@lists.vpsfree.cz Date: Sun, 25 Mar 2012 18:49:50 To: vpsFree.cz Community listcommunity-list@lists.vpsfree.cz Reply-To: "vpsFree.cz Community list" community-list@lists.vpsfree.cz Subject: Re: [vpsFree.cz: community-list] K diskuzi a zamysleni: minimalni znalosti clena vpsFree.cz?
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Tomas P4l4cl][n Volf -- "There are only 10 types of people in the world: Those who understand binary, and those who don't." _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
V ramci diskuse tuto variantu nekdo navrhl, reagoval jsem na to. Jinak s vami I se skriptem souhlasim.
Ales Odesláno z mého smartphonu BlackBerry® www.blackberry.com
-----Original Message----- From: Pavel Snajdr snajpa@snajpa.net Sender: community-list-bounces@lists.vpsfree.cz Date: Mon, 26 Mar 2012 18:05:00 To: vpsFree.cz Community listcommunity-list@lists.vpsfree.cz Reply-To: "vpsFree.cz Community list" community-list@lists.vpsfree.cz Subject: Re: [vpsFree.cz: community-list] K diskuzi a zamysleni: minimalni znalosti clena vpsFree.cz?
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahoj,
vlozim se vam do diskuze:
- - editace klicu ve vpsAdminu - *nebude* - - tlacitko "testuj bezpecnost" ve vpsAdminu - *nebude*
1. vpsAdmin ma byt obecna aplikace, ne vpsFree.cz-specific 2. dratovat podobne veci do tak simple aplikace, jako je vpsAdmin je docela hrich 3. je tezke udelat to dostatecne univerzalne (ruzna distra, ruzny pristup k uchovani klicu atd.)
Myslim, ze se vam povedlo v diskuzi dostat uplne od tematu :)
Resil jsem, jak zajistit, aby se do vpsFree dostali jenom lidi, kteri maji zajem se neco ucit, pripadne uz s tim umi - nechceme jenom konzumenty vysledku postavenym jednorazove nad VPS. To byla moje pointa.
V ramci toho jsme teda dosli bonusem k tomu, ze udelame nejake testovadlo, ale jenom jako sadu skriptu, kterou si dobrovolne pusti clovek primo z VPS (teda s tim ze to muze volat nejaky vzdaleny testovaci server pro pohled z venku)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 03/26/2012 05:52 PM, Tomáš Volf wrote:
Tedy uprimne receno nevidim rozdil jestli pres VPSAdmina nastavuji root heslo nebo root ssh key. Z hlediska "snadnosti" neopravne zmeny pres webove rozhrani je to ale uplne jedno. Nastaveni klicu pres webovou aplikaci umoznuje treba github.com, a presto nebyl na nej proveden jediny utok (as far as I know) ktery by to zneuzil.
Takze jasne, brat o jako "nastavim ssh klic a jsem v suchu" rozhodne ne, ale odsoudit moznost nastaveni klice jako takoveho pres webove rozhrani asi neni duvod.
On Mon, Mar 26, 2012 at 16:34, Aleš Rippl ales@rippl.cz wrote:
Zásadně se musím ohradit k možnosti nastavit klíče přes webové rozhraní VPSAdmin. To se jako někdo domnívá že je bezpečné nastavovat zabezpečení serveru přes webovou aplikaci? Sám používám klíče ale rozhodně je bezpečnější root heslo které je bezpečně zvolené než bezpečné heslo do web aplikace ať už jakékoliv. Na webu je vždy násobně více možností jak se tam dostat než bruteforce proti root heslu. Už jen změněný port je výrazně bezpečnější než klikátko pro lidi kteří neumí nastavit bezpečně ssh nebo ftp. Rozhodně nelze vynutit dostatečně bezpečné heslo na webu a taky nelze zamezit způsobu vniknutí do webové aplikace na sto procent jinou cestou. Jsem za bezpečné nastavení VPS všech ale abychom nevymysleli naopak extrémně nebezpečnou variantu milí spolučlenové ;-)
Skript jsem ještě nespouštěl ale testovat debian lze mnoha způsoby, stačí to jen hledat. Navrhované zjednodušení nevede k osvětě ale k otevření všech VPS při napadení web aplikace.
Děkuji za pozornost.
Aleš Rippl
2012/3/26 Tomáš Volf volf.tomas@gmail.com:
Vsechno co se dela externim skriptem se da snadno zjistit i interni, asi i snaze.
Ja bych se drzel toho interniho tedy toho interniho, ale samozrejme bude nutna diskuze o "optimalnich" nastavenich...
On Mon, Mar 26, 2012 at 09:08, petr@juhanak.cz wrote:
Ahoj, co se tyce to python skriptu
Tak souhlasim, ze neexistuje nikdy optmalni konfigurace, ktera pasuje na všechno a nelze dostat odpoved ano nebo ne. Na druhou stranu nikdo nam nebrani vytvorit si vice profilu.
Nikdo z Vas zatim nepremyslel, jak ty zakladni hodnoty pro SSH, PHP a www nastavit pro potreby sdruzeni.
Druhak nejedna se o smirovani, ale uzivatel vpsky se sám rozhodne lokalne si pripojit ty skrypty a spustit si je sam. Externi asi scan nema smysl (neda se zjistit tolik veci).
Python skript je jen jedna z moznosti jak si pomoct, nikomu to netlacim.
Petr Juhanak Odesláno z mého bezdrátového handheldu BlackBerry®
-----Original Message----- From: Matej Snoha matej@snoha.info Sender: community-list-bounces@lists.vpsfree.cz Date: Sun, 25 Mar 2012 18:49:50 To: vpsFree.cz Community listcommunity-list@lists.vpsfree.cz Reply-To: "vpsFree.cz Community list" community-list@lists.vpsfree.cz Subject: Re: [vpsFree.cz: community-list] K diskuzi a zamysleni: minimalni znalosti clena vpsFree.cz?
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Tomas P4l4cl][n Volf -- "There are only 10 types of people in the world: Those who understand binary, and those who don't." _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
On 26.3.2012 17:52, Tomáš Volf wrote:
Tedy uprimne receno nevidim rozdil jestli pres VPSAdmina nastavuji root heslo nebo root ssh key. Z hlediska "snadnosti" neopravne zmeny pres webove rozhrani je to ale uplne jedno. Nastaveni klicu pres webovou aplikaci umoznuje treba github.com, a presto nebyl na nej proveden jediny utok (as far as I know) ktery by to zneuzil.
Jeden byl celkem nedavno: Github compromised http://lwn.net/Articles/485162/
Nicmene je jedno jestli se nekam da uploadnout klic nebo jen nastavit heslo - moznost prevzeti kontroly je pak v obou pripadech stejne snadna ....
Takze jasne, brat o jako "nastavim ssh klic a jsem v suchu" rozhodne ne, ale odsoudit moznost nastaveni klice jako takoveho pres webove rozhrani asi neni duvod.
IMHO pres web by melo byt resitelne nezbytne minium veci - jednak ziskani (prvotniho) pristupu do VPS - cili nastaveni root klice/hesla, jednak reseni moznych "zasekovych" situaci typu "sletel mi ssh daemon a nemuzu se tam dostat" (na vetsionu z toho staci restart serveru)
Na druhou stranu by nastaveni te "bezpecnejsi" (klice) moznosti melo byt minimalne tak snadne jako te "obvykle mene bezpecne" (heslo)
Martin
On Mon, Mar 26, 2012 at 16:34, Aleš Rippl ales@rippl.cz wrote:
Zásadně se musím ohradit k možnosti nastavit klíče přes webové rozhraní VPSAdmin. To se jako někdo domnívá že je bezpečné nastavovat zabezpečení serveru přes webovou aplikaci? Sám používám klíče ale rozhodně je bezpečnější root heslo které je bezpečně zvolené než bezpečné heslo do web aplikace ať už jakékoliv. Na webu je vždy násobně více možností jak se tam dostat než bruteforce proti root heslu. Už jen změněný port je výrazně bezpečnější než klikátko pro lidi kteří neumí nastavit bezpečně ssh nebo ftp. Rozhodně nelze vynutit dostatečně bezpečné heslo na webu a taky nelze zamezit způsobu vniknutí do webové aplikace na sto procent jinou cestou. Jsem za bezpečné nastavení VPS všech ale abychom nevymysleli naopak extrémně nebezpečnou variantu milí spolučlenové ;-)
Skript jsem ještě nespouštěl ale testovat debian lze mnoha způsoby, stačí to jen hledat. Navrhované zjednodušení nevede k osvětě ale k otevření všech VPS při napadení web aplikace.
Děkuji za pozornost.
Aleš Rippl
2012/3/26 Tomáš Volf volf.tomas@gmail.com:
Vsechno co se dela externim skriptem se da snadno zjistit i interni, asi i snaze.
Ja bych se drzel toho interniho tedy toho interniho, ale samozrejme bude nutna diskuze o "optimalnich" nastavenich...
On Mon, Mar 26, 2012 at 09:08, petr@juhanak.cz wrote:
Ahoj, co se tyce to python skriptu
Tak souhlasim, ze neexistuje nikdy optmalni konfigurace, ktera pasuje na všechno a nelze dostat odpoved ano nebo ne. Na druhou stranu nikdo nam nebrani vytvorit si vice profilu.
Nikdo z Vas zatim nepremyslel, jak ty zakladni hodnoty pro SSH, PHP a www nastavit pro potreby sdruzeni.
Druhak nejedna se o smirovani, ale uzivatel vpsky se sám rozhodne lokalne si pripojit ty skrypty a spustit si je sam. Externi asi scan nema smysl (neda se zjistit tolik veci).
Python skript je jen jedna z moznosti jak si pomoct, nikomu to netlacim.
Petr Juhanak Odesláno z mého bezdrátového handheldu BlackBerry®
-----Original Message----- From: Matej Snoha matej@snoha.info Sender: community-list-bounces@lists.vpsfree.cz Date: Sun, 25 Mar 2012 18:49:50 To: vpsFree.cz Community listcommunity-list@lists.vpsfree.cz Reply-To: "vpsFree.cz Community list" community-list@lists.vpsfree.cz Subject: Re: [vpsFree.cz: community-list] K diskuzi a zamysleni: minimalni znalosti clena vpsFree.cz?
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Tomas P4l4cl][n Volf -- "There are only 10 types of people in the world: Those who understand binary, and those who don't." _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
On 03/27/2012 01:56 AM, Martin Petříček wrote:
On 26.3.2012 17:52, Tomáš Volf wrote:
Tedy uprimne receno nevidim rozdil jestli pres VPSAdmina nastavuji root heslo nebo root ssh key. Z hlediska "snadnosti" neopravne zmeny pres webove rozhrani je to ale uplne jedno. Nastaveni klicu pres webovou aplikaci umoznuje treba github.com, a presto nebyl na nej proveden jediny utok (as far as I know) ktery by to zneuzil.
Jeden byl celkem nedavno: Github compromised http://lwn.net/Articles/485162/
Nicmene je jedno jestli se nekam da uploadnout klic nebo jen nastavit heslo
- moznost prevzeti kontroly je pak v obou pripadech stejne snadna ....
Nie je, zmenit root heslo neznamena pristup na masinu. Jedine v pripade, ze mas povoleny root access cez ssh, co je uplny vysmech bezpecnosti.
2012/3/27 Richard Marko rissko@gmail.com:
On 03/27/2012 01:56 AM, Martin Petříček wrote:
On 26.3.2012 17:52, Tomáš Volf wrote:
Tedy uprimne receno nevidim rozdil jestli pres VPSAdmina nastavuji root heslo nebo root ssh key. Z hlediska "snadnosti" neopravne zmeny pres webove rozhrani je to ale uplne jedno. Nastaveni klicu pres webovou aplikaci umoznuje treba github.com, a presto nebyl na nej proveden jediny utok (as far as I know) ktery by to zneuzil.
Jeden byl celkem nedavno: Github compromised http://lwn.net/Articles/485162/
Nicmene je jedno jestli se nekam da uploadnout klic nebo jen nastavit heslo
- moznost prevzeti kontroly je pak v obou pripadech stejne snadna ....
Nie je, zmenit root heslo neznamena pristup na masinu. Jedine v pripade, ze mas povoleny root access cez ssh, co je uplny vysmech bezpecnosti.
-- Richard Marko
Díky za "podporu", už jsem myslel že jsem já úplně mimo mísu :-)
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
To se mi libi, jak kazdej dela chytryho... :D
Riso, spravoval jsi nekdy prostredi vetsi jak 1-2-3-4 servery? :)
Principialne - ano, klice jsou lepsi, ale ne vzdycky je jde pouzit. Zakazany root je fajn napad v malem prostredi, ve vetsim prostredi s vice spravci jsou to akorat klacky pod nohy sysadminum.
Pro mne za mne, at si kazdej dela ve VPS co chce, ja chci jenom docilit toho, ze se k nam budou hlasit lidi, kteri to neberou stylem "tak a ted mam VPS, zaridte mi tam neco, pac ja ani nevim, jak se tam prihlasit".
Volna diskuze je fajn, ale koukam ze je potreba ji trochu "moderovat" - tzn vcas se ozvat, kdyz se zacne resit offtopic vec, na kterou kazdej akroat rad flamuje (jako je prave klic. vs heslo, povoleni/zakazani roota, atd. - jeste muzeme zacit flamovat, ktery HW kupovat, ktery OS tam instalovat atd. a sdruzeni se nam rozpadne :D). Nerikam cenzurovat, to v zadnym pripade, ale asi bych se mohl castejc pripomenout co vlastne v tu chvili resime - i kdyz je to teda sakra v subjectu danyho threadu :D
snajpa
On 03/27/2012 01:11 PM, Richard Marko wrote:
On 03/27/2012 01:56 AM, Martin Petříček wrote:
On 26.3.2012 17:52, Tomáš Volf wrote:
Tedy uprimne receno nevidim rozdil jestli pres VPSAdmina nastavuji root heslo nebo root ssh key. Z hlediska "snadnosti" neopravne zmeny pres webove rozhrani je to ale uplne jedno. Nastaveni klicu pres webovou aplikaci umoznuje treba github.com, a presto nebyl na nej proveden jediny utok (as far as I know) ktery by to zneuzil.
Jeden byl celkem nedavno: Github compromised http://lwn.net/Articles/485162/
Nicmene je jedno jestli se nekam da uploadnout klic nebo jen nastavit heslo
- moznost prevzeti kontroly je pak v obou pripadech stejne snadna ....
Nie je, zmenit root heslo neznamena pristup na masinu. Jedine v pripade, ze mas povoleny root access cez ssh, co je uplny vysmech bezpecnosti.
Naše minimální znalosti jsou zdá se natolik rozdílné, že tento thread vede k bouřlivé diskusi a možná někdy i k zamyšlení.
Omluva za OT.
Aleš
2012/3/27 Pavel Snajdr snajpa@snajpa.net:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
To se mi libi, jak kazdej dela chytryho... :D
Riso, spravoval jsi nekdy prostredi vetsi jak 1-2-3-4 servery? :)
Principialne - ano, klice jsou lepsi, ale ne vzdycky je jde pouzit. Zakazany root je fajn napad v malem prostredi, ve vetsim prostredi s vice spravci jsou to akorat klacky pod nohy sysadminum.
Pro mne za mne, at si kazdej dela ve VPS co chce, ja chci jenom docilit toho, ze se k nam budou hlasit lidi, kteri to neberou stylem "tak a ted mam VPS, zaridte mi tam neco, pac ja ani nevim, jak se tam prihlasit".
Volna diskuze je fajn, ale koukam ze je potreba ji trochu "moderovat" - tzn vcas se ozvat, kdyz se zacne resit offtopic vec, na kterou kazdej akroat rad flamuje (jako je prave klic. vs heslo, povoleni/zakazani roota, atd. - jeste muzeme zacit flamovat, ktery HW kupovat, ktery OS tam instalovat atd. a sdruzeni se nam rozpadne :D). Nerikam cenzurovat, to v zadnym pripade, ale asi bych se mohl castejc pripomenout co vlastne v tu chvili resime - i kdyz je to teda sakra v subjectu danyho threadu :D
snajpa
On 03/27/2012 01:11 PM, Richard Marko wrote:
On 03/27/2012 01:56 AM, Martin Petříček wrote:
On 26.3.2012 17:52, Tomáš Volf wrote:
Tedy uprimne receno nevidim rozdil jestli pres VPSAdmina nastavuji root heslo nebo root ssh key. Z hlediska "snadnosti" neopravne zmeny pres webove rozhrani je to ale uplne jedno. Nastaveni klicu pres webovou aplikaci umoznuje treba github.com, a presto nebyl na nej proveden jediny utok (as far as I know) ktery by to zneuzil.
Jeden byl celkem nedavno: Github compromised http://lwn.net/Articles/485162/
Nicmene je jedno jestli se nekam da uploadnout klic nebo jen nastavit heslo
- moznost prevzeti kontroly je pak v obou pripadech stejne snadna ....
Nie je, zmenit root heslo neznamena pristup na masinu. Jedine v pripade, ze mas povoleny root access cez ssh, co je uplny vysmech bezpecnosti.
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iF4EAREIAAYFAk9xp54ACgkQdh+64ds5DaZvUAD/VLNGTCiE4Ee/jFeuIRTQLQK+ KYK+9h1ez1r21qsHgDgA/22nZZsBPJpJCoASgK333cs2eVaUWesGw/GqNawrF/e5 =bBvX -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Urcite se neni za co omlouvat. Ja jsem rad, ze nam tu ta diskuze nejak jede, jenom by to chtelo drzet se vic tematu, nic vic :)
Me by se libilo, kdybychom mohli udrzovat nejakou knowledgebase, kde by si prave mene zkuseni mohli precist, co delaji spatne, v cem se zlepsit atd., ale je s tim hned nekolik problemu -
1. kdo to bude tvorit 2. kdo to bude udrzovat 3. kolik lidi tou praci oslovime
Jako minimalni realizovatelnou a udrzovatelnou verzi bych videl napr stranku na wiki rozdelenou do sekci, kde se budou shromazdovat akorat relevantni odkazy na Abclinuxu, Root a dalsi ceskoslovenske servery, pripadne i ty lepsi clanky ze zahranici.
Kdyby se nekomu chtelo, tak se toho muze chytnout.
Co se tyce problemu viz $subject - osobne se mi nejvic libi myslenka 2-3 kontrolnich dotazu v prihlasce, podle nich proste uvidime aspon pristup daneho cloveka -> pokud si to vygoogli nebo se zepta kamarada, i to je spravny postup. Chctel bych tim filtrovat akorat lhostejnost, nezajem a ignoranci; rozhodne ne neznalost.
snajpa
On 03/27/2012 01:46 PM, Aleš Rippl wrote:
Naše minimální znalosti jsou zdá se natolik rozdílné, že tento thread vede k bouřlivé diskusi a možná někdy i k zamyšlení.
Omluva za OT.
Aleš
2012/3/27 Pavel Snajdr snajpa@snajpa.net: To se mi libi, jak kazdej dela chytryho... :D
Riso, spravoval jsi nekdy prostredi vetsi jak 1-2-3-4 servery? :)
Principialne - ano, klice jsou lepsi, ale ne vzdycky je jde pouzit. Zakazany root je fajn napad v malem prostredi, ve vetsim prostredi s vice spravci jsou to akorat klacky pod nohy sysadminum.
Pro mne za mne, at si kazdej dela ve VPS co chce, ja chci jenom docilit toho, ze se k nam budou hlasit lidi, kteri to neberou stylem "tak a ted mam VPS, zaridte mi tam neco, pac ja ani nevim, jak se tam prihlasit".
Volna diskuze je fajn, ale koukam ze je potreba ji trochu "moderovat" - tzn vcas se ozvat, kdyz se zacne resit offtopic vec, na kterou kazdej akroat rad flamuje (jako je prave klic. vs heslo, povoleni/zakazani roota, atd. - jeste muzeme zacit flamovat, ktery HW kupovat, ktery OS tam instalovat atd. a sdruzeni se nam rozpadne :D). Nerikam cenzurovat, to v zadnym pripade, ale asi bych se mohl castejc pripomenout co vlastne v tu chvili resime - i kdyz je to teda sakra v subjectu danyho threadu :D
snajpa
On 03/27/2012 01:11 PM, Richard Marko wrote:
On 03/27/2012 01:56 AM, Martin PetYí ek wrote:
On 26.3.2012 17:52, Tomáa Volf wrote:
Tedy uprimne receno nevidim rozdil jestli pres VPSAdmina nastavuji root heslo nebo root ssh key. Z hlediska "snadnosti" neopravne zmeny pres webove rozhrani je to ale uplne jedno. Nastaveni klicu pres webovou aplikaci umoznuje treba github.com, a presto nebyl na nej proveden jediny utok (as far as I know) ktery by to zneuzil.
Jeden byl celkem nedavno: Github compromised http://lwn.net/Articles/485162/
Nicmene je jedno jestli se nekam da uploadnout klic nebo jen nastavit heslo
- moznost prevzeti kontroly je pak v obou pripadech stejne snadna ....
Nie je, zmenit root heslo neznamena pristup na masinu. Jedine v pripade, ze mas povoleny root access cez ssh, co je uplny vysmech bezpecnosti.
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
On 2012-03-27 13:11, Richard Marko wrote:
On 03/27/2012 01:56 AM, Martin Petříček wrote:
On 26.3.2012 17:52, Tomáš Volf wrote:
Tedy uprimne receno nevidim rozdil jestli pres VPSAdmina nastavuji root heslo nebo root ssh key. Z hlediska "snadnosti" neopravne zmeny pres webove rozhrani je to ale uplne jedno. Nastaveni klicu pres webovou aplikaci umoznuje treba github.com, a presto nebyl na nej proveden jediny utok (as far as I know) ktery by to zneuzil.
Jeden byl celkem nedavno: Github compromised http://lwn.net/Articles/485162/
Nicmene je jedno jestli se nekam da uploadnout klic nebo jen nastavit heslo
- moznost prevzeti kontroly je pak v obou pripadech stejne snadna
....
Nie je, zmenit root heslo neznamena pristup na masinu. Jedine v pripade, ze mas povoleny root access cez ssh, co je uplny vysmech bezpecnosti.
Pokud neni povoleny root access pres SSH, tak nahrani klice ma stejny efekt jako nastaveni hesla (tedy nulovy). I kdyz u nastaveni rootovskeho hesla si asi spravce serveru toho vsimne (nepujde mu "su"), narozdil od nastaveni klice, kde jeden soubor navic (/root/.ssh/authorized_keys) muze uniknout pozornosti.
Martin
Ahoj vsem.
Ja jsem pro nechat to tak jak to je a doporucit uzivatelum prejit na klice (max. Jim poslat email nebo zobrazit info ve vpsadminu).
Pokud jde o zranitelnosti vpsadminu. (Pokud tam nejake jsou), tak lze stejne vyresetovat heslo na roota k vpsce a pokud by tam byla chyba na urovni accesscontrolu, tak je uplne jedno, ze by aplikacka umela vnutit novy klic nebo vyresetovat heslo.
Cela uloha se tak redukuje na problem: je moje heslo do vpsadminu prozrazeno nebo ne a nesouvisi ani tak s vlastnosmi aplikace.
Jsou to jen hypotezy a nema smysl se jimi zabyvat, dokud neexistuje navrh implementace.
Petr Juhanak
Odesláno z mého bezdrátového handheldu BlackBerry®
-----Original Message----- From: Aleš Rippl ales@rippl.cz Sender: community-list-bounces@lists.vpsfree.cz Date: Mon, 26 Mar 2012 16:34:11 To: vpsFree.cz Community listcommunity-list@lists.vpsfree.cz Reply-To: "vpsFree.cz Community list" community-list@lists.vpsfree.cz Subject: Re: [vpsFree.cz: community-list] K diskuzi a zamysleni: minimalni znalosti clena vpsFree.cz?
Zásadně se musím ohradit k možnosti nastavit klíče přes webové rozhraní VPSAdmin. To se jako někdo domnívá že je bezpečné nastavovat zabezpečení serveru přes webovou aplikaci? Sám používám klíče ale rozhodně je bezpečnější root heslo které je bezpečně zvolené než bezpečné heslo do web aplikace ať už jakékoliv. Na webu je vždy násobně více možností jak se tam dostat než bruteforce proti root heslu. Už jen změněný port je výrazně bezpečnější než klikátko pro lidi kteří neumí nastavit bezpečně ssh nebo ftp. Rozhodně nelze vynutit dostatečně bezpečné heslo na webu a taky nelze zamezit způsobu vniknutí do webové aplikace na sto procent jinou cestou. Jsem za bezpečné nastavení VPS všech ale abychom nevymysleli naopak extrémně nebezpečnou variantu milí spolučlenové ;-)
Skript jsem ještě nespouštěl ale testovat debian lze mnoha způsoby, stačí to jen hledat. Navrhované zjednodušení nevede k osvětě ale k otevření všech VPS při napadení web aplikace.
Děkuji za pozornost.
Aleš Rippl
2012/3/26 Tomáš Volf volf.tomas@gmail.com:
Vsechno co se dela externim skriptem se da snadno zjistit i interni, asi i snaze.
Ja bych se drzel toho interniho tedy toho interniho, ale samozrejme bude nutna diskuze o "optimalnich" nastavenich...
On Mon, Mar 26, 2012 at 09:08, petr@juhanak.cz wrote:
Ahoj, co se tyce to python skriptu
Tak souhlasim, ze neexistuje nikdy optmalni konfigurace, ktera pasuje na všechno a nelze dostat odpoved ano nebo ne. Na druhou stranu nikdo nam nebrani vytvorit si vice profilu.
Nikdo z Vas zatim nepremyslel, jak ty zakladni hodnoty pro SSH, PHP a www nastavit pro potreby sdruzeni.
Druhak nejedna se o smirovani, ale uzivatel vpsky se sám rozhodne lokalne si pripojit ty skrypty a spustit si je sam. Externi asi scan nema smysl (neda se zjistit tolik veci).
Python skript je jen jedna z moznosti jak si pomoct, nikomu to netlacim.
Petr Juhanak Odesláno z mého bezdrátového handheldu BlackBerry®
-----Original Message----- From: Matej Snoha matej@snoha.info Sender: community-list-bounces@lists.vpsfree.cz Date: Sun, 25 Mar 2012 18:49:50 To: vpsFree.cz Community listcommunity-list@lists.vpsfree.cz Reply-To: "vpsFree.cz Community list" community-list@lists.vpsfree.cz Subject: Re: [vpsFree.cz: community-list] K diskuzi a zamysleni: minimalni znalosti clena vpsFree.cz?
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Tomas P4l4cl][n Volf -- "There are only 10 types of people in the world: Those who understand binary, and those who don't." _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
A co treba tohle, nejsem odbornik, ale podezrely, tak jsem zagooglil: http://assassik.inseo.cz/2011/04/zabezpeceni-debianu-cast-1.html http://assassik.inseo.cz/2011/04/zabezpeceni-debianu-cast-2.html http://assassik.inseo.cz/2011/04/zabezpeceni-debianu-cast-3.html
Jeste jsem to nezkousel, mam asi 8 piv, ale zda se mi to celkem jasne podane, coz neznamena, ze nebudu mit problem (nejdriv zitra).
Libor
Ahoj,
ak ma pamat neklame, tak kedysi v minulosti tu bola taka myslienka, zaviest nieco podobne, aby si zdruzenie pri velkom pocte clenov zachovalo charakter zdruzenia ludi co sa zaujimaju a maju znalosti o IT. Urcite som za, ale treba mysliet a pocitat aj s tym, ze prihlasku nemusia vyplnat novy potencialny clenovia sami a bez pomoci, hl. s Internetom to moze byt easy (potom treba zvazit ci to bude mat zmysel a potrebny efekt). -> Zalezi od typu otazok a obtiaznosti. Pripadne moze ziadost okrem par otazok, obsahovat kusok textu o tom, na co potenciany clen VPS chce a tak. Osobne by sa mi este pozdavala myslienka schvalovania novych prihlasok na zaklade suhlasu urciteho poctu clenov za pevne stanovene obdobie, napr. minimalny pocet suhlasov terajsimi clenmi by bol 15, napr. za obdobie 21 dni. Sami clenovia by na zaklade takejto prihlasky rozhodli ci zaujemca bude clenom alebo nie. Tymi otazkami ale urcite nic nepokazime!
On 03/12/2012 07:41 PM, Pavel Snajdr wrote:
Ahojte,
dneska premyslim nad problemem poslednich par tydnu - obcas se k nam prihlasi lidi, kteri vubec netusi ani ze by si meli nastavit root heslo, na podporu nam pak prijde dotaz "nemuzu se dostat do VPS, proc?"...
Pak se nam stava, ze VPS takovych clenu jsou uplne snadnym tercem ruznych botu => chodi pak stiznosti, ze odesilame SPAM a podobne.
Myslite si, ze bychom meli mit nejake (i kdyz treba minimalni) naroky na znalosti uchazecu o clenstvi?
Napriklad 3 kontrolni dotazy pri vyplneni prihlasky?
Co si o tomhle obecne myslite?
Dik za nazory.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahojte.
Konštruktívna časť: - Nejaké úplne základné otázky zo sveta linuxu, OS, sietí a zásad pri používaní hesiel by šlo (automatizované otázky, kľudne výber z A-B-C-D). Išlo by asi fakt len o odradenie tých naj-amatérov. - Script, ktorý by urobil kontrolu každého vps od jeho založenia, resp od jeho reinštalácie až do doby, než by nenastala náprava. Pokiaľ by nebola vykonaná náprava, chodilo by mailom členovi upozornenie (podobne ako pri notifikátore o platbe za členský príspevok) aj s popisom, ako problém riešiť (odkazy na wiki). Pokiaľ by k náprave nedošlo napr za 1 mesiac, VPS by sa napr. deaktivoval alebo by zasiahol niekto zo združenia a kontaktoval člena.
Off-topic: - Alebo nasadiť nejakú takútu captchu: http://d4rkn3ss.files.wordpress.com/2008/05/rs.png :-)
- Ján Šmatlík
Dňa 12.03.2012 19:41, Pavel Snajdr wrote / napísal(a):
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahojte,
dneska premyslim nad problemem poslednich par tydnu - obcas se k nam prihlasi lidi, kteri vubec netusi ani ze by si meli nastavit root heslo, na podporu nam pak prijde dotaz "nemuzu se dostat do VPS, proc?"...
Pak se nam stava, ze VPS takovych clenu jsou uplne snadnym tercem ruznych botu => chodi pak stiznosti, ze odesilame SPAM a podobne.
Myslite si, ze bychom meli mit nejake (i kdyz treba minimalni) naroky na znalosti uchazecu o clenstvi?
Napriklad 3 kontrolni dotazy pri vyplneni prihlasky?
Co si o tomhle obecne myslite?
Dik za nazory.
Pavel Snajdr
+420 720 107 791
http://vpsfree.cz -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iF4EAREIAAYFAk9eQ0QACgkQdh+64ds5DaYQpQD+OHY1aYL3PiqRQI4TFJnFhiIt uBlzMWfu34nuDDEST/ABAJxV3v0ErTLDl4w47Nq1vlQsC6sp4m2jJ5GUyPpDJBYZ =C5QI -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Tak jsem o tom premejslel, diky vsem za input!
Pro zacatek, nasel by se nekdo, kdo by dal dohromady sadu skriptu, ktery by otestovaly zakladni zabezpeceni VPS?
Neco, co bych proste pustil z venku s IP nejakeho VPS a ukazalo by to, co nemam zabezpeceny a pripadne by me to poslalo na wiki stranku, kde by bylo popsany, jak si to zabezpecit lip?
[ale myslim, ze by asi neskodilo udelat to rovnou v anglictine, myslim ze se mezi ajtakama nenajde moc lidi, co by anglictinu neumeli aspon precist a pochopit, o cem se v tom textu pise]
Pavel Snajdr
+420 720 107 791
On 03/12/2012 07:41 PM, Pavel Snajdr wrote:
Ahojte,
dneska premyslim nad problemem poslednich par tydnu - obcas se k nam prihlasi lidi, kteri vubec netusi ani ze by si meli nastavit root heslo, na podporu nam pak prijde dotaz "nemuzu se dostat do VPS, proc?"...
Pak se nam stava, ze VPS takovych clenu jsou uplne snadnym tercem ruznych botu => chodi pak stiznosti, ze odesilame SPAM a podobne.
Myslite si, ze bychom meli mit nejake (i kdyz treba minimalni) naroky na znalosti uchazecu o clenstvi?
Napriklad 3 kontrolni dotazy pri vyplneni prihlasky?
Co si o tomhle obecne myslite?
Dik za nazory.
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Muze to byt v pythonu?
Petr Juhanak Odesláno z mého bezdrátového handheldu BlackBerry®
-----Original Message----- From: Pavel Snajdr snajpa@snajpa.net Sender: community-list-bounces@lists.vpsfree.cz Date: Wed, 14 Mar 2012 14:33:47 To: vpsFree.cz Community listcommunity-list@lists.vpsfree.cz Reply-To: "vpsFree.cz Community list" community-list@lists.vpsfree.cz Subject: Re: [vpsFree.cz: community-list] K diskuzi a zamysleni: minimalni znalosti clena vpsFree.cz?
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Tak jsem o tom premejslel, diky vsem za input!
Pro zacatek, nasel by se nekdo, kdo by dal dohromady sadu skriptu, ktery by otestovaly zakladni zabezpeceni VPS?
Neco, co bych proste pustil z venku s IP nejakeho VPS a ukazalo by to, co nemam zabezpeceny a pripadne by me to poslalo na wiki stranku, kde by bylo popsany, jak si to zabezpecit lip?
[ale myslim, ze by asi neskodilo udelat to rovnou v anglictine, myslim ze se mezi ajtakama nenajde moc lidi, co by anglictinu neumeli aspon precist a pochopit, o cem se v tom textu pise]
Pavel Snajdr
+420 720 107 791
On 03/12/2012 07:41 PM, Pavel Snajdr wrote:
Ahojte,
dneska premyslim nad problemem poslednich par tydnu - obcas se k nam prihlasi lidi, kteri vubec netusi ani ze by si meli nastavit root heslo, na podporu nam pak prijde dotaz "nemuzu se dostat do VPS, proc?"...
Pak se nam stava, ze VPS takovych clenu jsou uplne snadnym tercem ruznych botu => chodi pak stiznosti, ze odesilame SPAM a podobne.
Myslite si, ze bychom meli mit nejake (i kdyz treba minimalni) naroky na znalosti uchazecu o clenstvi?
Napriklad 3 kontrolni dotazy pri vyplneni prihlasky?
Co si o tomhle obecne myslite?
Dik za nazory.
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Neni problem, pokud to bude citelny - python metaprogramming bych asi neprekousal, ale pokud to bude primocary, tak proc ne! :)
Pavel Snajdr
+420 720 107 791
On 03/14/2012 02:39 PM, petr@juhanak.cz wrote:
Muze to byt v pythonu?
Petr Juhanak Odesláno z mého bezdrátového handheldu BlackBerry®
-----Original Message----- From: Pavel Snajdr snajpa@snajpa.net Sender: community-list-bounces@lists.vpsfree.cz Date: Wed, 14 Mar 2012 14:33:47 To: vpsFree.cz Community listcommunity-list@lists.vpsfree.cz Reply-To: "vpsFree.cz Community list" community-list@lists.vpsfree.cz Subject: Re: [vpsFree.cz: community-list] K diskuzi a zamysleni: minimalni znalosti clena vpsFree.cz?
Tak jsem o tom premejslel, diky vsem za input!
Pro zacatek, nasel by se nekdo, kdo by dal dohromady sadu skriptu, ktery by otestovaly zakladni zabezpeceni VPS?
Neco, co bych proste pustil z venku s IP nejakeho VPS a ukazalo by to, co nemam zabezpeceny a pripadne by me to poslalo na wiki stranku, kde by bylo popsany, jak si to zabezpecit lip?
[ale myslim, ze by asi neskodilo udelat to rovnou v anglictine, myslim ze se mezi ajtakama nenajde moc lidi, co by anglictinu neumeli aspon precist a pochopit, o cem se v tom textu pise]
Pavel Snajdr
+420 720 107 791
On 03/12/2012 07:41 PM, Pavel Snajdr wrote:
Ahojte,
dneska premyslim nad problemem poslednich par tydnu - obcas se k nam prihlasi lidi, kteri vubec netusi ani ze by si meli nastavit root heslo, na podporu nam pak prijde dotaz "nemuzu se dostat do VPS, proc?"...
Pak se nam stava, ze VPS takovych clenu jsou uplne snadnym tercem ruznych botu => chodi pak stiznosti, ze odesilame SPAM a podobne.
Myslite si, ze bychom meli mit nejake (i kdyz treba minimalni) naroky na znalosti uchazecu o clenstvi?
Napriklad 3 kontrolni dotazy pri vyplneni prihlasky?
Co si o tomhle obecne myslite?
Dik za nazory.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
community-list@lists.vpsfree.cz
-
ales@rippl.cz -
Aleš Rippl
-
Alli Quaknaa -
Erich Stark -
Jan Grmela -
Jan Smatlik -
Kryglik -
Libor Boldan -
Martin Petříček -
Matej Snoha -
Michal Kolínek -
mila.zajicek@screenprotector.cz -
Pavel Snajdr -
Peter Bubelíny -
Petr Juhaňák -
petr@juhanak.cz
-
Rastislav Szabo -
Richard Marko -
Tomas Meszaros -
Tomáš Volf -
Vaclav Dusek