18 replies to this topic

[arbor]

Установить Linux/BSD - не проблема, инсталлятор все сделает за нас, а вот правильно настроить систему, чтобы ее тут же успешно не атаковали хакеры, удается далеко не каждому.

1. Использование одинаковых паролей
2. Установка открытого proxy
3. Включение поддержки IPv6
4. DNS на UDP
5. Запуск подозрительных программ под root'ом
6. Использование Горящего Лиса
8. Неудаленный map-файл
9. Отсутствующие директории в lib
10. Игнорирование битов NX/XD

Xakep.ru

[Delf]

and?

Может рассмотрим каждую ошибку в индивидуальном порядке?) Только это не по мне, вот Чарли или Илг я думаю смогут нам помочь

[Ilg]

могу научить как поднять засекьюренный веб сервер, по крайней мере я думаю что он засекьюренный

[arbor]

могу научить как поднять засекьюренный веб сервер, по крайней мере я думаю что он засекьюренный

На чем поднимаешь? На Фряхе?

[Ilg]

arbor,

вообще то на линухе, но на самом деле неважно, потому что я говорю не о засекьюривании ОС, а о засекьюривании веб сервера в виртуал хостинг енвайронменте

[arbor]

Ilg,
Засекьюривание веб сервера это хорошо, но что если сама ОС кривопоставленная?

P.S. сам огрничивался стандартными настройками апачи

[Ilg]

arbor,

кернел линукса обновляется периодически, так что не думаю что все так плохо

[arbor]

Главное, чтоб ленивый админ не забывал вовремя все обновлять
З.Я. Согласис, что Фри считается более стабильной осью.

[Ilg]

arbor,

дык я не спорю

[arbor]

Какие еще методы засекьюривании веб сервера используешь?

[Ilg]

arbor,

честно говоря ничего сверхестесственного, джейл, суекзек, фастсджай надо еще докрутить ресурс лимитейшн, руки не доходят

[arbor]

Ладно, не надо раскрывать всех секретов
Как бы не участились атаки на наш IPB

[Ilg]

arbor,

ну так я все и не сказал

[charlie]

З.Я. Согласис, что Фри считается более стабильной осью.

По каким критериям считается более стабильной?
По крайней мере для систем, на которых крутятся Java/Oracle, фрюшка, имхо, малоприменима. Кроме того, не сказал бы, чтобы фриха была секьюрнее допустим Debian-a. Дефолтные настройки и там, и там довольно разумны.

[safpir]

недавно возникла проблема на одном сервере (с разных непонятных ИП брутят по 22 порту ... ) решенией в сети хватало ...
ограничеть цисло попыток конекта .. ограничить юзверов которые могут заходит по SSH ... при 4-5 неправилных попыток ИП заносить в блэклист ...
или вопще с самого начала юзать правило (пускать с двух ИП а другое все резать) ...


2arbor - статья с какера что ты запостил вроде имелла ввиду про десктоп никсы ... ты у точни о чем разговор о десктопе или сервере ...
если сервере то под какие задачи ... (смотрят в инет или за стенкой етс)

[arbor]

По каким критериям считается более стабильной?

Не могу сказать, что имею пятилетний опыт работы как с фри, так и с линуксом, все мотивируется статистикой.
Достаточно сказать, что 70% рунета использует фряху.

2arbor - статья с какера что ты запостил вроде имелла ввиду про десктоп никсы ... ты у точни о чем разговор о десктопе или сервере ...
если сервере то под какие задачи ... (смотрят в инет или за стенкой етс)

Похоже, что Крис в своей статье писал про никсы в целом. Это может касаться как десктопа, так и сервера. Не понимаю как уточнить На хакере все доступно изложено.

[charlie]

Не могу сказать, что имею пятилетний опыт работы как с фри, так и с линуксом, все мотивируется статистикой.
Достаточно сказать, что 70% рунета использует фряху.

Не могу сказать, что это для меня аргумент надежности. Всем известно что большинство рунетовских хостеров ставили фрюху, т.к. были с ней "лучше знакомы", так сказать. Кроме того, откуда "дровишки", то бишь cтатистика.

[safpir]

Не могу сказать, что имею пятилетний опыт работы как с фри, так и с линуксом, все мотивируется статистикой.
Достаточно сказать, что 70% рунета использует фряху.
Похоже, что Крис в своей статье писал про никсы в целом. Это может касаться как десктопа, так и сервера. Не понимаю как уточнить На хакере все доступно изложено.

сама статья про секюрити рабочих станций (ака десктопов) ....

Несмотря на то что в xBSD и особенно в Linux имеется достаточное количество дыр, под которые написано множество эксплойтов, большинство атак совершается не через них (хотя и через них тоже), а «благодаря» грубым ошибкам конфигурации, допущенным администратором. Это справедливо как для серверов, так и для рабочих станций, однако серверы имеют свою специфику: здесь доминируют дыры в PHP/Perl-скриптах, SQL-injecting и т.д. Об этом уже неоднократно говорилось на страницах нашего журнала, так что оставим серверы в покое (о них есть кому позаботиться) и сосредоточимся на рабочих станциях обычных пользователей, которые обучаются методом тыка и совершенно не знакомы с тактикой ведения боя против хакеров.

http://www.xakep.ru/...135/default.asp

з.ы% когда увидел в твоем посте (отрывки из статья) про фаирфокс, сразу понятно стала что относится к десктопам ...

а ты можешь расказать из личного опыта как ты секьюрил сервера (ну мона про десктопы тоже расказать ну думаю мало кому будет интересно) ...

з.ы.ы.ы% пуст другие тоже подключатся .....

Edited by safpir, 19 September 2007 - 12:03 PM.

[arbor]

Статья не моя, а Криса Касперски