[vpsFree.cz: community-list] Security navod pro mene zdatne wanted

Jiří Čermák jirka.cer at gmail.com
Sat Mar 22 18:00:13 CET 2014


Jen taková drobnost - na
https://prasiatko.vpsfree.cz/wiki/doku.php?id=pripojovani_k_vps_pomoci_sshje
překlep u chmod 600 ~/.ssh_authorized_keys (místo podtržítka lomítko).

Jirka


Dne 21. března 2014 0:49 Ondrej Mikle <ondrej.mikle at gmail.com> napsal(a):

> Sorry, jsem si uvedomil, ze jsem nechal mail v draftech misto odeslani. Viz
> komentare inline nize.
>
> Jinak pokud si pamatuji, tak Petr Krcmar mel celkem dobre slajdy k
> zabezpeceni
> VPS - https://vpsfree.cz/download/2014_2_schuze-petr.pdf
>
> On 03/18/2014 08:49 PM, Pavel Snajdr wrote:
> >>> On 03/17/2014 11:54 PM, Pavel Snajdr wrote: Ahojte,
> >>>
> >>> jak jsem tu zminil uz sice jako OT v diskuzi s Ondrou, mnozi se
> >>> nam security issues.
> >>>
> >>> Bezpecnost systemu na verejne dostupnem Internetu v roce 2014
> >>> "neni prdel". Fakt si nedelam srandu, ta uz skoncila.
> [...]
> >>> Co vim, Ondra by byl dobrej kandidat - nasel by si cas?
>
> Nasel, ale musime si nejprve "vymezit", jaky ma mit tato tematika zaber.
> "Security 2014+" neni jednorazova akce - clovek *musi sledovat logy a
> auditovat*. Utocnici zacinaji byt velmi vynalezavi. V 2005 jsme se jim
> smali,
> jake smesne metody pouzivaji - protoze tehdy to postacovalo - ale bylo
> jasne, ze
> to bude jenom tezsi.
>
> Ja jsem kdysi psal do vpsfree KB wiki clanek, jak spravne nastavit SSH
> server,
> SSH klienty, jak pouzivat klice s heslem a jak do toho zakomponovat
> ssh-agent a
> ssh-add. Tohle je ta stranka (po nejakych upravach) -
> https://prasiatko.vpsfree.cz/wiki/doku.php?id=pripojovani_k_vps_pomoci_ssh
>
> Absolutne zakladni principy:
>
> - vypnout SSH prihlasovani heslem
> - vypnout SSH root login
> - na roota se musi vyzadovat dalsi jine heslo (pres 'su' apod)
> - radsi vubec nepouzivat nic napsane v php (vim, ze tohle bude velmi
> kontroverzni, ale samotni autori jazyka predvedli dost nekompetentni
> pristup
> napr. pri zavleceni critical remote code execution, kdyz jenom chteli
> udelat
> workaround pro hashtable DoS; a to nebyl jediny pripad) a php aplikace maji
> priserne skore v bezpecnosti obecne
>   - podivejte se na doporuceni zabezpecovani Tor hidden services
> - updatovat - budto automaticky updater, nebo pravidelne a casto rucne
>   - zakaznik mozna bude obcas nadavat, ale budete radsi az vam leakne
> kompletni
> databaze "and the shit hits the fan"?
>
> Advanced veci:
>
> - pouziti kryptografickych tokenu na ukladani klicu nebo 2-faktorou
> autentizaci
> - nastaveni PAM pro pouziti hardwarovych tokenu
> - manualni audity - obrovska pruda, sezere mnoho casu
> - grsecurity - humus na udrzovani, asi bude vyzadovat extra admina, ale
> ucinne
>
> Nechat uzivatele autentizovat "jednoduse" typicky znamena, ze to bude
> jednoduchy
> i pro utocniky (kteri maji nakradene+nakoupene databaze hesel a exploitu,
> oclhashcat-like crackery a tak dale).
>
> >>> Je vas tu vic takovejch, co jsou security-aware a co vam neni
> >>> cizi i obcas neco vysvetlit ostatnim, prosim, zapojte se.
> >>>
> > Ok, muzem sesidlit KB, wiki a web na jednu VPS, urovnat to, jak jsme
> > se bavili a muzes zacit. Akorat jsem cekal, ze se zapoji nekdo dalsi,
> > o kdyz se zacne mluvit o bezpecnosti, vetsinou se tu objevujou urcity
> > obvykly jmena a ted jsou ticho :))
>
> Ne nejsme ticho, jen prace je vic nez casu :-)
>
> OM
>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20140322/0c5180f3/attachment-0002.html>


More information about the Community-list mailing list