[vpsFree.cz: community-list] Security navod pro mene zdatne wanted
Ondrej Mikle
ondrej.mikle at gmail.com
Fri Mar 21 00:49:16 CET 2014
Sorry, jsem si uvedomil, ze jsem nechal mail v draftech misto odeslani. Viz
komentare inline nize.
Jinak pokud si pamatuji, tak Petr Krcmar mel celkem dobre slajdy k zabezpeceni
VPS - https://vpsfree.cz/download/2014_2_schuze-petr.pdf
On 03/18/2014 08:49 PM, Pavel Snajdr wrote:
>>> On 03/17/2014 11:54 PM, Pavel Snajdr wrote: Ahojte,
>>>
>>> jak jsem tu zminil uz sice jako OT v diskuzi s Ondrou, mnozi se
>>> nam security issues.
>>>
>>> Bezpecnost systemu na verejne dostupnem Internetu v roce 2014
>>> "neni prdel". Fakt si nedelam srandu, ta uz skoncila.
[...]
>>> Co vim, Ondra by byl dobrej kandidat - nasel by si cas?
Nasel, ale musime si nejprve "vymezit", jaky ma mit tato tematika zaber.
"Security 2014+" neni jednorazova akce - clovek *musi sledovat logy a
auditovat*. Utocnici zacinaji byt velmi vynalezavi. V 2005 jsme se jim smali,
jake smesne metody pouzivaji - protoze tehdy to postacovalo - ale bylo jasne, ze
to bude jenom tezsi.
Ja jsem kdysi psal do vpsfree KB wiki clanek, jak spravne nastavit SSH server,
SSH klienty, jak pouzivat klice s heslem a jak do toho zakomponovat ssh-agent a
ssh-add. Tohle je ta stranka (po nejakych upravach) -
https://prasiatko.vpsfree.cz/wiki/doku.php?id=pripojovani_k_vps_pomoci_ssh
Absolutne zakladni principy:
- vypnout SSH prihlasovani heslem
- vypnout SSH root login
- na roota se musi vyzadovat dalsi jine heslo (pres 'su' apod)
- radsi vubec nepouzivat nic napsane v php (vim, ze tohle bude velmi
kontroverzni, ale samotni autori jazyka predvedli dost nekompetentni pristup
napr. pri zavleceni critical remote code execution, kdyz jenom chteli udelat
workaround pro hashtable DoS; a to nebyl jediny pripad) a php aplikace maji
priserne skore v bezpecnosti obecne
- podivejte se na doporuceni zabezpecovani Tor hidden services
- updatovat - budto automaticky updater, nebo pravidelne a casto rucne
- zakaznik mozna bude obcas nadavat, ale budete radsi az vam leakne kompletni
databaze "and the shit hits the fan"?
Advanced veci:
- pouziti kryptografickych tokenu na ukladani klicu nebo 2-faktorou autentizaci
- nastaveni PAM pro pouziti hardwarovych tokenu
- manualni audity - obrovska pruda, sezere mnoho casu
- grsecurity - humus na udrzovani, asi bude vyzadovat extra admina, ale ucinne
Nechat uzivatele autentizovat "jednoduse" typicky znamena, ze to bude jednoduchy
i pro utocniky (kteri maji nakradene+nakoupene databaze hesel a exploitu,
oclhashcat-like crackery a tak dale).
>>> Je vas tu vic takovejch, co jsou security-aware a co vam neni
>>> cizi i obcas neco vysvetlit ostatnim, prosim, zapojte se.
>>>
> Ok, muzem sesidlit KB, wiki a web na jednu VPS, urovnat to, jak jsme
> se bavili a muzes zacit. Akorat jsem cekal, ze se zapoji nekdo dalsi,
> o kdyz se zacne mluvit o bezpecnosti, vetsinou se tu objevujou urcity
> obvykly jmena a ted jsou ticho :))
Ne nejsme ticho, jen prace je vic nez casu :-)
OM
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 490 bytes
Desc: OpenPGP digital signature
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20140321/19307013/attachment.sig>
More information about the Community-list
mailing list