-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahojte,
jak jsem tu zminil uz sice jako OT v diskuzi s Ondrou, mnozi se nam security issues.
Bezpecnost systemu na verejne dostupnem Internetu v roce 2014 "neni prdel". Fakt si nedelam srandu, ta uz skoncila.
Mate system na verejnem Internetu, mate za nej zodpovednost.
Vetsina lidi, co se vubec obtezuje prihlasit do nasich ML pojem o bezpecnosti ma, takze to neberte, ze sirim hromy blesky spatnym smerem.
Pisu to proto, ze hledam lidi, kteri si opravdu vezmou na starost pripravit kvalitni sbirku linku nebo kratkych navodu, jak kompletne zabezpecit nase nejbeznejsi distribuce - tedy Debian, Ubuntu a CentOS se vsema nejpouzivanejsima sluzbama.
Prioritou je CZ/SK jazyk, kdyz se fakt neda jinak, tak zkousneme i anglicke zdroje.
Primarne jde o to udelat a udrzovat opravdu aktualni, ucelenou kolekci, ktere se muze chytit i zacatecnik a mit jistotu, ze muze spat aspon tak klidne, jako my v tom adminskym cechu dyl pusobici.
Jelikoz tohle opravdu hodne chceme, jsme ochotni zaplatit klidne hodinovku tomu, kdo si to vezme na starost a opravdu kvalitne to zpracuje.
IMHO to vola po necem na zpusob vpsFree-CIRT.
Co vim, Ondra by byl dobrej kandidat - nasel by si cas?
Je vas tu vic takovejch, co jsou security-aware a co vam neni cizi i obcas neco vysvetlit ostatnim, prosim, zapojte se.
Tenhle material potom bude soucasti kazdyho uvodniho mailu, 400px fontem, tucne, kurzivou a podrtrzene comic sans ruzovou barvou na cernym pozadi, aby si toho kazdej vsimnul.
Ok, to uz si delam srandu, ale o cem mluvim sranda neni, tohle je serious, musime delat lepsi osvetu, jinak se nam ty hacky a DoSy a svinstva budou akorat mnozit. To nechce myslim nikdo z nas :)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Upresneni:
Nejde mi o kvantitu. Prave naopak, musi to bejt co nejkratsi a doba nutna pro solidni zabezpeceni musi bejt co nejmensi.
Nemirime na ultra-total-paranoid setup, to se v nasich podminkach pri kontejnerech ani udelat neda.
Jde o to snadno a efektivne provest zacatecnika zabezpecenim VPSky v nasich podminkach, presne tak, jak to sedi na nase prostredi a na nejbeznejc deployovany sluzby u nas.
LAMP stack, dalsi nejbeznejsi web stacky, mail, bezne databaze, minecrafty a podobne.
To zabezpeceni musi bejt co nejmin intruzivni co se tyce pouzivani a adminovani toho VPS potom. Zamek, ktery musim otacet 40x, aby dozamknul, pokazde zamykat nebudu, kdyz odchazim jenom na 10s.. jsme lidi a je potreba to tak brat.
Proto je potreba tu bezpecnost demystifikovat, udelat z toho neco, co i beznej Franta Zacinajici Admin muze mit a praktikovat. Netreba hned zachazet do veci jako trilion-nasobna autentizace pres 10 hopu po svete, a tak :)
/snajpa
On 03/17/2014 11:54 PM, Pavel Snajdr wrote:
Ahojte,
jak jsem tu zminil uz sice jako OT v diskuzi s Ondrou, mnozi se nam security issues.
Bezpecnost systemu na verejne dostupnem Internetu v roce 2014 "neni prdel". Fakt si nedelam srandu, ta uz skoncila.
Mate system na verejnem Internetu, mate za nej zodpovednost.
Vetsina lidi, co se vubec obtezuje prihlasit do nasich ML pojem o bezpecnosti ma, takze to neberte, ze sirim hromy blesky spatnym smerem.
Pisu to proto, ze hledam lidi, kteri si opravdu vezmou na starost pripravit kvalitni sbirku linku nebo kratkych navodu, jak kompletne zabezpecit nase nejbeznejsi distribuce - tedy Debian, Ubuntu a CentOS se vsema nejpouzivanejsima sluzbama.
Prioritou je CZ/SK jazyk, kdyz se fakt neda jinak, tak zkousneme i anglicke zdroje.
Primarne jde o to udelat a udrzovat opravdu aktualni, ucelenou kolekci, ktere se muze chytit i zacatecnik a mit jistotu, ze muze spat aspon tak klidne, jako my v tom adminskym cechu dyl pusobici.
Jelikoz tohle opravdu hodne chceme, jsme ochotni zaplatit klidne hodinovku tomu, kdo si to vezme na starost a opravdu kvalitne to zpracuje.
IMHO to vola po necem na zpusob vpsFree-CIRT.
Co vim, Ondra by byl dobrej kandidat - nasel by si cas?
Je vas tu vic takovejch, co jsou security-aware a co vam neni cizi i obcas neco vysvetlit ostatnim, prosim, zapojte se.
Tenhle material potom bude soucasti kazdyho uvodniho mailu, 400px fontem, tucne, kurzivou a podrtrzene comic sans ruzovou barvou na cernym pozadi, aby si toho kazdej vsimnul.
Ok, to uz si delam srandu, ale o cem mluvim sranda neni, tohle je serious, musime delat lepsi osvetu, jinak se nam ty hacky a DoSy a svinstva budou akorat mnozit. To nechce myslim nikdo z nas :)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahoj,
všem, kteří si nejsou v nastavování serveru a jeho služeb úplně jistí, doporučuji pročíst seriál Správa linuxového serveru, kterou napsal Michal Dočekal pro server linuxexpres.cz - http://www.linuxexpres.cz/praxe/sprava-linuxoveho-serveru Zvláště doporučuji si projít "Praktické rady pro zabezpečení (nejen) SSH".
Dne 18. března 2014 0:01 Pavel Snajdr snajpa@snajpa.net napsal(a):
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Upresneni:
Nejde mi o kvantitu. Prave naopak, musi to bejt co nejkratsi a doba nutna pro solidni zabezpeceni musi bejt co nejmensi.
Nemirime na ultra-total-paranoid setup, to se v nasich podminkach pri kontejnerech ani udelat neda.
Jde o to snadno a efektivne provest zacatecnika zabezpecenim VPSky v nasich podminkach, presne tak, jak to sedi na nase prostredi a na nejbeznejc deployovany sluzby u nas.
LAMP stack, dalsi nejbeznejsi web stacky, mail, bezne databaze, minecrafty a podobne.
To zabezpeceni musi bejt co nejmin intruzivni co se tyce pouzivani a adminovani toho VPS potom. Zamek, ktery musim otacet 40x, aby dozamknul, pokazde zamykat nebudu, kdyz odchazim jenom na 10s.. jsme lidi a je potreba to tak brat.
Proto je potreba tu bezpecnost demystifikovat, udelat z toho neco, co i beznej Franta Zacinajici Admin muze mit a praktikovat. Netreba hned zachazet do veci jako trilion-nasobna autentizace pres 10 hopu po svete, a tak :)
/snajpa
On 03/17/2014 11:54 PM, Pavel Snajdr wrote:
Ahojte,
jak jsem tu zminil uz sice jako OT v diskuzi s Ondrou, mnozi se nam security issues.
Bezpecnost systemu na verejne dostupnem Internetu v roce 2014 "neni prdel". Fakt si nedelam srandu, ta uz skoncila.
Mate system na verejnem Internetu, mate za nej zodpovednost.
Vetsina lidi, co se vubec obtezuje prihlasit do nasich ML pojem o bezpecnosti ma, takze to neberte, ze sirim hromy blesky spatnym smerem.
Pisu to proto, ze hledam lidi, kteri si opravdu vezmou na starost pripravit kvalitni sbirku linku nebo kratkych navodu, jak kompletne zabezpecit nase nejbeznejsi distribuce - tedy Debian, Ubuntu a CentOS se vsema nejpouzivanejsima sluzbama.
Prioritou je CZ/SK jazyk, kdyz se fakt neda jinak, tak zkousneme i anglicke zdroje.
Primarne jde o to udelat a udrzovat opravdu aktualni, ucelenou kolekci, ktere se muze chytit i zacatecnik a mit jistotu, ze muze spat aspon tak klidne, jako my v tom adminskym cechu dyl pusobici.
Jelikoz tohle opravdu hodne chceme, jsme ochotni zaplatit klidne hodinovku tomu, kdo si to vezme na starost a opravdu kvalitne to zpracuje.
IMHO to vola po necem na zpusob vpsFree-CIRT.
Co vim, Ondra by byl dobrej kandidat - nasel by si cas?
Je vas tu vic takovejch, co jsou security-aware a co vam neni cizi i obcas neco vysvetlit ostatnim, prosim, zapojte se.
Tenhle material potom bude soucasti kazdyho uvodniho mailu, 400px fontem, tucne, kurzivou a podrtrzene comic sans ruzovou barvou na cernym pozadi, aby si toho kazdej vsimnul.
Ok, to uz si delam srandu, ale o cem mluvim sranda neni, tohle je serious, musime delat lepsi osvetu, jinak se nam ty hacky a DoSy a svinstva budou akorat mnozit. To nechce myslim nikdo z nas :)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1 Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
iF4EAREIAAYFAlMnfucACgkQMBKdi9lkZ6q5MgD/Xf5sp9rOIrbqyIWvFfVZdTym zmNwwb8Ff9SblYcq0jkA/04OGoYuA4Jxy9lN/+oAEsqR+afislUvEJ+Adoiua9lr =qrXg -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahoj, zajímavý soubor odkazů na tom linuxexpres.cz, ale asi až moc komplexní. Snajpa určitě ocení že součástí seriálu je i nastavení TOR serveru ;).
Přiznávám že při prvnotním nastavování sem hledal informace po různu. Ne vše vždy zafungovalo. Takže bych byl pro jednodušší návody aplikovatelné přímo na instalace distribucí které používáme (alespoň pro ty nejpoužívanější).
Např. k zlepšení nastavení mailového serveru mi donutil až SPAM (v objemu až 1700 mailů denně a nebavilo mi to mazat ). A přitom kdybych to měl nastaveno od začátku správně tak bych byl v pohodě rovnou, jenže dokud problém nevznikne tak o něm člověk ani neví.
Možná by bylo i zajímavý sdílet info o pokusech o hádání přístupů na SSH nebo mail a automaticky blokovat ? (Podle logu na serveru se stále někdo snaží a seznam blokovaných ipček mi roste a roste).
David
---------- Původní zpráva ---------- Od: ondra.gersl@gmail.com Komu: vpsFree.cz Community list community-list@lists.vpsfree.cz Datum: 18. 3. 2014 0:10:16 Předmět: Re: [vpsFree.cz: community-list] Security navod pro mene zdatne wanted
"
Ahoj,
všem, kteří si nejsou v nastavování serveru a jeho služeb úplně jistí, doporučuji pročíst seriál Správa linuxového serveru, kterou napsal Michal Dočekal pro server linuxexpres.cz(http://linuxexpres.cz) - http://www. linuxexpres.cz/praxe/sprava-linuxoveho-serveru (http://www.linuxexpres.cz/praxe/sprava-linuxoveho-serveru) Zvláště doporučuji si projít "Praktické rady pro zabezpečení (nejen) SSH".
Dne 18. března 2014 0:01 Pavel Snajdr <snajpa@snajpa.net (mailto:snajpa@snajpa.net)> napsal(a): " -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Upresneni:
Nejde mi o kvantitu. Prave naopak, musi to bejt co nejkratsi a doba nutna pro solidni zabezpeceni musi bejt co nejmensi.
Nemirime na ultra-total-paranoid setup, to se v nasich podminkach pri kontejnerech ani udelat neda.
Jde o to snadno a efektivne provest zacatecnika zabezpecenim VPSky v nasich podminkach, presne tak, jak to sedi na nase prostredi a na nejbeznejc deployovany sluzby u nas.
LAMP stack, dalsi nejbeznejsi web stacky, mail, bezne databaze, minecrafty a podobne.
To zabezpeceni musi bejt co nejmin intruzivni co se tyce pouzivani a adminovani toho VPS potom. Zamek, ktery musim otacet 40x, aby dozamknul, pokazde zamykat nebudu, kdyz odchazim jenom na 10s.. jsme lidi a je potreba to tak brat.
Proto je potreba tu bezpecnost demystifikovat, udelat z toho neco, co i beznej Franta Zacinajici Admin muze mit a praktikovat. Netreba hned zachazet do veci jako trilion-nasobna autentizace pres 10 hopu po svete, a tak :)
/snajpa
On 03/17/2014 11:54 PM, Pavel Snajdr wrote:
Ahojte,
jak jsem tu zminil uz sice jako OT v diskuzi s Ondrou, mnozi se nam security issues.
Bezpecnost systemu na verejne dostupnem Internetu v roce 2014 "neni prdel". Fakt si nedelam srandu, ta uz skoncila.
Mate system na verejnem Internetu, mate za nej zodpovednost.
Vetsina lidi, co se vubec obtezuje prihlasit do nasich ML pojem o bezpecnosti ma, takze to neberte, ze sirim hromy blesky spatnym smerem.
Pisu to proto, ze hledam lidi, kteri si opravdu vezmou na starost pripravit kvalitni sbirku linku nebo kratkych navodu, jak kompletne zabezpecit nase nejbeznejsi distribuce - tedy Debian, Ubuntu a CentOS se vsema nejpouzivanejsima sluzbama.
Prioritou je CZ/SK jazyk, kdyz se fakt neda jinak, tak zkousneme i anglicke zdroje.
Primarne jde o to udelat a udrzovat opravdu aktualni, ucelenou kolekci, ktere se muze chytit i zacatecnik a mit jistotu, ze muze spat aspon tak klidne, jako my v tom adminskym cechu dyl pusobici.
Jelikoz tohle opravdu hodne chceme, jsme ochotni zaplatit klidne hodinovku tomu, kdo si to vezme na starost a opravdu kvalitne to zpracuje.
IMHO to vola po necem na zpusob vpsFree-CIRT.
Co vim, Ondra by byl dobrej kandidat - nasel by si cas?
Je vas tu vic takovejch, co jsou security-aware a co vam neni cizi i obcas neco vysvetlit ostatnim, prosim, zapojte se.
Tenhle material potom bude soucasti kazdyho uvodniho mailu, 400px fontem, tucne, kurzivou a podrtrzene comic sans ruzovou barvou na cernym pozadi, aby si toho kazdej vsimnul.
Ok, to uz si delam srandu, ale o cem mluvim sranda neni, tohle je serious, musime delat lepsi osvetu, jinak se nam ty hacky a DoSy a svinstva budou akorat mnozit. To nechce myslim nikdo z nas :)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com
http://vpsfree.cz(http://vpsfree.cz) | https://www.redhat.com
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz
(mailto:Community-list@lists.vpsfree.cz)
(http://lists.vpsfree.cz/listinfo/community-list)
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz(mailto:Community-list@lists.vpsfree.cz) http://lists.vpsfree.cz/listinfo/community-list (http://lists.vpsfree.cz/listinfo/community-list) "
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list"
Např. k zlepšení nastavení mailového serveru mi donutil až SPAM (v objemu až 1700 mailů denně a nebavilo mi to mazat ). A přitom kdybych to měl nastaveno od začátku správně tak bych byl v pohodě rovnou, jenže dokud problém nevznikne tak o něm člověk ani neví.
Možná by bylo i zajímavý sdílet info o pokusech o hádání přístupů na SSH nebo mail a automaticky blokovat ? (Podle logu na serveru se stále někdo snaží a seznam blokovaných ipček mi roste a roste).
Co se mailů týče, tak na přijímací straně takové sdílené info už existuje - RBL. Použitelných blacklistů je několik a ze zkušenosti můžu říct, že jsou docela účinné.
Na hádání přihlašovacích údajů na SSH se nechá velice snadno použít fail2ban (velice snadno = apt-get install a úprava jednoho konfiguráku). Hádám, že vzorová konfigurace pro hádání hesel na odesílání pošty tam bude taky.
V případě fail2ban se ty IP adresy snad ani nevyplatí v rámci sdružení sdílet - IP adresy VPS jsou těsně vedle sebe, než stihnu někam něco prásknout, už bude dávno o tři stroje dál. (To jedině kdyby se jednalo o něco většího - ve smyslu víc organizací, které by navzájem sdílely IP adresy, ze kterých se někdo o něco pokoušel. Ale pochybuju, že toho by se někdo chtěl účastnit.)
Súhlasím.
Myslím, že to minimum je návod aspoň "Zabezpečení linuxového serveru" od Petr Krcmář. Ak sa podaria aj ďalšie skvelé návody na bezpečnosť linux servera, určite ich implementujem. Stabilita je základ, a keď vidím tie výpadky v Prahe, tak som rád že to mám v Brne, okrem iného.
S pozdravom,
*Peter Bačinský* konateľ spoločnosti
*Webino, s. r. o.* Železničná 152/75 90024 Veľký Biel Slovensko
*Web stránky a internetové aplikácie pre Vaše podnikanie.*
+421 918 641 804, info@webino.sk mailto:info@webino.sk, www.webino.sk http://www.webino.sk/
------------------------------------------------------------------------
*PROSÍM ZACHOVÁVAJTE HISTÓRIU V SPRÁVE, ĎAKUJEM*
On 03/17/2014 11:54 PM, Pavel Snajdr wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahojte,
jak jsem tu zminil uz sice jako OT v diskuzi s Ondrou, mnozi se nam security issues.
Bezpecnost systemu na verejne dostupnem Internetu v roce 2014 "neni prdel". Fakt si nedelam srandu, ta uz skoncila.
Mate system na verejnem Internetu, mate za nej zodpovednost.
Vetsina lidi, co se vubec obtezuje prihlasit do nasich ML pojem o bezpecnosti ma, takze to neberte, ze sirim hromy blesky spatnym smerem.
Pisu to proto, ze hledam lidi, kteri si opravdu vezmou na starost pripravit kvalitni sbirku linku nebo kratkych navodu, jak kompletne zabezpecit nase nejbeznejsi distribuce - tedy Debian, Ubuntu a CentOS se vsema nejpouzivanejsima sluzbama.
Prioritou je CZ/SK jazyk, kdyz se fakt neda jinak, tak zkousneme i anglicke zdroje.
Primarne jde o to udelat a udrzovat opravdu aktualni, ucelenou kolekci, ktere se muze chytit i zacatecnik a mit jistotu, ze muze spat aspon tak klidne, jako my v tom adminskym cechu dyl pusobici.
Jelikoz tohle opravdu hodne chceme, jsme ochotni zaplatit klidne hodinovku tomu, kdo si to vezme na starost a opravdu kvalitne to zpracuje.
IMHO to vola po necem na zpusob vpsFree-CIRT.
Co vim, Ondra by byl dobrej kandidat - nasel by si cas?
Je vas tu vic takovejch, co jsou security-aware a co vam neni cizi i obcas neco vysvetlit ostatnim, prosim, zapojte se.
Tenhle material potom bude soucasti kazdyho uvodniho mailu, 400px fontem, tucne, kurzivou a podrtrzene comic sans ruzovou barvou na cernym pozadi, aby si toho kazdej vsimnul.
Ok, to uz si delam srandu, ale o cem mluvim sranda neni, tohle je serious, musime delat lepsi osvetu, jinak se nam ty hacky a DoSy a svinstva budou akorat mnozit. To nechce myslim nikdo z nas :)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com -----BEGIN PGP SIGNATURE----- Version: GnuPG v1 Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
iF4EAREIAAYFAlMnfQwACgkQMBKdi9lkZ6q+VwD/bmvSCZESJIGdU1Qmv5gIvYG1 9bvwFEAkSSasO5faFBsA/iqEuQVX0oMdCnXuNhTjxgL0nPK7JkEsDtb9+61EwGXe =wM8R -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
@ nestabilita + par dalsich veci:
Meli jsme ted hodne smulu na zabugovany verze jadra a par dalsich komponent. ZFS tomu taky hlavne zezacatku nepomohlo. S tim, jak uz mam proctenou nejakou cast kodu, zacinam postupne rozumet lip tomu, co ZFS potrebuje a tak uz je v klidu. Ted uz se pomalu dostavam do faze, ze budu moct uz akorat zacit merit, kolikrat lepsi nez vsechny linuxovy FS dohromady to je :)
Taky je par featur, ktere nam v ZFS chybi, aktualne hlavne podpora uzivatelskych kvot - bude mym cilem @Relbit dovest cloveka, co mame nove na vyvoj ZFS, ke zdarnemu naplneni tohohle cile jako jeho iniciace do taju ZFS, takze z toho snad vypadne neco pozitivniho pro i vpsFree :) (samozrejme jdeme po tom mit vsechno upstream).
Uz mam vyreseny IO accounting (+ limitovani zlobicich VPS), posix ACL, chystam se otestovat posledni fixy smerem k send/receive. Zatim ale tohle vsechno neni nasazene, musim to zabalikovat, otestovat a pak nasadit.
S tim testovanim je to osemetne. Nejlepsi test je realna zatez, ale to spatne snasi hlavne komercne pouzivane VPS. A divit se jim neda, mne by to stvalo taky. Produkce proste musi bezet.
Uvazoval jsem, ze bychom dali jeden normalnejsi server na playground, oproti tem orezavatkum, co jsou tam ted.
Ale to by potom chtelo, aby se nasli dobrovolnici, co by si tam nechali bezet napr. repliku svoji aplikace a nejak na ni generovali prumernou zatez, co maji. Takove playground VPS muzeme delat s zadnou nebo hodne dlouhou expiraci (pulrok/rok), podle toho, jak to pujde.
Tzn. muzete zacit uvazovat, kdo do toho chcete jit a ja se ozvu, jakmile to pretavim do reality :)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 03/18/2014 12:03 AM, Peter Bačinský wrote:
Súhlasím.
Myslím, že to minimum je návod aspoň "Zabezpečení linuxového serveru" od Petr Krcmář. Ak sa podaria aj ďalšie skvelé návody na bezpečnosť linux servera, určite ich implementujem. Stabilita je základ, a keď vidím tie výpadky v Prahe, tak som rád že to mám v Brne, okrem iného.
S pozdravom,
*Peter Bačinský* konateľ spoločnosti
*Webino, s. r. o.* Železničná 152/75 90024 Veľký Biel Slovensko
*Web stránky a internetové aplikácie pre Vaše podnikanie.*
+421 918 641 804, info@webino.sk mailto:info@webino.sk, www.webino.sk http://www.webino.sk/
*PROSÍM ZACHOVÁVAJTE HISTÓRIU V SPRÁVE, ĎAKUJEM*
On 03/17/2014 11:54 PM, Pavel Snajdr wrote: Ahojte,
jak jsem tu zminil uz sice jako OT v diskuzi s Ondrou, mnozi se nam security issues.
Bezpecnost systemu na verejne dostupnem Internetu v roce 2014 "neni prdel". Fakt si nedelam srandu, ta uz skoncila.
Mate system na verejnem Internetu, mate za nej zodpovednost.
Vetsina lidi, co se vubec obtezuje prihlasit do nasich ML pojem o bezpecnosti ma, takze to neberte, ze sirim hromy blesky spatnym smerem.
Pisu to proto, ze hledam lidi, kteri si opravdu vezmou na starost pripravit kvalitni sbirku linku nebo kratkych navodu, jak kompletne zabezpecit nase nejbeznejsi distribuce - tedy Debian, Ubuntu a CentOS se vsema nejpouzivanejsima sluzbama.
Prioritou je CZ/SK jazyk, kdyz se fakt neda jinak, tak zkousneme i anglicke zdroje.
Primarne jde o to udelat a udrzovat opravdu aktualni, ucelenou kolekci, ktere se muze chytit i zacatecnik a mit jistotu, ze muze spat aspon tak klidne, jako my v tom adminskym cechu dyl pusobici.
Jelikoz tohle opravdu hodne chceme, jsme ochotni zaplatit klidne hodinovku tomu, kdo si to vezme na starost a opravdu kvalitne to zpracuje.
IMHO to vola po necem na zpusob vpsFree-CIRT.
Co vim, Ondra by byl dobrej kandidat - nasel by si cas?
Je vas tu vic takovejch, co jsou security-aware a co vam neni cizi i obcas neco vysvetlit ostatnim, prosim, zapojte se.
Tenhle material potom bude soucasti kazdyho uvodniho mailu, 400px fontem, tucne, kurzivou a podrtrzene comic sans ruzovou barvou na cernym pozadi, aby si toho kazdej vsimnul.
Ok, to uz si delam srandu, ale o cem mluvim sranda neni, tohle je serious, musime delat lepsi osvetu, jinak se nam ty hacky a DoSy a svinstva budou akorat mnozit. To nechce myslim nikdo z nas :)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Dobrovoľne sa hlásim na ten testovací playground. Vedel by som tam monitoring toolom spraviť nejaký web scenario, ktorý by generoval záťaž a zároveň by vyhodnocoval tú dostupnosť/rýchlosť odozvy. Prípadne na tých webkách môžem spúšťať súčasne aj crawler cez cron.
S pozdravom,
*Peter Bačinský* konateľ spoločnosti
*Webino, s. r. o.* Železničná 152/75 90024 Veľký Biel Slovensko
*Web stránky a internetové aplikácie pre Vaše podnikanie.*
+421 918 641 804, info@webino.sk mailto:info@webino.sk, www.webino.sk http://www.webino.sk/
------------------------------------------------------------------------
*PROSÍM ZACHOVÁVAJTE HISTÓRIU V SPRÁVE, ĎAKUJEM*
On 03/18/2014 01:13 AM, Pavel Snajdr wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
@ nestabilita + par dalsich veci:
Meli jsme ted hodne smulu na zabugovany verze jadra a par dalsich komponent. ZFS tomu taky hlavne zezacatku nepomohlo. S tim, jak uz mam proctenou nejakou cast kodu, zacinam postupne rozumet lip tomu, co ZFS potrebuje a tak uz je v klidu. Ted uz se pomalu dostavam do faze, ze budu moct uz akorat zacit merit, kolikrat lepsi nez vsechny linuxovy FS dohromady to je :)
Taky je par featur, ktere nam v ZFS chybi, aktualne hlavne podpora uzivatelskych kvot - bude mym cilem @Relbit dovest cloveka, co mame nove na vyvoj ZFS, ke zdarnemu naplneni tohohle cile jako jeho iniciace do taju ZFS, takze z toho snad vypadne neco pozitivniho pro i vpsFree :) (samozrejme jdeme po tom mit vsechno upstream).
Uz mam vyreseny IO accounting (+ limitovani zlobicich VPS), posix ACL, chystam se otestovat posledni fixy smerem k send/receive. Zatim ale tohle vsechno neni nasazene, musim to zabalikovat, otestovat a pak nasadit.
S tim testovanim je to osemetne. Nejlepsi test je realna zatez, ale to spatne snasi hlavne komercne pouzivane VPS. A divit se jim neda, mne by to stvalo taky. Produkce proste musi bezet.
Uvazoval jsem, ze bychom dali jeden normalnejsi server na playground, oproti tem orezavatkum, co jsou tam ted.
Ale to by potom chtelo, aby se nasli dobrovolnici, co by si tam nechali bezet napr. repliku svoji aplikace a nejak na ni generovali prumernou zatez, co maji. Takove playground VPS muzeme delat s zadnou nebo hodne dlouhou expiraci (pulrok/rok), podle toho, jak to pujde.
Tzn. muzete zacit uvazovat, kdo do toho chcete jit a ja se ozvu, jakmile to pretavim do reality :)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 03/18/2014 12:03 AM, Peter Bačinský wrote:
Súhlasím.
Myslím, že to minimum je návod aspoň "Zabezpečení linuxového serveru" od Petr Krcmář. Ak sa podaria aj ďalšie skvelé návody na bezpečnosť linux servera, určite ich implementujem. Stabilita je základ, a keď vidím tie výpadky v Prahe, tak som rád že to mám v Brne, okrem iného.
S pozdravom,
*Peter Bačinský* konateľ spoločnosti
*Webino, s. r. o.* Železničná 152/75 90024 Veľký Biel Slovensko
*Web stránky a internetové aplikácie pre Vaše podnikanie.*
+421 918 641 804, info@webino.sk mailto:info@webino.sk, www.webino.sk http://www.webino.sk/
*PROSÍM ZACHOVÁVAJTE HISTÓRIU V SPRÁVE, ĎAKUJEM*
On 03/17/2014 11:54 PM, Pavel Snajdr wrote: Ahojte,
jak jsem tu zminil uz sice jako OT v diskuzi s Ondrou, mnozi se nam security issues.
Bezpecnost systemu na verejne dostupnem Internetu v roce 2014 "neni prdel". Fakt si nedelam srandu, ta uz skoncila.
Mate system na verejnem Internetu, mate za nej zodpovednost.
Vetsina lidi, co se vubec obtezuje prihlasit do nasich ML pojem o bezpecnosti ma, takze to neberte, ze sirim hromy blesky spatnym smerem.
Pisu to proto, ze hledam lidi, kteri si opravdu vezmou na starost pripravit kvalitni sbirku linku nebo kratkych navodu, jak kompletne zabezpecit nase nejbeznejsi distribuce - tedy Debian, Ubuntu a CentOS se vsema nejpouzivanejsima sluzbama.
Prioritou je CZ/SK jazyk, kdyz se fakt neda jinak, tak zkousneme i anglicke zdroje.
Primarne jde o to udelat a udrzovat opravdu aktualni, ucelenou kolekci, ktere se muze chytit i zacatecnik a mit jistotu, ze muze spat aspon tak klidne, jako my v tom adminskym cechu dyl pusobici.
Jelikoz tohle opravdu hodne chceme, jsme ochotni zaplatit klidne hodinovku tomu, kdo si to vezme na starost a opravdu kvalitne to zpracuje.
IMHO to vola po necem na zpusob vpsFree-CIRT.
Co vim, Ondra by byl dobrej kandidat - nasel by si cas?
Je vas tu vic takovejch, co jsou security-aware a co vam neni cizi i obcas neco vysvetlit ostatnim, prosim, zapojte se.
Tenhle material potom bude soucasti kazdyho uvodniho mailu, 400px fontem, tucne, kurzivou a podrtrzene comic sans ruzovou barvou na cernym pozadi, aby si toho kazdej vsimnul.
Ok, to uz si delam srandu, ale o cem mluvim sranda neni, tohle je serious, musime delat lepsi osvetu, jinak se nam ty hacky a DoSy a svinstva budou akorat mnozit. To nechce myslim nikdo z nas :)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1 Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
iF4EAREIAAYFAlMnj4oACgkQMBKdi9lkZ6rUHgD/RLs7zQVxyM6G9bGz3Xak0c5j fllzlHeOtPzcsKGRJsQBANVDx7AMkSdd+hBR8TpWJONXiUU7jqHmw/tVl4yiDwKi =dghf -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Už to začíná být trochu OT ;-)
Napadlo mě, že zrovna u mě by asi šlo abych na nějaký takový stroj dal např. záložní Nagios, MX a DNS, director Baculy, administrační věci, ... prostě věci u kterých nevadí když semtam na 15minut upadnou. Taky mám samozřejmě různý webíky, mailboxy, ... za který nikdo neplatí, jsou to věci kamarádů, takže by šly taky dát tam, nejsou to kritický věci. Jde mi o to, že pokud bys věděl, že to je sice stabilní a otestovaný vývojářem, ale chce to prostě otestovat naostro a budeš schopen s určitou mírou jistoty specifikovat, že výpadky nebudou "moc často" a případný step back po tvrdém pádu by nezabral víc jak 10-15 minut a další testovací nasazení nebude dřív než za třebva 6 hodin, tak si dovedu představit mít jednu VPSku na takovém testing stroji a klidně za ní i třeba platit (nějakou menší částku než na stable).
Štěpán.
Dne 18.3.2014 2:44, Peter Bačinský napsal(a):
Dobrovoľne sa hlásim na ten testovací playground. Vedel by som tam
monitoring toolom spraviť nejaký web scenario, ktorý by generoval záťaž a zároveň by vyhodnocoval tú dostupnosť/rýchlosť odozvy. Prípadne na tých webkách môžem spúšťať súčasne aj crawler cez cron.
S pozdravom,
*Peter Bačinský* konateľ spoločnosti
*Webino, s. r. o.* Železničná 152/75 90024 Veľký Biel Slovensko
*Web stránky a internetové aplikácie pre Vaše podnikanie.*
+421 918 641 804, info@webino.sk mailto:info@webino.sk,
www.webino.sk http://www.webino.sk/
*PROSÍM ZACHOVÁVAJTE HISTÓRIU V SPRÁVE, ĎAKUJEM*
On 03/18/2014 01:13 AM, Pavel Snajdr wrote: @ nestabilita + par dalsich veci:
Meli jsme ted hodne smulu na zabugovany verze jadra a par dalsich komponent. ZFS tomu taky hlavne zezacatku nepomohlo. S tim, jak uz mam proctenou nejakou cast kodu, zacinam postupne rozumet lip tomu, co ZFS potrebuje a tak uz je v klidu. Ted uz se pomalu dostavam do faze, ze budu moct uz akorat zacit merit, kolikrat lepsi nez vsechny linuxovy FS dohromady to je :)
Taky je par featur, ktere nam v ZFS chybi, aktualne hlavne podpora uzivatelskych kvot - bude mym cilem @Relbit dovest cloveka, co mame nove na vyvoj ZFS, ke zdarnemu naplneni tohohle cile jako jeho iniciace do taju ZFS, takze z toho snad vypadne neco pozitivniho pro i vpsFree :) (samozrejme jdeme po tom mit vsechno upstream).
Uz mam vyreseny IO accounting (+ limitovani zlobicich VPS), posix ACL, chystam se otestovat posledni fixy smerem k send/receive. Zatim ale tohle vsechno neni nasazene, musim to zabalikovat, otestovat a pak nasadit.
S tim testovanim je to osemetne. Nejlepsi test je realna zatez, ale to spatne snasi hlavne komercne pouzivane VPS. A divit se jim neda, mne by to stvalo taky. Produkce proste musi bezet.
Uvazoval jsem, ze bychom dali jeden normalnejsi server na playground, oproti tem orezavatkum, co jsou tam ted.
Ale to by potom chtelo, aby se nasli dobrovolnici, co by si tam nechali bezet napr. repliku svoji aplikace a nejak na ni generovali prumernou zatez, co maji. Takove playground VPS muzeme delat s zadnou nebo hodne dlouhou expiraci (pulrok/rok), podle toho, jak to pujde.
Tzn. muzete zacit uvazovat, kdo do toho chcete jit a ja se ozvu, jakmile to pretavim do reality :)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 03/18/2014 12:03 AM, Peter Bačinský wrote:
Súhlasím.
Myslím, že to minimum je návod aspoň "Zabezpečení linuxového serveru" od Petr Krcmář. Ak sa podaria aj ďalšie skvelé návody na bezpečnosť linux servera, určite ich implementujem. Stabilita je základ, a keď vidím tie výpadky v Prahe, tak som rád že to mám v Brne, okrem iného.
S pozdravom,
*Peter Bačinský* konateľ spoločnosti
*Webino, s. r. o.* Železničná 152/75 90024 Veľký Biel Slovensko
*Web stránky a internetové aplikácie pre Vaše podnikanie.*
+421 918 641 804, info@webino.sk mailto:info@webino.sk, www.webino.sk http://www.webino.sk/
*PROSÍM ZACHOVÁVAJTE HISTÓRIU V SPRÁVE, ĎAKUJEM*
On 03/17/2014 11:54 PM, Pavel Snajdr wrote: Ahojte,
jak jsem tu zminil uz sice jako OT v diskuzi s Ondrou, mnozi se nam security issues.
Bezpecnost systemu na verejne dostupnem Internetu v roce 2014 "neni prdel". Fakt si nedelam srandu, ta uz skoncila.
Mate system na verejnem Internetu, mate za nej zodpovednost.
Vetsina lidi, co se vubec obtezuje prihlasit do nasich ML pojem o bezpecnosti ma, takze to neberte, ze sirim hromy blesky spatnym smerem.
Pisu to proto, ze hledam lidi, kteri si opravdu vezmou na starost pripravit kvalitni sbirku linku nebo kratkych navodu, jak kompletne zabezpecit nase nejbeznejsi distribuce - tedy Debian, Ubuntu a CentOS se vsema nejpouzivanejsima sluzbama.
Prioritou je CZ/SK jazyk, kdyz se fakt neda jinak, tak zkousneme i anglicke zdroje.
Primarne jde o to udelat a udrzovat opravdu aktualni, ucelenou kolekci, ktere se muze chytit i zacatecnik a mit jistotu, ze muze spat aspon tak klidne, jako my v tom adminskym cechu dyl pusobici.
Jelikoz tohle opravdu hodne chceme, jsme ochotni zaplatit klidne hodinovku tomu, kdo si to vezme na starost a opravdu kvalitne to zpracuje.
IMHO to vola po necem na zpusob vpsFree-CIRT.
Co vim, Ondra by byl dobrej kandidat - nasel by si cas?
Je vas tu vic takovejch, co jsou security-aware a co vam neni cizi i obcas neco vysvetlit ostatnim, prosim, zapojte se.
Tenhle material potom bude soucasti kazdyho uvodniho mailu, 400px fontem, tucne, kurzivou a podrtrzene comic sans ruzovou barvou na cernym pozadi, aby si toho kazdej vsimnul.
Ok, to uz si delam srandu, ale o cem mluvim sranda neni, tohle je serious, musime delat lepsi osvetu, jinak se nam ty hacky a DoSy a svinstva budou akorat mnozit. To nechce myslim nikdo z nas :)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahojte,
rád bych vám pomohl s testováním, ale na mé vps nemám žádný provoz, běží tam pouze Apache a MySQL server. Nemám tu nic kritického, pouze svoje weby s minimální návštěvností a tudiž s malou zátěží.
I kdyby vám to pomohlo, ozvěte se.
Petr
Dne 18. března 2014 13:07 Stepan Liska stepan@comlinks.cz napsal(a):
Už to začíná být trochu OT ;-)
Napadlo mě, že zrovna u mě by asi šlo abych na nějaký takový stroj dal např. záložní Nagios, MX a DNS, director Baculy, administrační věci, ... prostě věci u kterých nevadí když semtam na 15minut upadnou. Taky mám samozřejmě různý webíky, mailboxy, ... za který nikdo neplatí, jsou to věci kamarádů, takže by šly taky dát tam, nejsou to kritický věci. Jde mi o to, že pokud bys věděl, že to je sice stabilní a otestovaný vývojářem, ale chce to prostě otestovat naostro a budeš schopen s určitou mírou jistoty specifikovat, že výpadky nebudou "moc často" a případný step back po tvrdém pádu by nezabral víc jak 10-15 minut a další testovací nasazení nebude dřív než za třebva 6 hodin, tak si dovedu představit mít jednu VPSku na takovém testing stroji a klidně za ní i třeba platit (nějakou menší částku než na stable).
Štěpán.
Dne 18.3.2014 2:44, Peter Bačinský napsal(a):
Dobrovoľne sa hlásim na ten testovací playground. Vedel by som tam
monitoring toolom spraviť nejaký web scenario, ktorý by generoval záťaž a zároveň by vyhodnocoval tú dostupnosť/rýchlosť odozvy. Prípadne na tých webkách môžem spúšťať súčasne aj crawler cez cron.
S pozdravom,
*Peter Bačinský* konateľ spoločnosti
*Webino, s. r. o.* Železničná 152/75 90024 Veľký Biel Slovensko
*Web stránky a internetové aplikácie pre Vaše podnikanie.*
+421 918 641 804, info@webino.sk mailto:info@webino.skinfo@webino.sk,
www.webino.sk http://www.webino.sk/ http://www.webino.sk/
*PROSÍM ZACHOVÁVAJTE HISTÓRIU V SPRÁVE, ĎAKUJEM*
On 03/18/2014 01:13 AM, Pavel Snajdr wrote:
@ nestabilita + par dalsich veci:
Meli jsme ted hodne smulu na zabugovany verze jadra a par dalsich komponent. ZFS tomu taky hlavne zezacatku nepomohlo. S tim, jak uz mam proctenou nejakou cast kodu, zacinam postupne rozumet lip tomu, co ZFS potrebuje a tak uz je v klidu. Ted uz se pomalu dostavam do faze, ze budu moct uz akorat zacit merit, kolikrat lepsi nez vsechny linuxovy FS dohromady to je :)
Taky je par featur, ktere nam v ZFS chybi, aktualne hlavne podpora uzivatelskych kvot - bude mym cilem @Relbit dovest cloveka, co mame nove na vyvoj ZFS, ke zdarnemu naplneni tohohle cile jako jeho iniciace do taju ZFS, takze z toho snad vypadne neco pozitivniho pro i vpsFree :) (samozrejme jdeme po tom mit vsechno upstream).
Uz mam vyreseny IO accounting (+ limitovani zlobicich VPS), posix ACL, chystam se otestovat posledni fixy smerem k send/receive. Zatim ale tohle vsechno neni nasazene, musim to zabalikovat, otestovat a pak nasadit.
S tim testovanim je to osemetne. Nejlepsi test je realna zatez, ale to spatne snasi hlavne komercne pouzivane VPS. A divit se jim neda, mne by to stvalo taky. Produkce proste musi bezet.
Uvazoval jsem, ze bychom dali jeden normalnejsi server na playground, oproti tem orezavatkum, co jsou tam ted.
Ale to by potom chtelo, aby se nasli dobrovolnici, co by si tam nechali bezet napr. repliku svoji aplikace a nejak na ni generovali prumernou zatez, co maji. Takove playground VPS muzeme delat s zadnou nebo hodne dlouhou expiraci (pulrok/rok), podle toho, jak to pujde.
Tzn. muzete zacit uvazovat, kdo do toho chcete jit a ja se ozvu, jakmile to pretavim do reality :)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 03/18/2014 12:03 AM, Peter Bačinský wrote:
Súhlasím.
Myslím, že to minimum je návod aspoň "Zabezpečení linuxového serveru" od Petr Krcmář. Ak sa podaria aj ďalšie skvelé návody na bezpečnosť linux servera, určite ich implementujem. Stabilita je základ, a keď vidím tie výpadky v Prahe, tak som rád že to mám v Brne, okrem iného.
S pozdravom,
*Peter Bačinský* konateľ spoločnosti
*Webino, s. r. o.* Železničná 152/75 90024 Veľký Biel Slovensko
*Web stránky a internetové aplikácie pre Vaše podnikanie.*
+421 918 641 804, info@webino.sk mailto:info@webino.skinfo@webino.sk
,
www.webino.sk http://www.webino.sk/ http://www.webino.sk/
*PROSÍM ZACHOVÁVAJTE HISTÓRIU V SPRÁVE, ĎAKUJEM*
On 03/17/2014 11:54 PM, Pavel Snajdr wrote: Ahojte,
jak jsem tu zminil uz sice jako OT v diskuzi s Ondrou, mnozi se nam security issues.
Bezpecnost systemu na verejne dostupnem Internetu v roce 2014 "neni prdel". Fakt si nedelam srandu, ta uz skoncila.
Mate system na verejnem Internetu, mate za nej zodpovednost.
Vetsina lidi, co se vubec obtezuje prihlasit do nasich ML pojem o bezpecnosti ma, takze to neberte, ze sirim hromy blesky spatnym smerem.
Pisu to proto, ze hledam lidi, kteri si opravdu vezmou na starost pripravit kvalitni sbirku linku nebo kratkych navodu, jak kompletne zabezpecit nase nejbeznejsi distribuce - tedy Debian, Ubuntu a CentOS se vsema nejpouzivanejsima sluzbama.
Prioritou je CZ/SK jazyk, kdyz se fakt neda jinak, tak zkousneme i anglicke zdroje.
Primarne jde o to udelat a udrzovat opravdu aktualni, ucelenou kolekci, ktere se muze chytit i zacatecnik a mit jistotu, ze muze spat aspon tak klidne, jako my v tom adminskym cechu dyl pusobici.
Jelikoz tohle opravdu hodne chceme, jsme ochotni zaplatit klidne hodinovku tomu, kdo si to vezme na starost a opravdu kvalitne to zpracuje.
IMHO to vola po necem na zpusob vpsFree-CIRT.
Co vim, Ondra by byl dobrej kandidat - nasel by si cas?
Je vas tu vic takovejch, co jsou security-aware a co vam neni cizi i obcas neco vysvetlit ostatnim, prosim, zapojte se.
Tenhle material potom bude soucasti kazdyho uvodniho mailu, 400px fontem, tucne, kurzivou a podrtrzene comic sans ruzovou barvou na cernym pozadi, aby si toho kazdej vsimnul.
Ok, to uz si delam srandu, ale o cem mluvim sranda neni, tohle je serious, musime delat lepsi osvetu, jinak se nam ty hacky a DoSy a svinstva budou akorat mnozit. To nechce myslim nikdo z nas :)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
--
- štěpán liška - comlinks s.r.o. *
(sw,hw,net,web,linux) tel.: +420 777 747 997 mail: stepan@comlinks.cz web: http://www.comlinks.cz/
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Dne 18.3.2014 00:03, Peter Bačinský napsal(a):
Súhlasím.
Myslím, že to minimum je návod aspoň "Zabezpečení linuxového serveru" od Petr Krcmář. Ak sa podaria aj ďalšie skvelé návody na bezpečnosť linux servera, určite ich implementujem. Stabilita je základ, a keď vidím tie výpadky v Prahe, tak som rád že to mám v Brne, okrem iného.
S pozdravom,
*Peter Bačinský* konateľ spoločnosti
*Webino, s. r. o.* Železničná 152/75 90024 Veľký Biel Slovensko
*Web stránky a internetové aplikácie pre Vaše podnikanie.*
+421 918 641 804, info@webino.sk mailto:info@webino.sk, www.webino.sk http://www.webino.sk/
*PROSÍM ZACHOVÁVAJTE HISTÓRIU V SPRÁVE, ĎAKUJEM*
On 03/17/2014 11:54 PM, Pavel Snajdr wrote: Ahojte,
jak jsem tu zminil uz sice jako OT v diskuzi s Ondrou, mnozi se nam security issues.
Bezpecnost systemu na verejne dostupnem Internetu v roce 2014 "neni prdel". Fakt si nedelam srandu, ta uz skoncila.
Mate system na verejnem Internetu, mate za nej zodpovednost.
Vetsina lidi, co se vubec obtezuje prihlasit do nasich ML pojem o bezpecnosti ma, takze to neberte, ze sirim hromy blesky spatnym smerem.
Pisu to proto, ze hledam lidi, kteri si opravdu vezmou na starost pripravit kvalitni sbirku linku nebo kratkych navodu, jak kompletne zabezpecit nase nejbeznejsi distribuce - tedy Debian, Ubuntu a CentOS se vsema nejpouzivanejsima sluzbama.
Prioritou je CZ/SK jazyk, kdyz se fakt neda jinak, tak zkousneme i anglicke zdroje.
Primarne jde o to udelat a udrzovat opravdu aktualni, ucelenou kolekci, ktere se muze chytit i zacatecnik a mit jistotu, ze muze spat aspon tak klidne, jako my v tom adminskym cechu dyl pusobici.
Jelikoz tohle opravdu hodne chceme, jsme ochotni zaplatit klidne hodinovku tomu, kdo si to vezme na starost a opravdu kvalitne to zpracuje.
IMHO to vola po necem na zpusob vpsFree-CIRT.
Co vim, Ondra by byl dobrej kandidat - nasel by si cas?
Je vas tu vic takovejch, co jsou security-aware a co vam neni cizi i obcas neco vysvetlit ostatnim, prosim, zapojte se.
Tenhle material potom bude soucasti kazdyho uvodniho mailu, 400px fontem, tucne, kurzivou a podrtrzene comic sans ruzovou barvou na cernym pozadi, aby si toho kazdej vsimnul.
Ok, to uz si delam srandu, ale o cem mluvim sranda neni, tohle je serious, musime delat lepsi osvetu, jinak se nam ty hacky a DoSy a svinstva budou akorat mnozit. To nechce myslim nikdo z nas :)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Díky, já to můžu nějak stručně sepsat do wiki. Jednoduše a srozumitelně včetně návodů, jak si jednotlivé věci udělat. Jsi pro, Pavle?
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
On 03/18/2014 10:32 AM, Petr Krcmar wrote:
Dne 18.3.2014 00:03, Peter Bačinský napsal(a):
Súhlasím.
Myslím, že to minimum je návod aspoň "Zabezpečení linuxového serveru" od Petr Krcmář. Ak sa podaria aj ďalšie skvelé návody na bezpečnosť linux servera, určite ich implementujem. Stabilita je základ, a keď vidím tie výpadky v Prahe, tak som rád že to mám v Brne, okrem iného.
S pozdravom,
*Peter Bačinský* konateľ spoločnosti
*Webino, s. r. o.* Železničná 152/75 90024 Veľký Biel Slovensko
*Web stránky a internetové aplikácie pre Vaše podnikanie.*
+421 918 641 804, info@webino.sk mailto:info@webino.sk, www.webino.sk http://www.webino.sk/
*PROSÍM ZACHOVÁVAJTE HISTÓRIU V SPRÁVE, ĎAKUJEM*
On 03/17/2014 11:54 PM, Pavel Snajdr wrote: Ahojte,
jak jsem tu zminil uz sice jako OT v diskuzi s Ondrou, mnozi se nam security issues.
Bezpecnost systemu na verejne dostupnem Internetu v roce 2014 "neni prdel". Fakt si nedelam srandu, ta uz skoncila.
Mate system na verejnem Internetu, mate za nej zodpovednost.
Vetsina lidi, co se vubec obtezuje prihlasit do nasich ML pojem o bezpecnosti ma, takze to neberte, ze sirim hromy blesky spatnym smerem.
Pisu to proto, ze hledam lidi, kteri si opravdu vezmou na starost pripravit kvalitni sbirku linku nebo kratkych navodu, jak kompletne zabezpecit nase nejbeznejsi distribuce - tedy Debian, Ubuntu a CentOS se vsema nejpouzivanejsima sluzbama.
Prioritou je CZ/SK jazyk, kdyz se fakt neda jinak, tak zkousneme i anglicke zdroje.
Primarne jde o to udelat a udrzovat opravdu aktualni, ucelenou kolekci, ktere se muze chytit i zacatecnik a mit jistotu, ze muze spat aspon tak klidne, jako my v tom adminskym cechu dyl pusobici.
Jelikoz tohle opravdu hodne chceme, jsme ochotni zaplatit klidne hodinovku tomu, kdo si to vezme na starost a opravdu kvalitne to zpracuje.
IMHO to vola po necem na zpusob vpsFree-CIRT.
Co vim, Ondra by byl dobrej kandidat - nasel by si cas?
Je vas tu vic takovejch, co jsou security-aware a co vam neni cizi i obcas neco vysvetlit ostatnim, prosim, zapojte se.
Tenhle material potom bude soucasti kazdyho uvodniho mailu, 400px fontem, tucne, kurzivou a podrtrzene comic sans ruzovou barvou na cernym pozadi, aby si toho kazdej vsimnul.
Ok, to uz si delam srandu, ale o cem mluvim sranda neni, tohle je serious, musime delat lepsi osvetu, jinak se nam ty hacky a DoSy a svinstva budou akorat mnozit. To nechce myslim nikdo z nas :)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Díky, já to můžu nějak stručně sepsat do wiki. Jednoduše a srozumitelně včetně návodů, jak si jednotlivé věci udělat. Jsi pro, Pavle?
Ok, muzem sesidlit KB, wiki a web na jednu VPS, urovnat to, jak jsme se bavili a muzes zacit. Akorat jsem cekal, ze se zapoji nekdo dalsi, o kdyz se zacne mluvit o bezpecnosti, vetsinou se tu objevujou urcity obvykly jmena a ted jsou ticho :))
To se asi muzem dohodnout spis mimo ML.
Pro zacatek doplnim do uvitaciho mailu aspon info o tom, ze to clovek ma zabezpecene (ted tam o tom neni zminka vubec), ze jinak vesim za usi do pruvanu :)
/snajpa
Ahoj,
klidne se pridam, i na testvaci VPS, nejak jsem prezil ty vypadky nodu posledni dobou takze bych prezil i nejake jine veci.
Ale nemam tam nejakej velkej trafic, jeden web + mail pro jednu domenu.
Tak jestli by byl zajem, neni problem.
Martin
On Tuesday, March 18, 2014 20:49:20 Pavel Snajdr wrote:
On 03/18/2014 10:32 AM, Petr Krcmar wrote:
Dne 18.3.2014 00:03, Peter Bačinský napsal(a):
Súhlasím.
Myslím, že to minimum je návod aspoň "Zabezpečení linuxového serveru" od Petr Krcmář. Ak sa podaria aj ďalšie skvelé návody na bezpečnosť linux servera, určite ich implementujem. Stabilita je základ, a keď vidím tie výpadky v Prahe, tak som rád že to mám v Brne, okrem iného.
S pozdravom,
*Peter Bačinský* konateľ spoločnosti
*Webino, s. r. o.* Železničná 152/75 90024 Veľký Biel Slovensko
*Web stránky a internetové aplikácie pre Vaše podnikanie.*
+421 918 641 804, info@webino.sk mailto:info@webino.sk, www.webino.sk http://www.webino.sk/
*PROSÍM ZACHOVÁVAJTE HISTÓRIU V SPRÁVE, ĎAKUJEM*
On 03/17/2014 11:54 PM, Pavel Snajdr wrote: Ahojte,
jak jsem tu zminil uz sice jako OT v diskuzi s Ondrou, mnozi se nam security issues.
Bezpecnost systemu na verejne dostupnem Internetu v roce 2014 "neni prdel". Fakt si nedelam srandu, ta uz skoncila.
Mate system na verejnem Internetu, mate za nej zodpovednost.
Vetsina lidi, co se vubec obtezuje prihlasit do nasich ML pojem o bezpecnosti ma, takze to neberte, ze sirim hromy blesky spatnym smerem.
Pisu to proto, ze hledam lidi, kteri si opravdu vezmou na starost pripravit kvalitni sbirku linku nebo kratkych navodu, jak kompletne zabezpecit nase nejbeznejsi distribuce - tedy Debian, Ubuntu a CentOS se vsema nejpouzivanejsima sluzbama.
Prioritou je CZ/SK jazyk, kdyz se fakt neda jinak, tak zkousneme i anglicke zdroje.
Primarne jde o to udelat a udrzovat opravdu aktualni, ucelenou kolekci, ktere se muze chytit i zacatecnik a mit jistotu, ze muze spat aspon tak klidne, jako my v tom adminskym cechu dyl pusobici.
Jelikoz tohle opravdu hodne chceme, jsme ochotni zaplatit klidne hodinovku tomu, kdo si to vezme na starost a opravdu kvalitne to zpracuje.
IMHO to vola po necem na zpusob vpsFree-CIRT.
Co vim, Ondra by byl dobrej kandidat - nasel by si cas?
Je vas tu vic takovejch, co jsou security-aware a co vam neni cizi i obcas neco vysvetlit ostatnim, prosim, zapojte se.
Tenhle material potom bude soucasti kazdyho uvodniho mailu, 400px fontem, tucne, kurzivou a podrtrzene comic sans ruzovou barvou na cernym pozadi, aby si toho kazdej vsimnul.
Ok, to uz si delam srandu, ale o cem mluvim sranda neni, tohle je serious, musime delat lepsi osvetu, jinak se nam ty hacky a DoSy a svinstva budou akorat mnozit. To nechce myslim nikdo z nas
:)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Díky, já to můžu nějak stručně sepsat do wiki. Jednoduše a srozumitelně včetně návodů, jak si jednotlivé věci udělat. Jsi pro, Pavle?
Ok, muzem sesidlit KB, wiki a web na jednu VPS, urovnat to, jak jsme se bavili a muzes zacit. Akorat jsem cekal, ze se zapoji nekdo dalsi, o kdyz se zacne mluvit o bezpecnosti, vetsinou se tu objevujou urcity obvykly jmena a ted jsou ticho :))
To se asi muzem dohodnout spis mimo ML.
Pro zacatek doplnim do uvitaciho mailu aspon info o tom, ze to clovek ma zabezpecene (ted tam o tom neni zminka vubec), ze jinak vesim za usi do pruvanu :)
/snajpa _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
taktiez, pokial je potreba pomozem a potestujem
Tomas
On 18.3.2014, at 20:57, Martin Šoltis komodo@gmx.us wrote:
Ahoj,
klidne se pridam, i na testvaci VPS, nejak jsem prezil ty vypadky nodu posledni dobou takze bych prezil i nejake jine veci.
Ale nemam tam nejakej velkej trafic, jeden web + mail pro jednu domenu.
Tak jestli by byl zajem, neni problem.
Martin
On Tuesday, March 18, 2014 20:49:20 Pavel Snajdr wrote:
On 03/18/2014 10:32 AM, Petr Krcmar wrote:
Dne 18.3.2014 00:03, Peter Bačinský napsal(a):
Súhlasím.
Myslím, že to minimum je návod aspoň "Zabezpečení linuxového serveru" od Petr Krcmář. Ak sa podaria aj ďalšie skvelé návody na bezpečnosť linux servera, určite ich implementujem. Stabilita je základ, a keď vidím tie výpadky v Prahe, tak som rád že to mám v Brne, okrem iného.
S pozdravom,
*Peter Bačinský* konateľ spoločnosti
*Webino, s. r. o.* Železničná 152/75 90024 Veľký Biel Slovensko
*Web stránky a internetové aplikácie pre Vaše podnikanie.*
+421 918 641 804, info@webino.sk mailto:info@webino.sk, www.webino.sk http://www.webino.sk/
*PROSÍM ZACHOVÁVAJTE HISTÓRIU V SPRÁVE, ĎAKUJEM*
On 03/17/2014 11:54 PM, Pavel Snajdr wrote: Ahojte,
jak jsem tu zminil uz sice jako OT v diskuzi s Ondrou, mnozi se nam security issues.
Bezpecnost systemu na verejne dostupnem Internetu v roce 2014 "neni prdel". Fakt si nedelam srandu, ta uz skoncila.
Mate system na verejnem Internetu, mate za nej zodpovednost.
Vetsina lidi, co se vubec obtezuje prihlasit do nasich ML pojem o bezpecnosti ma, takze to neberte, ze sirim hromy blesky spatnym smerem.
Pisu to proto, ze hledam lidi, kteri si opravdu vezmou na starost pripravit kvalitni sbirku linku nebo kratkych navodu, jak kompletne zabezpecit nase nejbeznejsi distribuce - tedy Debian, Ubuntu a CentOS se vsema nejpouzivanejsima sluzbama.
Prioritou je CZ/SK jazyk, kdyz se fakt neda jinak, tak zkousneme i anglicke zdroje.
Primarne jde o to udelat a udrzovat opravdu aktualni, ucelenou kolekci, ktere se muze chytit i zacatecnik a mit jistotu, ze muze spat aspon tak klidne, jako my v tom adminskym cechu dyl pusobici.
Jelikoz tohle opravdu hodne chceme, jsme ochotni zaplatit klidne hodinovku tomu, kdo si to vezme na starost a opravdu kvalitne to zpracuje.
IMHO to vola po necem na zpusob vpsFree-CIRT.
Co vim, Ondra by byl dobrej kandidat - nasel by si cas?
Je vas tu vic takovejch, co jsou security-aware a co vam neni cizi i obcas neco vysvetlit ostatnim, prosim, zapojte se.
Tenhle material potom bude soucasti kazdyho uvodniho mailu, 400px fontem, tucne, kurzivou a podrtrzene comic sans ruzovou barvou na cernym pozadi, aby si toho kazdej vsimnul.
Ok, to uz si delam srandu, ale o cem mluvim sranda neni, tohle je serious, musime delat lepsi osvetu, jinak se nam ty hacky a DoSy a svinstva budou akorat mnozit. To nechce myslim nikdo z nas
:)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Díky, já to můžu nějak stručně sepsat do wiki. Jednoduše a srozumitelně včetně návodů, jak si jednotlivé věci udělat. Jsi pro, Pavle?
Ok, muzem sesidlit KB, wiki a web na jednu VPS, urovnat to, jak jsme se bavili a muzes zacit. Akorat jsem cekal, ze se zapoji nekdo dalsi, o kdyz se zacne mluvit o bezpecnosti, vetsinou se tu objevujou urcity obvykly jmena a ted jsou ticho :))
To se asi muzem dohodnout spis mimo ML.
Pro zacatek doplnim do uvitaciho mailu aspon info o tom, ze to clovek ma zabezpecene (ted tam o tom neni zminka vubec), ze jinak vesim za usi do pruvanu :)
/snajpa _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Sorry, jsem si uvedomil, ze jsem nechal mail v draftech misto odeslani. Viz komentare inline nize.
Jinak pokud si pamatuji, tak Petr Krcmar mel celkem dobre slajdy k zabezpeceni VPS - https://vpsfree.cz/download/2014_2_schuze-petr.pdf
On 03/18/2014 08:49 PM, Pavel Snajdr wrote:
On 03/17/2014 11:54 PM, Pavel Snajdr wrote: Ahojte,
jak jsem tu zminil uz sice jako OT v diskuzi s Ondrou, mnozi se nam security issues.
Bezpecnost systemu na verejne dostupnem Internetu v roce 2014 "neni prdel". Fakt si nedelam srandu, ta uz skoncila.
[...]
Co vim, Ondra by byl dobrej kandidat - nasel by si cas?
Nasel, ale musime si nejprve "vymezit", jaky ma mit tato tematika zaber. "Security 2014+" neni jednorazova akce - clovek *musi sledovat logy a auditovat*. Utocnici zacinaji byt velmi vynalezavi. V 2005 jsme se jim smali, jake smesne metody pouzivaji - protoze tehdy to postacovalo - ale bylo jasne, ze to bude jenom tezsi.
Ja jsem kdysi psal do vpsfree KB wiki clanek, jak spravne nastavit SSH server, SSH klienty, jak pouzivat klice s heslem a jak do toho zakomponovat ssh-agent a ssh-add. Tohle je ta stranka (po nejakych upravach) - https://prasiatko.vpsfree.cz/wiki/doku.php?id=pripojovani_k_vps_pomoci_ssh
Absolutne zakladni principy:
- vypnout SSH prihlasovani heslem - vypnout SSH root login - na roota se musi vyzadovat dalsi jine heslo (pres 'su' apod) - radsi vubec nepouzivat nic napsane v php (vim, ze tohle bude velmi kontroverzni, ale samotni autori jazyka predvedli dost nekompetentni pristup napr. pri zavleceni critical remote code execution, kdyz jenom chteli udelat workaround pro hashtable DoS; a to nebyl jediny pripad) a php aplikace maji priserne skore v bezpecnosti obecne - podivejte se na doporuceni zabezpecovani Tor hidden services - updatovat - budto automaticky updater, nebo pravidelne a casto rucne - zakaznik mozna bude obcas nadavat, ale budete radsi az vam leakne kompletni databaze "and the shit hits the fan"?
Advanced veci:
- pouziti kryptografickych tokenu na ukladani klicu nebo 2-faktorou autentizaci - nastaveni PAM pro pouziti hardwarovych tokenu - manualni audity - obrovska pruda, sezere mnoho casu - grsecurity - humus na udrzovani, asi bude vyzadovat extra admina, ale ucinne
Nechat uzivatele autentizovat "jednoduse" typicky znamena, ze to bude jednoduchy i pro utocniky (kteri maji nakradene+nakoupene databaze hesel a exploitu, oclhashcat-like crackery a tak dale).
Je vas tu vic takovejch, co jsou security-aware a co vam neni cizi i obcas neco vysvetlit ostatnim, prosim, zapojte se.
Ok, muzem sesidlit KB, wiki a web na jednu VPS, urovnat to, jak jsme se bavili a muzes zacit. Akorat jsem cekal, ze se zapoji nekdo dalsi, o kdyz se zacne mluvit o bezpecnosti, vetsinou se tu objevujou urcity obvykly jmena a ted jsou ticho :))
Ne nejsme ticho, jen prace je vic nez casu :-)
OM
Jen taková drobnost - na https://prasiatko.vpsfree.cz/wiki/doku.php?id=pripojovani_k_vps_pomoci_sshje překlep u chmod 600 ~/.ssh_authorized_keys (místo podtržítka lomítko).
Jirka
Dne 21. března 2014 0:49 Ondrej Mikle ondrej.mikle@gmail.com napsal(a):
Sorry, jsem si uvedomil, ze jsem nechal mail v draftech misto odeslani. Viz komentare inline nize.
Jinak pokud si pamatuji, tak Petr Krcmar mel celkem dobre slajdy k zabezpeceni VPS - https://vpsfree.cz/download/2014_2_schuze-petr.pdf
On 03/18/2014 08:49 PM, Pavel Snajdr wrote:
On 03/17/2014 11:54 PM, Pavel Snajdr wrote: Ahojte,
jak jsem tu zminil uz sice jako OT v diskuzi s Ondrou, mnozi se nam security issues.
Bezpecnost systemu na verejne dostupnem Internetu v roce 2014 "neni prdel". Fakt si nedelam srandu, ta uz skoncila.
[...]
Co vim, Ondra by byl dobrej kandidat - nasel by si cas?
Nasel, ale musime si nejprve "vymezit", jaky ma mit tato tematika zaber. "Security 2014+" neni jednorazova akce - clovek *musi sledovat logy a auditovat*. Utocnici zacinaji byt velmi vynalezavi. V 2005 jsme se jim smali, jake smesne metody pouzivaji - protoze tehdy to postacovalo - ale bylo jasne, ze to bude jenom tezsi.
Ja jsem kdysi psal do vpsfree KB wiki clanek, jak spravne nastavit SSH server, SSH klienty, jak pouzivat klice s heslem a jak do toho zakomponovat ssh-agent a ssh-add. Tohle je ta stranka (po nejakych upravach) - https://prasiatko.vpsfree.cz/wiki/doku.php?id=pripojovani_k_vps_pomoci_ssh
Absolutne zakladni principy:
- vypnout SSH prihlasovani heslem
- vypnout SSH root login
- na roota se musi vyzadovat dalsi jine heslo (pres 'su' apod)
- radsi vubec nepouzivat nic napsane v php (vim, ze tohle bude velmi
kontroverzni, ale samotni autori jazyka predvedli dost nekompetentni pristup napr. pri zavleceni critical remote code execution, kdyz jenom chteli udelat workaround pro hashtable DoS; a to nebyl jediny pripad) a php aplikace maji priserne skore v bezpecnosti obecne
- podivejte se na doporuceni zabezpecovani Tor hidden services
- updatovat - budto automaticky updater, nebo pravidelne a casto rucne
- zakaznik mozna bude obcas nadavat, ale budete radsi az vam leakne
kompletni databaze "and the shit hits the fan"?
Advanced veci:
- pouziti kryptografickych tokenu na ukladani klicu nebo 2-faktorou
autentizaci
- nastaveni PAM pro pouziti hardwarovych tokenu
- manualni audity - obrovska pruda, sezere mnoho casu
- grsecurity - humus na udrzovani, asi bude vyzadovat extra admina, ale
ucinne
Nechat uzivatele autentizovat "jednoduse" typicky znamena, ze to bude jednoduchy i pro utocniky (kteri maji nakradene+nakoupene databaze hesel a exploitu, oclhashcat-like crackery a tak dale).
Je vas tu vic takovejch, co jsou security-aware a co vam neni cizi i obcas neco vysvetlit ostatnim, prosim, zapojte se.
Ok, muzem sesidlit KB, wiki a web na jednu VPS, urovnat to, jak jsme se bavili a muzes zacit. Akorat jsem cekal, ze se zapoji nekdo dalsi, o kdyz se zacne mluvit o bezpecnosti, vetsinou se tu objevujou urcity obvykly jmena a ted jsou ticho :))
Ne nejsme ticho, jen prace je vic nez casu :-)
OM
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
On 03/22/2014 06:00 PM, Jiří Čermák wrote:
Jen taková drobnost - na https://prasiatko.vpsfree.cz/wiki/doku.php?id=pripojovani_k_vps_pomoci_ssh je překlep u chmod 600 ~/.ssh_authorized_keys (místo podtržítka lomítko).
Díky za bugreport. Fixed. BTW je to wiki, každý člen ji může editovat.
Ondro
Ahoj,
díky Jirko, tu část článku jsem psal já, opravím ji, pokud to někdo neudělal
Petr Paroek
Dne 22. března 2014 18:00 Jiří Čermák jirka.cer@gmail.com napsal(a):
Jen taková drobnost - na https://prasiatko.vpsfree.cz/wiki/doku.php?id=pripojovani_k_vps_pomoci_sshje překlep u chmod 600 ~/.ssh_authorized_keys (místo podtržítka lomítko).
Jirka
Dne 21. března 2014 0:49 Ondrej Mikle ondrej.mikle@gmail.com napsal(a):
Sorry, jsem si uvedomil, ze jsem nechal mail v draftech misto odeslani. Viz komentare inline nize.
Jinak pokud si pamatuji, tak Petr Krcmar mel celkem dobre slajdy k zabezpeceni VPS - https://vpsfree.cz/download/2014_2_schuze-petr.pdf
On 03/18/2014 08:49 PM, Pavel Snajdr wrote:
On 03/17/2014 11:54 PM, Pavel Snajdr wrote: Ahojte,
jak jsem tu zminil uz sice jako OT v diskuzi s Ondrou, mnozi se nam security issues.
Bezpecnost systemu na verejne dostupnem Internetu v roce 2014 "neni prdel". Fakt si nedelam srandu, ta uz skoncila.
[...]
Co vim, Ondra by byl dobrej kandidat - nasel by si cas?
Nasel, ale musime si nejprve "vymezit", jaky ma mit tato tematika zaber. "Security 2014+" neni jednorazova akce - clovek *musi sledovat logy a auditovat*. Utocnici zacinaji byt velmi vynalezavi. V 2005 jsme se jim smali, jake smesne metody pouzivaji - protoze tehdy to postacovalo - ale bylo jasne, ze to bude jenom tezsi.
Ja jsem kdysi psal do vpsfree KB wiki clanek, jak spravne nastavit SSH server, SSH klienty, jak pouzivat klice s heslem a jak do toho zakomponovat ssh-agent a ssh-add. Tohle je ta stranka (po nejakych upravach) - https://prasiatko.vpsfree.cz/wiki/doku.php?id=pripojovani_k_vps_pomoci_ssh
Absolutne zakladni principy:
- vypnout SSH prihlasovani heslem
- vypnout SSH root login
- na roota se musi vyzadovat dalsi jine heslo (pres 'su' apod)
- radsi vubec nepouzivat nic napsane v php (vim, ze tohle bude velmi
kontroverzni, ale samotni autori jazyka predvedli dost nekompetentni pristup napr. pri zavleceni critical remote code execution, kdyz jenom chteli udelat workaround pro hashtable DoS; a to nebyl jediny pripad) a php aplikace maji priserne skore v bezpecnosti obecne
- podivejte se na doporuceni zabezpecovani Tor hidden services
- updatovat - budto automaticky updater, nebo pravidelne a casto rucne
- zakaznik mozna bude obcas nadavat, ale budete radsi az vam leakne
kompletni databaze "and the shit hits the fan"?
Advanced veci:
- pouziti kryptografickych tokenu na ukladani klicu nebo 2-faktorou
autentizaci
- nastaveni PAM pro pouziti hardwarovych tokenu
- manualni audity - obrovska pruda, sezere mnoho casu
- grsecurity - humus na udrzovani, asi bude vyzadovat extra admina, ale
ucinne
Nechat uzivatele autentizovat "jednoduse" typicky znamena, ze to bude jednoduchy i pro utocniky (kteri maji nakradene+nakoupene databaze hesel a exploitu, oclhashcat-like crackery a tak dale).
Je vas tu vic takovejch, co jsou security-aware a co vam neni cizi i obcas neco vysvetlit ostatnim, prosim, zapojte se.
Ok, muzem sesidlit KB, wiki a web na jednu VPS, urovnat to, jak jsme se bavili a muzes zacit. Akorat jsem cekal, ze se zapoji nekdo dalsi, o kdyz se zacne mluvit o bezpecnosti, vetsinou se tu objevujou urcity obvykly jmena a ted jsou ticho :))
Ne nejsme ticho, jen prace je vic nez casu :-)
OM
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Omlouvám se, přehkedl jsem se, jsem myslel, že se bavíte o KB.
Petr Parolek
Dne 22. března 2014 18:00 Jiří Čermák jirka.cer@gmail.com napsal(a):
Jen taková drobnost - na https://prasiatko.vpsfree.cz/wiki/doku.php?id=pripojovani_k_vps_pomoci_sshje překlep u chmod 600 ~/.ssh_authorized_keys (místo podtržítka lomítko).
Jirka
Dne 21. března 2014 0:49 Ondrej Mikle ondrej.mikle@gmail.com napsal(a):
Sorry, jsem si uvedomil, ze jsem nechal mail v draftech misto odeslani. Viz komentare inline nize.
Jinak pokud si pamatuji, tak Petr Krcmar mel celkem dobre slajdy k zabezpeceni VPS - https://vpsfree.cz/download/2014_2_schuze-petr.pdf
On 03/18/2014 08:49 PM, Pavel Snajdr wrote:
On 03/17/2014 11:54 PM, Pavel Snajdr wrote: Ahojte,
jak jsem tu zminil uz sice jako OT v diskuzi s Ondrou, mnozi se nam security issues.
Bezpecnost systemu na verejne dostupnem Internetu v roce 2014 "neni prdel". Fakt si nedelam srandu, ta uz skoncila.
[...]
Co vim, Ondra by byl dobrej kandidat - nasel by si cas?
Nasel, ale musime si nejprve "vymezit", jaky ma mit tato tematika zaber. "Security 2014+" neni jednorazova akce - clovek *musi sledovat logy a auditovat*. Utocnici zacinaji byt velmi vynalezavi. V 2005 jsme se jim smali, jake smesne metody pouzivaji - protoze tehdy to postacovalo - ale bylo jasne, ze to bude jenom tezsi.
Ja jsem kdysi psal do vpsfree KB wiki clanek, jak spravne nastavit SSH server, SSH klienty, jak pouzivat klice s heslem a jak do toho zakomponovat ssh-agent a ssh-add. Tohle je ta stranka (po nejakych upravach) - https://prasiatko.vpsfree.cz/wiki/doku.php?id=pripojovani_k_vps_pomoci_ssh
Absolutne zakladni principy:
- vypnout SSH prihlasovani heslem
- vypnout SSH root login
- na roota se musi vyzadovat dalsi jine heslo (pres 'su' apod)
- radsi vubec nepouzivat nic napsane v php (vim, ze tohle bude velmi
kontroverzni, ale samotni autori jazyka predvedli dost nekompetentni pristup napr. pri zavleceni critical remote code execution, kdyz jenom chteli udelat workaround pro hashtable DoS; a to nebyl jediny pripad) a php aplikace maji priserne skore v bezpecnosti obecne
- podivejte se na doporuceni zabezpecovani Tor hidden services
- updatovat - budto automaticky updater, nebo pravidelne a casto rucne
- zakaznik mozna bude obcas nadavat, ale budete radsi az vam leakne
kompletni databaze "and the shit hits the fan"?
Advanced veci:
- pouziti kryptografickych tokenu na ukladani klicu nebo 2-faktorou
autentizaci
- nastaveni PAM pro pouziti hardwarovych tokenu
- manualni audity - obrovska pruda, sezere mnoho casu
- grsecurity - humus na udrzovani, asi bude vyzadovat extra admina, ale
ucinne
Nechat uzivatele autentizovat "jednoduse" typicky znamena, ze to bude jednoduchy i pro utocniky (kteri maji nakradene+nakoupene databaze hesel a exploitu, oclhashcat-like crackery a tak dale).
Je vas tu vic takovejch, co jsou security-aware a co vam neni cizi i obcas neco vysvetlit ostatnim, prosim, zapojte se.
Ok, muzem sesidlit KB, wiki a web na jednu VPS, urovnat to, jak jsme se bavili a muzes zacit. Akorat jsem cekal, ze se zapoji nekdo dalsi, o kdyz se zacne mluvit o bezpecnosti, vetsinou se tu objevujou urcity obvykly jmena a ted jsou ticho :))
Ne nejsme ticho, jen prace je vic nez casu :-)
OM
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Napada mne v tyhle souvislosti:
byl by zajem o vpsFree.cz OpenVPN server + interni adresy pro VPS dostupny z te VPN?
Umozni to pristup ke sluzbam, ktere nechcete vystavovat ven.
Ja mam treba SSH naproste vetsine veci dostupne jenom z VPN, kde nemam klic, mam smulu.
Ale OpenVPN bezi na vsem (kdyz je ve vhodnem nastaveni), od mobilu, pres desktopy po toustovac (jede tam preci netBSD :D).
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 03/17/2014 11:54 PM, Pavel Snajdr wrote:
Ahojte,
jak jsem tu zminil uz sice jako OT v diskuzi s Ondrou, mnozi se nam security issues.
Bezpecnost systemu na verejne dostupnem Internetu v roce 2014 "neni prdel". Fakt si nedelam srandu, ta uz skoncila.
Mate system na verejnem Internetu, mate za nej zodpovednost.
Vetsina lidi, co se vubec obtezuje prihlasit do nasich ML pojem o bezpecnosti ma, takze to neberte, ze sirim hromy blesky spatnym smerem.
Pisu to proto, ze hledam lidi, kteri si opravdu vezmou na starost pripravit kvalitni sbirku linku nebo kratkych navodu, jak kompletne zabezpecit nase nejbeznejsi distribuce - tedy Debian, Ubuntu a CentOS se vsema nejpouzivanejsima sluzbama.
Prioritou je CZ/SK jazyk, kdyz se fakt neda jinak, tak zkousneme i anglicke zdroje.
Primarne jde o to udelat a udrzovat opravdu aktualni, ucelenou kolekci, ktere se muze chytit i zacatecnik a mit jistotu, ze muze spat aspon tak klidne, jako my v tom adminskym cechu dyl pusobici.
Jelikoz tohle opravdu hodne chceme, jsme ochotni zaplatit klidne hodinovku tomu, kdo si to vezme na starost a opravdu kvalitne to zpracuje.
IMHO to vola po necem na zpusob vpsFree-CIRT.
Co vim, Ondra by byl dobrej kandidat - nasel by si cas?
Je vas tu vic takovejch, co jsou security-aware a co vam neni cizi i obcas neco vysvetlit ostatnim, prosim, zapojte se.
Tenhle material potom bude soucasti kazdyho uvodniho mailu, 400px fontem, tucne, kurzivou a podrtrzene comic sans ruzovou barvou na cernym pozadi, aby si toho kazdej vsimnul.
Ok, to uz si delam srandu, ale o cem mluvim sranda neni, tohle je serious, musime delat lepsi osvetu, jinak se nam ty hacky a DoSy a svinstva budou akorat mnozit. To nechce myslim nikdo z nas :)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
community-list@lists.vpsfree.cz
-
D.Hanzlik@seznam.cz -
Jirka Bourek -
Jiří Čermák -
Martin Šoltis -
ondra.gersl@gmail.com -
Ondrej Mikle -
Pavel Snajdr -
Peter Bačinský -
Petr Krcmar -
Petr Parolek -
Stepan Liska -
Tomas Meszaros