Linux za Sve forum

Pozdrav svima.
Prije nekoliko dana sam instalirao jednostavan web, file, mysql i ssh server temeljen na ubuntu serveru najnovijoj inačici. Interesira me kojim sam napadima podložan po defaultu i kako se protiv njih zaštiti. O napadima znam samo nešto sitno i želio bih više naučiti.
Server ima domenu napravljenu preko dyndns.org i napravljen je port forward od doma samo na tri porta a to je http, ftp, ssh i ispconfig port.
Na serveru se nalazi nekolicina meni važnih dokumenata kojima se može pristupiti sa sambe i to jedino lokalno uz samo dva korisnika, ali i putem browsera kao directory listing (to je zaštićeno onim folder lockom preko .httaccess fileom).
Koliko razumjem potrebno je definirati dobro firewall (ima neki u ruteru ali nisam ga dirao). Lokalna bežićna mreža je zaštićena WPA2-PSK enkripcijom. Root account je isključen.

Hvala vam na savjetima!

andrei je napisao/la:Pozdrav svima.
Prije nekoliko dana sam instalirao jednostavan web, file, mysql i ssh server temeljen na ubuntu serveru najnovijoj inačici. Interesira me kojim sam napadima podložan po defaultu i kako se protiv njih zaštiti. O napadima znam samo nešto sitno i želio bih više naučiti.
Server ima domenu napravljenu preko dyndns.org i napravljen je port forward od doma samo na tri porta a to je http, ftp, ssh i ispconfig port.
Na serveru se nalazi nekolicina meni važnih dokumenata kojima se može pristupiti sa sambe i to jedino lokalno uz samo dva korisnika, ali i putem browsera kao directory listing (to je zaštićeno onim folder lockom preko .httaccess fileom).
Koliko razumjem potrebno je definirati dobro firewall (ima neki u ruteru ali nisam ga dirao). Lokalna bežićna mreža je zaštićena WPA2-PSK enkripcijom. Root account je isključen.

Hvala vam na savjetima!

Dakle, ovako:

• sigurnost web servera ovisi o serveru kojeg koristis, preporucam uvijek update na najnoviju verziju (mozda cak i noviju od one dostupne u Ubuntu repozitoriju)
• isto vrijedi i za ftp i ssh servere
• samba je dosta bugovita i cesto ima neke slabosti koje se mogu exploitati, tako da ak ne moras, nemoj ju koristiti
• ako zelis provjeriti stanje izlozenosti svog racunala, preporucam da ga skeniras pomocu nekog od vulnerability scannera (nessus, nexpose, openvas, ...) koji ce ti onda reci koje sve slabosti u tvom sustavu je moguce iskoristiti za potencijalni napad
• firewall je dobra stvar ako je dobro konfiguriran. Buduci da postoji malo more razlicitih firewalla i svaki ima svoj nacin konfiguracije, preporucam ti stvaranje pravila pomocu firewall-buildera u kojem jednom napisana pravila mozes kompajlirati u pravila za razlicite firewalle (npr iptables, ipfw, ipfilter, cisco fwsm i mnogi drugi)

Eto, toliko se u prvu ruku mogu sjetiti.

DoDo je napisao/la: sigurnost web servera ovisi o serveru kojeg koristis, preporucam uvijek update na najnoviju verziju (mozda cak i noviju od one dostupne u Ubuntu repozitoriju)

Kako misliš da ovisi o serveru? Da li o operativnom sustavu ili hardveru? Update sam stavio da se radi automatski ali imam i corne job koji pregledava sve updatove svakih nekoliko dana.

DoDo je napisao/la:sto vrijedi i za ftp i ssh servere

jasno

DoDo je napisao/la:samba je dosta bugovita i cesto ima neke slabosti koje se mogu exploitati, tako da ak ne moras, nemoj ju koristiti

Toga sam nažalost svjestan ali primarna funkcija je dijeliti taj disk sa oko 100gb podataka sa svim računalima na mreži. Njoj se ne može pristupiti izvan lokalne m. jednostavno zato što port nije forwardan (bar se nadam da je to dobro)

DoDo je napisao/la:ako zelis provjeriti stanje izlozenosti svog racunala, preporucam da ga skeniras pomocu nekog od vulnerability scannera (nessus, nexpose, openvas, ...) koji ce ti onda reci koje sve slabosti u tvom sustavu je moguce iskoristiti za potencijalni napad

Da li će mi pokretanje takvog tipa programa uzrokovati neki downtime? Primjetio sam da je od programa koje si naveo jedino openvas besplatan pa sam se odlučio za njega. Da li se s njim tesitra sa računala na kojem se vrši test ili sa nekog drugog, te da li da ga vršim unutar mreže ili izvana?

DoDo je napisao/la:firewall je dobra stvar ako je dobro konfiguriran. Buduci da postoji malo more razlicitih firewalla i svaki ima svoj nacin konfiguracije, preporucam ti stvaranje pravila pomocu firewall-buildera u kojem jednom napisana pravila mozes kompajlirati u pravila za razlicite firewalle (npr iptables, ipfw, ipfilter, cisco fwsm i mnogi drugi)

Dobro odlučeno je da ću staviti i firewall ali to tek kada uhvatim jedno popodne da to sredim.

Hvala na brzom odgovoru!

andrei je napisao/la:Kako misliš da ovisi o serveru? Da li o operativnom sustavu ili hardveru? Update sam stavio da se radi automatski ali imam i corne job koji pregledava sve updatove svakih nekoliko dana.

nginx ima drugacije slabosti i propuste od Apache-a, koji ima drugacije slabosti i propuste od lighttpd-a itd.

andrei je napisao/la:Toga sam nažalost svjestan ali primarna funkcija je dijeliti taj disk sa oko 100gb podataka sa svim računalima na mreži. Njoj se ne može pristupiti izvan lokalne m. jednostavno zato što port nije forwardan (bar se nadam da je to dobro)

Ako ti je sigurnost vaznija od performansi, mozes koristiti ssh za share fajlova. Medjutim, tada svaki korisnik kojem zelis shareati fajlove mora imati username i pass na tvom racunalu i dozvolu da se logiraju preko ssh.

andrei je napisao/la:Da li će mi pokretanje takvog tipa programa uzrokovati neki downtime? Primjetio sam da je od programa koje si naveo jedino openvas besplatan pa sam se odlučio za njega. Da li se s njim tesitra sa računala na kojem se vrši test ili sa nekog drugog, te da li da ga vršim unutar mreže ili izvana?

Ne bih bas rekel downtime - mozda bude eventualno par minuta malo sporiji odaziv, al opet - cim ti je sporiji odaziv ili ako dobijes downtime, onda ti je sigurno server na neki nacin izlozen slabostima (vulnerability scanneri zapravo vrse napad na zadano racunalo i onda izvijeste koji napadi prolaze). OpenVAS je open source, dok su nessus i nexpose besplatni za home korisnike, ali nisu open source (trebas se registrirati na njihovoj stranici i zatraziti instalacijski kljuc). Konkretno, ja sam koristio nessus i mogu ti ukratko opisati kak se s time radi, ali imas i puno dobrih tutoriala na netu kao i videa na youtubeu s uputama za koristenje.
Ideja je da vuln. skener koristis na nekom drugom racunalu koje po mogucnosti nije unutar iste lokalne mreze (zapravo je tamo gdje ocekujes da bi napadac mogao biti - ako ocekujes napad unutar lokalne mreze, napravi sken i iz lokalne mreze - statisticki najvise uspjesnih napada bude upravo iz unutarnje mreze).

andrei je napisao/la:Hvala na brzom odgovoru!

Nema na cemu. Bas ovih dana ucim za medjuispit iz sigurnosti u internetu pa sam nabrijan na te stvari

Što se tiće sambe kod nje ostajem čisto zbog performansi. U ovom slučaju mi nije toliko problem lokalna mreža već to da je server dostupan izvana.
Kaj se tiće vuln. skenera. Cijenio bih kada bi napisao ukratko kako se koristi, jer YouTube vrvi starim verzijama. Inače možemo se dogovoriti i da ga ti napraviš, pošto ipak to sada trenutno učiš. Što kažeš?

andrei je napisao/la:Što se tiće sambe kod nje ostajem čisto zbog performansi. U ovom slučaju mi nije toliko problem lokalna mreža već to da je server dostupan izvana.
Kaj se tiće vuln. skenera. Cijenio bih kada bi napisao ukratko kako se koristi, jer YouTube vrvi starim verzijama.

Kod nessus-a je stvar vrlo jednostavna. Dakle, instaliras ga (na Archu postoji u AUR-u, dok na ostalim distrama ti ga je najjednostavnije za skinuti sa njihove stranice i instalirati). Zatim pokrenes nessusd daemon koji zapravo sve radi za tebe. Zatim otvoris svoj omiljeni web browser i odes na stranicu localhost:8834 (to je adresa na kojoj slusa nessusd), logiras se kao jedan od korisnika definiranih pomocu naredbe nessus-adduser i dalje te sucelje vodi - definiras novi scan, odaberes jedan od unaprijed napravljenih profila skeniranja (ili napravis svoj), definiras IP adresu ili adrese koje zelis skenirati i pokrenes skeniranje. Kad nessus zavrsi (ovisno o opcijama, skeniranje moze potrajati od par minuta do vise sati), pod reports ces imati cijeli izvjestaj o sustavu kojeg si skeniral.

Ako imas problema sa instalacijom, mozes konzultirati ArchWiki (neovisno o tome kaj nisi na Archu).

andrei je napisao/la:Inače možemo se dogovoriti i da ga ti napraviš, pošto ipak to sada trenutno učiš. Što kažeš?

Ak hoces, mogu ti skenirati racunalo, posalji mi samo IP adresu na PM.

Zanimljiva tema.

Dobro odlučeno je da ću staviti i firewall ali to tek kada uhvatim jedno popodne da to sredim.

Kod mene to popodne čeka da dođe na red već nekoliko mjeseci.

Na wikiju postoji članak: http://wiki.open.hr/wiki/Dokumentacija_Sigurnost koji može poslužiti kao smjernica za dalje.

što se tiče apacheja, pogledaj ovo

što se tiče ssh, predlažem da ga na routeru staviš na neki nestandardni port, recimo 9922 ili tako nešto, i to forwardaš na port 22 na serveru. na taj način ćeš se riješit velike većine default dummy scanova koji provjeravaju samo port 22, a ne gledaju iznad (jer im se ne isplati). osim toga, za one koji su baš uporni, stavi lock na ssh account nakon recimo 5 failed attemptova logina.. to bi za ssh trebalo biti dovoljno.

updateaj webappove koje imaš redovno (i plugine), i probaj sakrit phpmyadmin ako ga budeš koristio (sa .htaccessom), jer je on dosta loš po pitanju propusta, često je on krivac problema.

u tom slučaju phpmyadminu ćeš moć i dalje pristupit ako budeš koristio ssh proxy.. (ssh sa switchem -D, proguglaj to malo, lako je (ako to do sada nisi radio)), i kada ti bude upaljen proxy ćeš moći na http://localhost/phpmyadmin/ pristupit phpmyadminu od bilo gdje. samo ti. jer nikome drugome u biti ni ne trebaš dati pristup tome.

uglavnom, veća je šansa da ti netko u taj server probije tako da iskoristi propust u nekakvom cms-u koji ćeš možda potencijalno koristiti, nego u sam server koji je iza routera..

btw, sorry ako je netko iznad već spomenio nešto od ovoga što sam napisao, ne da mi se sad sve iščitavat, veliki su vam postovi

pootzko je napisao/la:što se tiče ssh, predlažem da ga na routeru staviš na neki nestandardni port, recimo 9922 ili tako nešto, i to forwardaš na port 22 na serveru. na taj način ćeš se riješit velike većine default dummy scanova koji provjeravaju samo port 22, a ne gledaju iznad (jer im se ne isplati). osim toga, za one koji su baš uporni, stavi lock na ssh account nakon recimo 5 failed attemptova logina.. to bi za ssh trebalo biti dovoljno.

Pitanje: što se sigurnosti tiče koja je razlika između ovakvog pristupa (promjena porta 22 na neki nestandardni visoki u routeru, pa forward na serveru u 22) u odnosu na postavljanje visokog porta u sshd_config na serveru i forward istog tog visokog u routeru na server?

vrlo generalno, nikakva, sa vanjske strane se uvijek vidi onaj port koji je otvoren, u ovom slucaju visoki..
zapravo moze se reci vrlo mala, postoje routeri gdje slanjem odredjenih paketa mozes inicirati nat sesiju da izgleda kao da je inicirana iznutra.
jel, napravis si port forwarding, ali izvana..