Kochani!
Temat jest poważny ale sposób w jaki został potraktowany przez grupowiczów spowodował jego totalne niezrozumienie i strywializowanie, w końcu został usunięty przez administratora i wcale się temu nie dziwię...
Ponawiam pytanie i proszę wzbić się na wyżyny intelektualne, co dla takiego audytorium nie jest trudne!
Jakie jest realne zagrożenie włamania się na serwer z postawionym Debianem (Proftpd, apache 1.3 i postfix) pod warunkiem że są zainstalowane tylko te serwery i robione są regularne update'y
w
mysle, ze jest to malo prawdopodobne, z technicznego punktu widzenia zabezpieczen moim zdaniem malo wykonalne - aczkolwiek pewnie nie ma rzeczy niemozliwych (exploity, brutalforce itp.), jednak nalezy pamietac, ze najslabszym ogniwem wszelkich zabezpieczen jest czlowiek.. nie pomoga nawet najlepsze zabezpieczenia, jesli nie bedzie wystarczajaco dobrze wybranego hasla.. ktore oczywiscie nie bedzie przyklejone na monitorze i o ktorym nie beda wiedzieli wszyscy dookola..
IMHO niskie, o ile o niego dbasz. Przez "dbasz" rozumiem:
* regularne update'y, jak już wspomniałeś (dystrybucja stable, ma sie rozumieć),
* śledzenie listy debian-security-announce,
* umiejętne korzystanie z paczek typu: nessus, tiger, aide, rkhunter, chkrootkit, john.
Obniżyć poziom zagrożenia możesz dodatkowo przez:
* odpalanie serwerów w środowisku chroot,
* poprawne skonfigurowanie firewalla (podobno dobrze skonfigurowany system tego nie potrzebuje, bardzo możliwe, ale postawienie firewalla nie powinno zaszkodzić [1]);
na pewno ktoś dorzuci coś jeszcze do tej listy.
Mimo nawet najlepszych zabezpieczeń, wpadki zawsze mogą się zdarzyć. Ważne jest żeby szybko je wykrywać i neutralizować. Nigdy nie możesz zakładać, że twój system jest nie do przejścia.
[1] no chyba że masz do czynienia z ludzmi, którzy potrafia przejść "potrójną ścianę ognia" albo włamują się "emacsem przez sendmail" - na takich twardzieli nic nie poradzisz ;-)
* regularne update'y, jak już wspomniałeś (dystrybucja stable, ma sie rozumieć),
* śledzenie listy debian-security-announce,
* umiejętne korzystanie z paczek typu: nessus, tiger, aide, rkhunter, chkrootkit, john.
Obniżyć poziom zagrożenia możesz dodatkowo przez:
* odpalanie serwerów w środowisku chroot,
* poprawne skonfigurowanie firewalla (podobno dobrze skonfigurowany system tego nie potrzebuje, bardzo możliwe, ale postawienie firewalla nie powinno zaszkodzić [1]);
na pewno ktoś dorzuci coś jeszcze do tej listy.
Mimo nawet najlepszych zabezpieczeń, wpadki zawsze mogą się zdarzyć. Ważne jest żeby szybko je wykrywać i neutralizować. Nigdy nie możesz zakładać, że twój system jest nie do przejścia.
[1] no chyba że masz do czynienia z ludzmi, którzy potrafia przejść "potrójną ścianę ognia" albo włamują się "emacsem przez sendmail" - na takich twardzieli nic nie poradzisz ;-)
Do listy POX'a dorzuciłbym jeszcze, umiejętne korzystanie z różnych IDSów, na prawdę porządnie skonfigurowany firewall, oraz korzystanie z wrapperów tcp dzięki którym można ładnie zarządzać dostępem do poszczególnych usług.
Dodatkowo korzystanie z TLS/SSL, w przypadku poczty, jak i również w przypadku ftp i http.
Użytkownikom którym nie jest potrzebny shell i którzy są nieco bardziej zaawansowani powinien wystarczyć shell w postaci scponly i brak ftpa (wrzucą sobie co trzeba sftp/scp).
Do tego jakiś openwall na jądro i rozsądna polityka zakładania kont userom.
EDIT: Jeśli korzystasz z posftixa + mysql radzę jeszcze wystrzegać się trzymania hasł do kont w postaci plain text. Zrobienie tego na md5 nie jest trudnym zadaniem, a trzeba pamiętać o tym, że wiele userów ma jedno hasło do wszystkiego (i trzymanie hasła do skrzynki mail które jest takie samo do ssh w postaci niehashowanej w bazie mysql pomysłem dobrym nie jest. Przynajmniej moim zdaniem). Postfix obowiązkowo z uwierzytelnianiem SMTP.
Pozdrawiam,
Verdan
Dodatkowo korzystanie z TLS/SSL, w przypadku poczty, jak i również w przypadku ftp i http.
Użytkownikom którym nie jest potrzebny shell i którzy są nieco bardziej zaawansowani powinien wystarczyć shell w postaci scponly i brak ftpa (wrzucą sobie co trzeba sftp/scp).
Do tego jakiś openwall na jądro i rozsądna polityka zakładania kont userom.
EDIT: Jeśli korzystasz z posftixa + mysql radzę jeszcze wystrzegać się trzymania hasł do kont w postaci plain text. Zrobienie tego na md5 nie jest trudnym zadaniem, a trzeba pamiętać o tym, że wiele userów ma jedno hasło do wszystkiego (i trzymanie hasła do skrzynki mail które jest takie samo do ssh w postaci niehashowanej w bazie mysql pomysłem dobrym nie jest. Przynajmniej moim zdaniem). Postfix obowiązkowo z uwierzytelnianiem SMTP.
Pozdrawiam,
Verdan
polecam grsecurity, naprawde fajne patche (istnieje openwall dla jader 2.6.x?)Verdan pisze:Do tego jakiś openwall na jądro
rozszerzone atrybuty dla plików też mogą być przydatne
W Etch ma się też pojawić pełne wsparcie dla SELinuksa. Ostatnio gdy go wypróbowywałem, tak zabezpieczyłem sobie system, że nie miałem nawet uprawnień do... uruchomienia komputera
grsecurity jest niezalecane w Debianie. Są problemy, developerzy olali totalnie grsecurity ze względu na fakt, iż autor tego patcha sprzedawał redhatowi namiary na błędy w tymże właśnie i tego typu perełki.POX pisze:polecam grsecurity, naprawde fajne patche (istnieje openwall dla jader 2.6.x?)Verdan pisze:Do tego jakiś openwall na jądro
W związku z czym, często gęsto pojawiają się błędy bo glibc nie jest kompatybilne z tym paczem.
Chodzi tu głównie o pax'a i to jak próbuje chronić pewne obszary pamięci przed zapisem.
Działa to, jeśli korzysta się z nieoficjalnych repozytoriów glibc (przynajmniej tak było jakiś czas temu na stable/testing). Można sobie tym wiecej problemów narobić niż profitów ma się z korzystania z grseciruty.
Poza tym, webrew pozorom, ponoć dziurawe strasznie jest, przynajmniej takie opinie krążą o tym patchu wśród developerów debiana (i nie tylko).
Suma sumarum, grseciruty przestałem używać sam i staram się odradzać używania go innym.
Oczywiście mogę się mylić, mogło się przez ostatnie pół roku pozmieniać itp itd, warto podrążyć temat samemu.
Pozdrawiam,
V.
£ap to - http://lists.debian.org/debian-devel/20 ... 00173.html
Ja grsec używałem przez 4 lat i teraz sobie dałem spokój. Kłóciło mi się jedynie z glibc.
Może po prostu masz wyłączonego PaX'a ?
Ja grsec używałem przez 4 lat i teraz sobie dałem spokój. Kłóciło mi się jedynie z glibc.
Może po prostu masz wyłączonego PaX'a ?