| Autor |
Sõnum |
illukas
Vana Pingviin
Vanus: 43
Liitunud: 24.10.2006
Postitused: 2036
|
|
Sai hiljuti ühe suutmatu it mehe tööd ümber teha ja oi oi oi... seega mõningad soovitused avaliku serveri ülesse toppimiseks...
(konkreetsel juhtumil oli produktiiv serveril x installitud ja lubatud ka võõrastest masinast X sessiooni algatamine ja seda ka root sisselubamisega. X-query xxx.xxx.xxx.xxx andis üle interneti ilusti pildi ette, ruudu parool sisse ja vuolaaa. Lisaks ohtralt muidki idiootsusi)
*paigalda nii minimaalne süsteem kui vähegi saad, ei ole serveris vaja ei X ega muid mõttetuid vidinaid. Ideaalse serveri ülesseupitamine hakkab netinstallist ja paigaldatakse ainult see mis vaja
*võta levinum distro. See enda peal katsetatud. Oli kunagi üks väga hea distro nagu seda on trustix- ideaalne, pisike, kernelist ka mittevajalik jura välja jäetud. Kuid ükspäev pandi pillid kotti ja asi korras, peab jälle ümber ehitama
*Kõik mida ei ole otseselt vaja keera kinni- serviced, mida ei kasutata, neid ära pane ka käima, kui on nn. ohtlik service, kasuta rootjaili
*teenustele kindlad ligipääsud, nii kasutajatenimede kui võrguaadresside järgi- nt samba laseb defauldis ligi kõikkidelt kaartidelt
*Uuenda serverit
*kõik teenused konfigureeri nii kindlaks, et sul enesel ka natuke raske sisse saada. Siinkohal ssh näiteks- http://viki.pingviin.org/index.php/Ssh_turvalisemaks_tegemine
*Tulemüüri confi vaata eriti terava pilguga, sest see on sinu masina A ja O.
*kui ei oska ja ei tea siis uuri ja loe ennem kui tegema hakkad- lollid lahendused on need kõikse jubedamad
*RTFM
Täiendage julgesti
|
|
|
|
|
|
|
   |
antik2
Vana Pingviin
Liitunud: 09.10.2006
Postitused: 634
Distributsioon: Big Strong D...
|
|
| illukas kirjutas: | | Täiendage julgesti |
Root kasutaja üle võrgu sisselogimine peaks iseenesestmõistetavalt igalpool keelatud olema- miks suurem osa linuxeid selle lahti jätab ma küll aru ei saa.
Lugege logisid- kindlasti seadistage oma aliases failis root alias oma õige mailiaadressiga. Installeerige Tripware või sarnane tarkvara, mis näitab mis teie süsteemis tegelikult toimub.
Üks asi mida veel wannabe adminnid ära unustavad on BACKUP! Jaajaa, seda te lihtsalt ei tee, kas ruumipuudusest, lollusest või lihtsalt ema ei luba. Võrk on skripte ja tarkvara täis millega koopiaid teha- ma soovitaks kasvõi rsync-i või dump/restore kooslust.
Järgmine kriitiline moment on kellaaeg- pange käima ntp.
Mailiserveritel kontrollige, et ei oleks open-relay-d. Ärge kasutage aegunud või tundmatut MTA-d. Kui teil on masinas Qmail- siis soovitan sellele kohe tule otsa panna. Kasutage krüpteerimist- keerake kinni lahtised pop3 ma imap teenused- kasutage ainult pop3s või imaps-i. Seadistage serveritevahelised mailitranspordi krüpteerimised. Spämmi ja viirusetõrje on mailiserveril iseenesestmõistetav, nii sisse, kui väljaminevate kirjade skaneerimiseks.
Ise kasutan kooslust:
* Postfix MTA (ssl, tls külge krutitud)
* Dovecot autentimine (kirjade vastuvõtmiseks ja saatmiseks- IMAPs, POP3s)
* Spamassassin
* Clamsmtpd (viirusetõrje mailiserverile)
Operatsioonisüsteem ei ole oluline- kasutaga seda mida kõige paremini tunnete. Mina isiklikult eelistan FreeBSD-d.
|
|
|
|
Viimati muutis antik2 04.06.2008, 12:03; muudetud 2 korda
|
|
|
|
sadiini
Vana Pingviin
Vanus: 53
Liitunud: 28.12.2007
Postitused: 1456
Asukoht: Otsige mind kolmandalt planeedilt...
Distributsioon: Lubuntu, Bodhi, Feren OS
|
|
Avaldan arvamust..
root (ehk juurikas) ei peaks mitte mingil juhul kaugelt sisse saama. Sellega jäetakse paigaldatud süsteem kaitseta.
Serverile on vajalikud Ainult Need rakendused, mida ta oma tööks vajab. Punkt.
Teenused, mida server pakub, peavad olema kindlalt fikseeritud ja jälgitavad. Jälgitavad...
Eriarvamus on tulemüüri suhtes. Ta ei peaks niivõrd takistama, kuivõrd "kisa tegema", kui midagi erinevat tomub.
Ise mainisid, et sul "backup" olemas on?
Täiendasin!
Ise soovisid seda!
|
|
|
|
|
|
|
|
antik2
Vana Pingviin
Liitunud: 09.10.2006
Postitused: 634
Distributsioon: Big Strong D...
|
|
| sadiini kirjutas: | | Eriarvamus on tulemüüri suhtes. Ta ei peaks niivõrd takistama, kuivõrd "kisa tegema", kui midagi erinevat tomub.
|
Minuarust on tulemüür ületähtsustatud, mida sa temaga kaitsed, kui sul on niikuinii vajalik ligipääs teatud portidele? Ainuke eesmärk mida ma näen tulemüüril on piirata ühenduste arvu sekundis/minutis (rate control) ja keelata ära mõningad ip-d kellel ei ole vaja ligi pääseda. Ma ise kasutan tulemüüri ainult QoS-i jaoks, ehk reguleerin ip pakettide prioriteete- ACK-le annan rohkem hingamisruumi.
|
|
|
|
|
|
|
|
sadiini
Vana Pingviin
Vanus: 53
Liitunud: 28.12.2007
Postitused: 1456
Asukoht: Otsige mind kolmandalt planeedilt...
Distributsioon: Lubuntu, Bodhi, Feren OS
|
|
Olen nõus arvamusega tulemüüri teatavate portide suhtes. Aga...
Praegusel ajal, kui igasugused "script-kiddies" mööda võrku ringi-rallivad...
Tulemüür on vajalik lisa serverile. Kuidas sellega ümber käia - vaat see on eraldi teema.
Eriarvamus - see on ka hea arvamus.
Mina pargin oma firma kodulehte serveris, mis ei asu minu enda kodus. Mul on asi nii seatud, et backup tehakse alati peale seda, kui midagi muutub. Ise teen  Kuigi on cron-võimalus.
Lisan sellise ütluse:
Mina ei ole serverite suhtes mitte mingi spets!
|
|
|
|
|
|
|
|
illukas
Vana Pingviin
Vanus: 43
Liitunud: 24.10.2006
Postitused: 2036
|
|
| antik2 kirjutas: | | Minuarust on tulemüür ületähtsustatud, mida sa temaga kaitsed, kui sul on niikuinii vajalik ligipääs teatud portidele? |
alles hiljuti lugesin kusagilt, äkki oli isegi siit kus keegi tegi iptablesi scripti ja default policy oli forward ja accept ???
Lisaks serveri asukoht- kui ta vedeleb kusagil laua all ja koristaja igakord oma harjakesega suure müksu paneb siis võid varsti oma kettakesele aidaa öelda.
Backup, ehk varukoopia ei ole kopeerimine teise kausta, vaid teisele seadmele, hea oleks kui asuks eraldi ruumis, võimalikult kaugel serverist.
|
|
|
|
|
|
|
|
spott
Admin
Vanus: 43
Liitunud: 04.06.2005
Postitused: 8855
Distributsioon: Ubuntu
|
|
Enda poolt ka mõned soovitused:
* Uuendamine, uuendamine, uuendamine - kõige lihtsam tegevus
* Turvahoiatustel silm peal hoida - Secunia portaal näiteks
* Jälgige veebiserveri puhul ka tarkvara, mida kasutatakse. Et ka see oleks uuendatud (foorumid, skriptid jne).
* Apachele hea lisa - mod_security - samas reeglitega tuleb mängida, et liiga karmiks ei läheks
* Meiliserveri puhul hea kasutada rahvusvahelisi blackliste - et kui saatja juba seal, siis serveriga edasi ei suhelda
Ja mis kõige tähtsam - kui midagi metsa on läinud, siis varuge aega ja kannatust.
|
|
|
|
_________________
Tellige endale sünnipäevaks, sõbrapäevaks või muuks tähtpäevaks kingitus: Kingitused internetist - NetiKink.eu
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 49
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
| illukas kirjutas: | | antik2 kirjutas: | | Minuarust on tulemüür ületähtsustatud, mida sa temaga kaitsed, kui sul on niikuinii vajalik ligipääs teatud portidele? |
alles hiljuti lugesin kusagilt, äkki oli isegi siit kus keegi tegi iptablesi scripti ja default policy oli forward ja accept ???
Lisaks serveri asukoht- kui ta vedeleb kusagil laua all ja koristaja igakord oma harjakesega suure müksu paneb siis võid varsti oma kettakesele aidaa öelda.
Backup, ehk varukoopia ei ole kopeerimine teise kausta, vaid teisele seadmele, hea oleks kui asuks eraldi ruumis, võimalikult kaugel serverist. |
Noh, filter tabeli forward policy võib ju accept olla aga vaikimisi kernelis on nagunii ip forward keelatud nii, et kernel viskab paketi maha ruutimis otsust tehes ning paket ei jõuagi üldse filtri forward ketti. Pealegi keegi pole ju väitnud nagu oleks drop policy mingi unikaalne standard äkki ma keelan ainult teatud pordid ja luban muu liikluse mingil põhjusel.......
Minu meelest kõik algab planeermisest.
Tuleb kaardistada võimalikud riskid ja neid analüüsida ja tulemustele vastavalt rakendada meetmeid. Kõige ohtlikumad riskid kõrvaldada mõned riskid aktsepteerida. See kõik ju on erinevate serverite puhul erinev ja seetõttu pole ka mingit universaalset valemit.
Kui sa oled läbi mõelnud (ja kirja pannud) mis võib juhtuda ja valmistunud selleks ja võtnud kasutusele meetmeid on ilmselt automaatselt kõrvaldatud ka sellised ülalmainitud lauslollused ja isegi kui midagi juhtub (mille eest pole keegi kaitstud) on sul kohe teada mis pead tegema.
Minu soovitus on istuda maha ja mõelda kaaslaseks paber ja pliiats ning teha:
1) riskide kaardistamine ja nendele ohtlikusastmete määramine.
2) kuidas vähendada leitud riskide toimumis tõenäosust vastavalt ohtlikusastmele, väiksemad riskid on ei ole alati meetmeid väärt.
3) plaan selleks puhuks kui mõni antud riskidest realiseerub.
|
|
|
|
_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford
|
|
|
 |
midnight
Vana Pingviin
Liitunud: 09.08.2007
Postitused: 733
Distributsioon: Ubuntu 8.04
|
|
|
Viimati muutis midnight 05.06.2008, 22:00; muudetud 1 kord
|
|
|
|
illukas
Vana Pingviin
Vanus: 43
Liitunud: 24.10.2006
Postitused: 2036
|
|
| midnight kirjutas: | väline ruuter-nat-tulemüür kaitseb eelkõige Windowsi kasutajaidHetkel testimisel e-torrent server:
https://81.21.249.5/
vast viin planet.ee'sse hiljem.. |
mis see siia puutub?
|
|
|
|
|
|
|
|
|
|
|
