[vpsFree.cz: community-list] Security navod pro mene zdatne wanted
Petr Parolek
petr.parolek at gmail.com
Sun Mar 23 12:55:00 CET 2014
Omlouvám se, přehkedl jsem se, jsem myslel, že se bavíte o KB.
Petr Parolek
Dne 22. března 2014 18:00 Jiří Čermák <jirka.cer at gmail.com> napsal(a):
> Jen taková drobnost - na
> https://prasiatko.vpsfree.cz/wiki/doku.php?id=pripojovani_k_vps_pomoci_sshje překlep u chmod 600 ~/.ssh_authorized_keys (místo podtržítka lomítko).
>
> Jirka
>
>
> Dne 21. března 2014 0:49 Ondrej Mikle <ondrej.mikle at gmail.com> napsal(a):
>
>> Sorry, jsem si uvedomil, ze jsem nechal mail v draftech misto odeslani.
>> Viz
>> komentare inline nize.
>>
>> Jinak pokud si pamatuji, tak Petr Krcmar mel celkem dobre slajdy k
>> zabezpeceni
>> VPS - https://vpsfree.cz/download/2014_2_schuze-petr.pdf
>>
>> On 03/18/2014 08:49 PM, Pavel Snajdr wrote:
>> >>> On 03/17/2014 11:54 PM, Pavel Snajdr wrote: Ahojte,
>> >>>
>> >>> jak jsem tu zminil uz sice jako OT v diskuzi s Ondrou, mnozi se
>> >>> nam security issues.
>> >>>
>> >>> Bezpecnost systemu na verejne dostupnem Internetu v roce 2014
>> >>> "neni prdel". Fakt si nedelam srandu, ta uz skoncila.
>> [...]
>> >>> Co vim, Ondra by byl dobrej kandidat - nasel by si cas?
>>
>> Nasel, ale musime si nejprve "vymezit", jaky ma mit tato tematika zaber.
>> "Security 2014+" neni jednorazova akce - clovek *musi sledovat logy a
>> auditovat*. Utocnici zacinaji byt velmi vynalezavi. V 2005 jsme se jim
>> smali,
>> jake smesne metody pouzivaji - protoze tehdy to postacovalo - ale bylo
>> jasne, ze
>> to bude jenom tezsi.
>>
>> Ja jsem kdysi psal do vpsfree KB wiki clanek, jak spravne nastavit SSH
>> server,
>> SSH klienty, jak pouzivat klice s heslem a jak do toho zakomponovat
>> ssh-agent a
>> ssh-add. Tohle je ta stranka (po nejakych upravach) -
>> https://prasiatko.vpsfree.cz/wiki/doku.php?id=pripojovani_k_vps_pomoci_ssh
>>
>> Absolutne zakladni principy:
>>
>> - vypnout SSH prihlasovani heslem
>> - vypnout SSH root login
>> - na roota se musi vyzadovat dalsi jine heslo (pres 'su' apod)
>> - radsi vubec nepouzivat nic napsane v php (vim, ze tohle bude velmi
>> kontroverzni, ale samotni autori jazyka predvedli dost nekompetentni
>> pristup
>> napr. pri zavleceni critical remote code execution, kdyz jenom chteli
>> udelat
>> workaround pro hashtable DoS; a to nebyl jediny pripad) a php aplikace
>> maji
>> priserne skore v bezpecnosti obecne
>> - podivejte se na doporuceni zabezpecovani Tor hidden services
>> - updatovat - budto automaticky updater, nebo pravidelne a casto rucne
>> - zakaznik mozna bude obcas nadavat, ale budete radsi az vam leakne
>> kompletni
>> databaze "and the shit hits the fan"?
>>
>> Advanced veci:
>>
>> - pouziti kryptografickych tokenu na ukladani klicu nebo 2-faktorou
>> autentizaci
>> - nastaveni PAM pro pouziti hardwarovych tokenu
>> - manualni audity - obrovska pruda, sezere mnoho casu
>> - grsecurity - humus na udrzovani, asi bude vyzadovat extra admina, ale
>> ucinne
>>
>> Nechat uzivatele autentizovat "jednoduse" typicky znamena, ze to bude
>> jednoduchy
>> i pro utocniky (kteri maji nakradene+nakoupene databaze hesel a exploitu,
>> oclhashcat-like crackery a tak dale).
>>
>> >>> Je vas tu vic takovejch, co jsou security-aware a co vam neni
>> >>> cizi i obcas neco vysvetlit ostatnim, prosim, zapojte se.
>> >>>
>> > Ok, muzem sesidlit KB, wiki a web na jednu VPS, urovnat to, jak jsme
>> > se bavili a muzes zacit. Akorat jsem cekal, ze se zapoji nekdo dalsi,
>> > o kdyz se zacne mluvit o bezpecnosti, vetsinou se tu objevujou urcity
>> > obvykly jmena a ted jsou ticho :))
>>
>> Ne nejsme ticho, jen prace je vic nez casu :-)
>>
>> OM
>>
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
>>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20140323/cab01ecd/attachment-0002.html>
More information about the Community-list
mailing list