Взлом компьютера

[Sicness]

Ну давайте поразмышляем еще.

> 1. кроме веб-сервера там будет открыт как минимум ssh
2. еще вы там веб-мин запустить хотите порт у него 10000 (или 1000 не помню, не пользовался никогда)
ipfw add allow tcp from 192.168.1.0/24 22 to me
ipfw add allow tcp from me 22 to 192.168.1.0/24
...
#или как-то аналогично... идея ясна.

> 3. если вы все хотите закрыть mod_security то нафига фаервол?
Не понял мысль. mod_security защитит от опасных запросов к web-серверу. А ipfw разграничит доступ к портам сервера.

>4. картинки при заливке проверяются на тип и никакой ПХП код в нормальной картинке не спрячешь, к тому же они используются только в параметре img src и ни как более. Если сайт пытаетс выполнить картинку как код - криворукость программиста.
Не редкая криворукость. При желании могу поделиться лично с Вами домашним видеом с ФОСа как это происходит.

>5. chroot теперь думаю имеет смысл в свете 1 и 2, к тому же есть много файлов к которым желательно доступ закрыть даже из скриптов на сервере. /etc/passwd /etc/sysconfig/iptables.... соответсвенно их вообще не должно быть в файловой системе для apache (/etc/passwd нужно оставить только 1 строчку про apache)

В целом так, но при условии использования нормальных паролей доступ злоумышленика к /etc/passwd и даже к /etc/shadow бессмыслен. /etc/sysconfig/iptables доступ только root и его группе. Для учетной записи apache он будет недоступен и так. Т.е. chroot это наверное будет лишним...

>6. Да и объясните мне как вы хотите защититься от выполнения произвольных скриптов на сервере ФАЕРВОЛОМ?????????? не путаете ли вы его со встроенной системой SELinux...
Да не, фаерволл защитит от несанкционированного открытия /bin/sh на заданном злоумышлеником порту, открытого при помощи web-скрипта.

>7. все примеры, описаные вами выше, решаются втавлением рук програмиста из жопы к плечам. Потенциально опасные команды должны защищаться и перепровертьс тщательно.
Это так, но увы... ) В таком случае не было бы и в продуктах Microsoft (Эксперты); и Zk не старался бы установить последнюю версию этого форума и т.д. ) Ошибки, как следствие, человеческого фактора, вечны Для интереса хорошо наблюдать за лентой новостей типа http://securitylab.ru , вижно что даже профессионалы делают такие тупые ошибки иногда.

>8. PSAD - защита от сканирования. Представим ситуацию кто-то запускает nmap xspider... и чтобы заблокировать поток данных от них как раз и будет работать psad. Нушно/ненужно - не навязываю, просто как альтернатива snort
Да, всё больше сомневаюсь в смысле установки snort, ведь никто проверять отчеты не будет ) Для внешнего мира будет открыто только 80й порт: mod_security не умеет защищать от частого запроса страниц?

P.S.
Мы так выведем оптимальную политику для проекта )

[Lundil]

от частого запроса страниц mod_security не защитит
защитит mod_limitipconn

iptables по умочанию с правами rw-r-r root:root значит прочитать правила вполне возможно

[Sicness]

iptables по умочанию с правами rw-r-r root:root значит прочитать правила вполне возможно

Чтение правил мало что даст взломщику из ФОСа )
И смысла нет его держать "с правами rw-r-r". Ведь фаерволл от root, и, я думаю, не будет проблем если поставить 660.

Надо собрать мысли в кучку и сделать выводы и планы...

[Lundil]

план прост - ищешь старую дерьмовую машину, ставишь на нее CentOS (без вских виртуальных машин из-под венды) устанавливаешь пароли пострашнее.
дальше запускаешь setup и отключаешь все ненужные службы, которые открыты в сеть. Оставлешь httpd ssh ну и системные.
ssh - отключаешь возможность удаленно логиниться под root, и стандартный порт меняешь (это по желанию)
netstat -anp -- проверешь че еще открыто в сеть, и опять setup и отключаешь
настраиваешь - NTPD, кеширующий DNS (bind) с пакетом bind_chroot, iptables, httpd
проверешь как оно работает
ставишь mod_security, mod_limitipconn настраиваешь, проверяешь.
ставишь ProFTPD настраиваешь, проверяешь (можно FTPS протокол настроить)

вуаля - сервак на все случаи жизни готов.

а оставлять там только httpd как видишь не получится.
Другие сервисы не обязательны, но как они сильно упрощают жизнь.

Вот такой план.

[Кадет]

А я вапше не вкуриваю о чём тут речь идёт... рановато для меня ещё... наверно...

[Sicness]

> ставишь на нее CentOS
Можно, но выбрали чисто freebsd для минимизации размера образа.

> ssh - отключаешь возможность удаленно логиниться под root
По умолчанию вроде так и есть. Может переименовать его лучше? Потому что хорошо бы оставить возможность юзеру заходить под uid=0, чем запудривать юзеру мозги интсрукциями.

> кеширующий DNS (bind)
Надо ли, если это серверная машина, а не клиентская? Т.е. он же не будет лазить по сети, зачем ему DNS.

> ставишь ProFTPD настраиваешь
Я против.

SSH включает также SCP - безопасный эквивалент RCP, средства удаленного копирования, и SFTP - безопасный аналог FTP.

Клиент WinSCP. Лишний демон, причем без шифрования, не нужен.

> bind_chroot
Настаиваете на желательности использования?

P.S.
Разработчик проекта, DPX-Infinity, безвести пропал...

[Lundil]

> ssh - отключаешь возможность удаленно логиниться под root
...Потому что хорошо бы оставить возможность юзеру заходить под uid=0, чем запудривать юзеру мозги интсрукциями.

Грубейшая ошибка. Нельзя давать логиниться сразу под рутом, а нужно из под зайденного пользователя переходить в суперпользователя.

Насчет ДНС. Сервер тоже достаточно много им пользуется, зачем ему лишний внешний трафик, если вполне можно обойтись локально. И меньше зависимости от падения ДНС серверов провайдера.

> ставишь ProFTPD настраиваешь
Я против.
.... Лишний демон, причем без шифрования, не нужен.

кто тебе сказал что без шифрования? там не только FTP поддерживается но и FTPS - tls/ssl шифрование трафика и авторизации, в общем полное шифрование (не путать с SFTP, в нем ничего общего с протоколом ftp нет)

[zk]

Про ftp, а вы подумали о том как юзер будет передавать данные с хост машины? Так что ftp нужен, настроенный хотя бы только на ip хоста.

[Sicness]

> Грубейшая ошибка. Нельзя давать логиниться сразу под рутом
По-моему допустимая ошибка. Риск опасности, при нормальных паролях, особено при блокировки по ip в случае перебора (хотя сам факт перебора мало вероятен + неудачная попытка, вроде, 2 секудны занимает), на много ниже, чем сложность толково объяснить среднестатестическому юзеру как отредактировать конфиги при помощи ssh + (su||sudo). Т.е. я думаю оно того стоит.

> Насчет ДНС. Сервер тоже достаточно много им пользуется
Для чего Сервер тоже достаточно много им пользуется? К нему стучатся с определенного ip и он с этим ip работает. Даже если на сайте реклама с доменым именем (адресом банера например), DNS-запрос будет делать браузер клиента.

ProFTPD
Ну зачем нам лишний демон? sshd отлично сравляется с этой работой без допольнительных каких-либо настроек.
Попробуйте ПО WinSCP

[Lundil]

Ок, тебе решать, только я в таком случае умываю руки...