Grzegorz M.

Grzegorz M. Właściciel,
Grzemaart sp. z
o.o.sp.k.

Temat: Zabezpieczenie servera FTP

Witam,

Dostałem do zarządzania serwer dedykowany, mam sprawić aby strona która na nim będzie umieszczona - działała.
Zainstalowano na nim Ubuntu 10.04.

SSH zostało zabezpieczone dostępem tylko i wyłącznie z kluczami
poczta, też jest zabezpieczona
apache, raczej nie wymaga jakiegoś większego zabezpieczenia
mysql, jest widoczny tylko z localhosta (porty zablokowane przez ufw)

Zainstalowany ufw, z domyślną regułą "blokuj", zezwolone tylko: ssh, www, poczta, ftp.

Teraz pytanie o ten ostatni element jak sprawić aby FTP był bezpieczny? każdy użytkownik ma swoje konto chrootowane na swój katalog domowy. Użytkownik root (oraz paru innych) zablokowany.
Serwer to vsftpd.

Czy można zrobić coś jeszcze? Aby czuć się bezpiecznie?
Łukasz T.

Łukasz T. administrator
systemów, Grupa
Interia.pl

Temat: Zabezpieczenie servera FTP

sftp

Temat: Zabezpieczenie servera FTP

Gorąco polecam fail2ban. Pomoże przy SSH, ftp, apache i wielu innych.

konto usunięte

Temat: Zabezpieczenie servera FTP

Łukasz Terlecki:
sftp

SFTP jest rozszerzeniem SSh, jeżeli chcesz to istnieje też FTPS, czyli rozwinięcie FTP

konto usunięte

Temat: Zabezpieczenie servera FTP

Czy można zrobić coś jeszcze? Aby czuć się bezpiecznie?

Przede wszystkim nie pisać, że "apache, raczej nie wymaga jakiegoś większego zabezpieczenia", bo szczególnie jeśli strona jest w PHP, to to jest potencjalny punkt największych zmartwień. ;>
Maciej K.

Maciej K. DevOps Engineer

Temat: Zabezpieczenie servera FTP

Grzegorz Machocki:
Witam,
apache, raczej nie wymaga jakiegoś większego zabezpieczenia

ROTFL.

Jeśli wszystko "zabezpieczasz" tak jak Apache'a to na Twoim miejscu jednak nie czułbym się bezpiecznie.

Jeśli myślisz, że są jakieś złote myśli, które w 10 minut pozwolą Ci zabezpieczyć serwer to jesteś w błędzie. Są pewne zasady i reguły, których należy się trzymać ale taką wiedzę często gromadzi się latami popartymi praktyką. O każdym procesie w systemie, protokole sieciowym czy usłudze, którą udostępniasz można napisać kilka tomów książki a Ty chcesz, żeby ktoś Ci na GoldenLine napisał w 5 minut co zrobić, żeby czuć się bezpiecznym :) I do tego sądzisz, że nawet jak wszystko zrobisz u siebie jak należy to będziesz mógł spać spokojnie. To tak nie działa, bo zawsze może się znaleźć ktoś kto wie więcej albo znajdzie coś, czego nie przewidziałeś. Oprogramowanie serwerowe też ewoluuje i jest to proces ciągły. Nie można postawić serwera i o nim zapomnieć, bo zabezpieczony serwer dziś może się okazać dziurawym jutro.

Może gdybyś zadał konkretne pytanie to by było inaczej.Maciej K. edytował(a) ten post dnia 18.10.11 o godzinie 13:29

Temat: Zabezpieczenie servera FTP

Grzegorz Machocki:
apache, raczej nie wymaga jakiegoś większego zabezpieczenia

Z Twoim podejściem to nawet rosyjscy hakierzy, którzy włamali się do mysql.com Cię teraz nie ruszą :D
Większość ataków dziś to ataki na aplikacje www. Ja bym zaczął właśnie od zabezpieczenia www.

Jeśli chcesz być *bezpieczny* udostępnianie na świat ftp, bez żadnego kanału szyfrującego, to z pewnością nie jest dobry pomysł.

konto usunięte

Temat: Zabezpieczenie servera FTP

Grzegorz Machocki:
apache, raczej nie wymaga jakiegoś większego zabezpieczenia
Ehhh....
Czy można zrobić coś jeszcze? Aby czuć się bezpiecznie?
Nie ma tak dobrze ;).

Maciej słusznie zauważył. Załatać choć trochę Apache`a to 10 min.
Sam sobie kiedyś ściągę napisałem nawet: http://mery84.eu/archives/96
Łukasz T.

Łukasz T. administrator
systemów, Grupa
Interia.pl

Temat: Zabezpieczenie servera FTP

Dawid Rogaczewski:
Łukasz Terlecki:
sftp

SFTP jest rozszerzeniem SSh, jeżeli chcesz to istnieje też FTPS, czyli rozwinięcie FTP

O to to, literki mi się pomieszały :P
Grzegorz M.

Grzegorz M. Właściciel,
Grzemaart sp. z
o.o.sp.k.

Temat: Zabezpieczenie servera FTP

Arkadiusz Z.:
Grzegorz Machocki:
apache, raczej nie wymaga jakiegoś większego zabezpieczenia
Ehhh....
Czy można zrobić coś jeszcze? Aby czuć się bezpiecznie?
Nie ma tak dobrze ;).

Maciej słusznie zauważył. Załatać choć trochę Apache`a to 10 min.
Sam sobie kiedyś ściągę napisałem nawet: http://mery84.eu/archives/96
ciekawy artykuł podałeś.

Takie jest właśnie podejście osoby która trochę mało wie o zabezpieczeniach. Nie będę tego nawet ukrywał.

Dzięki za informacje i liczę na więcej, człowiek jakoś musi się uczyć :)

A nie jest tak, że Apache, jeśli jest załatany - to jeśli ktoś nie weźmie sobie za cel konkretnej maszyny to i tak go nie obejdzie? Jeśli mi wiadomo, to skrypty szukają bardziej phpmyadmina, i wystarczy zablokować go dla wszystkich a puścić dla wybranych IP. Rozwiązanie toporne, ale skuteczne.
Jeśli ktoś kto zna się na zabezpieczeniach weźmie na cel maszynę, to można mieć wszystko dobrze zainstalowane i skonfigurowane a i tak można nad nią stracić kontrolę.Grzegorz Machocki edytował(a) ten post dnia 18.10.11 o godzinie 14:06

konto usunięte

Temat: Zabezpieczenie servera FTP

Grzegorz Machocki:
A nie jest tak, że Apache, jeśli jest załatany - to jeśli ktoś nie weźmie sobie za cel konkretnej maszyny to i tak go nie obejdzie? Jeśli mi wiadomo, to skrypty szukają bardziej phpmyadmina, i wystarczy zablokować go dla wszystkich a puścić dla wybranych IP. Rozwiązanie toporne, ale skuteczne.
Security by obscurity....
Jeśli ktoś kto zna się na zabezpieczeniach weźmie na cel maszynę, to można mieć wszystko dobrze zainstalowane i skonfigurowane a i tak można nad nią stracić kontrolę.
Owszem. Tylko to wcale nie jest powód żeby byle script kiddie Ci serwer wykolejał z nudów bo się szczeniak naoglądał tutoriali do metasploita i rozrabia łatwo dostępnymi exploitami albo próbuje Cię DoSować.
Im mniejszy wkład pracy w zabezpieczenie serwera tym częściej będziesz tracił czasu na restore.
Marcin Rybak

Marcin Rybak Administrator

Temat: Zabezpieczenie servera FTP

Arkadiusz Z.:
Im mniejszy wkład pracy w zabezpieczenie serwera tym częściej będziesz tracił czasu na restore.
jest dokładnie tak jak pisze Arek, nie da się wszystkiego w 100% zabezpieczyć, nawet jak chcesz, to zawsze trafi się większy kozak, albo ktoś kto kupi 0-day'a na rosyjskim blackmarkecie w myśl zasady chcieć to móc.
Bronić się przed automatami jest w miarę łatwo - i przytoczone tu przykłady będa skuteczne, targetowanemu atakowi przeciwstawić sie trudno, szczególnie jak masz własnie apacza dla userów - którzy wrzucają co popadnie i nie aktualizują swoich webapsów. W przypadku apacza skup się na suexecu i ograniczeniu tego - do czego jakikolwiek skrypt php ma dostęp (każda instancja każdego usera powinna chodzić na innym userze dla php, coby również jeden drugiemu w dane nie zaglądał).
No i niestety - im więcej czytasz - tym mniej masz pewność, że dobrze zrobiłeś, ale to dobrze... bezpieczeństwo to proces.

no i chyba najważniejsze - trzymaj backupy i logi na zewnątrz, jak coś się posypie - to będziesz miał z czego zbierać i wyciągać wnioski.Marcin Rybak edytował(a) ten post dnia 18.10.11 o godzinie 15:39

konto usunięte

Temat: Zabezpieczenie servera FTP

No dobrze, wszystko zabezpieczone i śmiga, ale Apache dalej weryfikuje się jako Apache, ssh jako ssh, system jako system unixowy lub unixopodobny, etc etc...

Co zawsze należy zrobić? Troszke pobawić się z weryfikacją zewnetrzną serwera, Apache niech będzie widoczny jako IIS, system jako Windows, ssh jako telnet?

Czy firma uzywa systemów IDS?

Jak zabezpieczony jest sam system operacyjny? Czy funkcjonują mechanizmy PAM? Czy jest włączona obsługa libsafe?

Co do samej witryny:

a) wyłączyć widoczność błedów w PHP w pliku php.ini
b) sprawdzić aplikację pod kątem błedów, czyli co się dzieje kiedy nastąpi bład?
c) nigdy nie pozwalać, aby użytkownik zobaczył pasek informacyjny apache

Można psróbować napisac zestaw skryptów do monitorowania podejrzanych zachowań. Można także sobie kupić druga komórka i wysyłać podejrzane logi wprost na nią.
To wszytko co mi przyszło do głowy w 5 minut. Powodzenia.

Co do:
jest dokładnie tak jak pisze Arek, nie da się wszystkiego w 100% zabezpieczyć, nawet jak chcesz, to zawsze trafi się większy kozak,

Można spróbować, zabezpieczyć wszystko, tylko jakich nakładów będzie to wymagało i czy będzie to dla firmy opłacalne?

A co do logów i backupów na zewnątrz - święta racja.

I koniecznie co jakiś czas wynająć osoby z zewnątrz firmy do przeprowadzenia testów penetracyjnych i ponawiać ten test co kwartał. W kwestii raportu, przeczytać aspekty krytyczne, bo na pewno takie się znajdą i troszkę się tematowi przyjrzeć, niekoniecznie stosując się w pełni do zaleceń osoby wykonującej test penetracyjny.Adrian Stolarski edytował(a) ten post dnia 18.10.11 o godzinie 16:42
Maciej Ż.

Maciej Ż. człowiek orkiestra

Temat: Zabezpieczenie servera FTP

Popieram generalnie to co napisał Marcin.

jeżeli dobrze zrozumiałem to serwer o którym tu rozmawiamy jest dedykowany dla jednej aplikacji webowej a dostęp po ftp jest potrzebny np. dla deweloperów lub pracowników wewnętrznych firmy/klienta. Jeżeli się mylę i piszesz o hostingu współdzielonym dla ludzi z ulicy to warto by się zainteresować również grsecurity.

Odnośnie tego co podano już tutaj to:
W przypadku jednej aplikacji webowej dla mod-security zamiast reguł z atomicorp/gotroot-a proponował bym reguły CRS i je dobrze skonfigurować.

ochrona przed DoS: dokonfigurowac modsec + httpd-guardian lub chociaż mod-evasive doinstalowac do apache-a

Oceń wartość danych chronionych generalnie a potem dobieraj środki. Bo jeżeli przegniesz z zabezpieczeniami to może się to obrócić przeciw Tobie (false positive-s na modsec i rzeźbienie reguł, wyparuje klucz prywatny do ssh,nadmiar logów i alertów do analizy, etc.).
Grzegorz M.

Grzegorz M. Właściciel,
Grzemaart sp. z
o.o.sp.k.

Temat: Zabezpieczenie servera FTP

Maciej Żarczyński:
jeżeli dobrze zrozumiałem to serwer o którym tu rozmawiamy jest dedykowany dla jednej aplikacji webowej a dostęp po ftp jest potrzebny np. dla deweloperów lub pracowników wewnętrznych firmy/klienta.
Dokładnie to będę dwie strony, jedna powiązana z drugą (jedna jest to coś ala e-learningu, druga dodatek - gra flash).

Serwer stoi i się raczej nudzi. Ruch tam jest głównie przy oglądaniu filmów (net + HDD).

Nie wiem dlaczego, ale o atak przez apache, raczej się nie boję - może dlatego, że nigdy nie miałem żadnego a serwerów kilka do dyspozycji tak.
Miałem tylko próby przez SSH, ale wtedy używałem denyhosts.
Miałem przez phpmyadmina próby - szukali niezabezpieczonych skryptów, nie znaleźli.

Pewnie dedykowanego ataku bym nie przetrwał, ale dedykowanego ataku się nie obawiam.
Kilka pomysłów jest warte przeanalizowania i dodania, zwłaszcza ukrywanie się bardziej w sieci :)

Nigdy nie trzymałem otwartego FTP (logowanie wymagane) - stąd ten wątek.Grzegorz Machocki edytował(a) ten post dnia 18.10.11 o godzinie 16:58
Marcin Rybak

Marcin Rybak Administrator

Temat: Zabezpieczenie servera FTP

Grzegorz Machocki:
Pewnie dedykowanego ataku bym nie przetrwał, ale dedykowanego ataku się nie obawiam.

bardzo nielogiczne, prawie jak mówienie:
"Kradną w mojej miejscowości auta, to jak będą chcieli to i moje ukradną, to na cholerę będę go zamykał"

no i spróbuj sobie poszukać analogii w tym, że jak zamkniesz auto - to przynajmniej Ci żul do niego nie nasika
Grzegorz M.

Grzegorz M. Właściciel,
Grzemaart sp. z
o.o.sp.k.

Temat: Zabezpieczenie servera FTP

akurat mój znajomy miał zamknięte auto, narkoman wszedł do środka wstrzyknął sobie coś (możliwe, że była grubsza impreza), po czym próbował go ukraść - nie udało się mu to, na końcu go podpalił.
Faktycznie zamknięcie drzwi zmieniło dużo.

Zamknięte drzwi, sprawią, że ktoś kto nie wybije okna się do niego nie dostanie - tak mam teraz, jeśli ktoś okno wybije mogę mieć alarm, gps czy inne rzeczy a i tak mogę się pożegnać z zawartością auta lub autem.

Tutaj jest tylko rozwiązaniem regularny backup.
Marcin Rybak

Marcin Rybak Administrator

Temat: Zabezpieczenie servera FTP

widzę, że nie zrozumiałeś

konto usunięte

Temat: Zabezpieczenie servera FTP

Jest tylko jeden sposób na 100% bezpieczeństwo w sieci, należy odłączyć od niej komputer.
Marcin Rybak

Marcin Rybak Administrator

Temat: Zabezpieczenie servera FTP

Dawid Rogaczewski:
Jest tylko jeden sposób na 100% bezpieczeństwo w sieci, należy odłączyć od niej komputer.
i wyłączyć z prądu :)

Następna dyskusja:

FUNNY - RAID5 over FTP :)




Wyślij zaproszenie do