Bezmyślne klepanie poleceń a bezpieczeństwo

[chudzik]

Witam. Mam takie pytanie. Otóż w internecie jest sporo poradników jak samemu na vps-ie typu root zainstalować, skonfigurować i uruchomić najczęściej wykorzystywane usługi typu nginx, php, mysql czy bind9, fail2ban. Większość z tych poradników "działa", czasem zdarzy się jakiś nieprzewidziany błąd ale generalnie każdy kto nawet bardzo słabo zna te usługi czy nawet system linuks (jak np Ja) to coś "wymodzi" i prędzej czy później zacznie mu to działać. No i sobie ktoś to poustawia, zainstaluje sobie najnowszego wordpressa, poustawia go i niby wszystko ok.

Teraz moje pytanie jest takie:

• Czy zakładając, że taki "admin" dba o aktualizacje oprogramowania, ogólnodostępnych skryptów opensource jakich używa, stosuje silne i długie hasła i te hasła mu nigdy nie wyciekną to czy taki system operacyjny wraz z działającymi usługami które są skonfigurowane prawie "default" (zmienił tylko to, co musiał aby osiągnąć cel) jest bezpieczny?
• Czy przykładowo rozsądnym rozwiązaniem byłoby na takim serwerze uruchomić sklep internetowy gdzie w bazie mysql znajdują się prawdziwe dane osobowe klientów klepu?

Bardziej interesuje mnie kwestia ryzyka wycieku danych z serwera niż niezawodności działania, ale byłbym wdzięczny, gdyby do tego też się odniesiono.

• Czy rozwiązanie o którym piszę wcześniej bardzo mocno (w kwestii bezpieczeństwa) różni się od hostingu współdzielonego w dobrej firmie hostingowej typu hitme czy devil? 

[Poziomecki]

W dzisiejszych czasach to wycieki danych spowodowane są głównie błędem człowieka lub dziurawym oprogramowaniem zarówno sklepu jak i systemowego. Im więcej tym większe ryzyko

Co z tego że zabezpieczysz sobie serwer jak zainstalujesz dziurawą wtyczkę czy szablon i już jest problem

[Artur Pajkert Hekko.pl]

Z praktyki firmy hostingowej: Większość problemów z bezpieczeństwem dotyczy warstwy aplikacyjnej. Zdecydowana większość luk, które są wykorzystywane w atakach na strony i bazy to podatności w warstwie aplikacji, a nie serwerów. Owszem, niektóre elementy konfiguracji serwera mogą wzmocnić lub osłabić odporność na "włamania", ale moim zdaniem najważniejsza pozostanie tu ochrona na poziomie aplikacji, a ta będzie - najczęściej - podobna w większości firm hostingowych jak i na Twoim VPS'ie.

 

Najczęściej... ale nie zawsze, bo niektóre firmy mają w ofercie komercyjne technologie, które mogą sprzyjać lepszemu zaopiekowaniu spraw, związanych z bezpieczeństwem w warstwie aplikacyjnej. Popatrz przykładowo na: https://domeny.pl/sitelock.html

 

Są także bezpłatne wtyczki do popularnych systemów (np. WordPress), choć część z nich budzi kontrowersje. Moim zdaniem warto takowe rozważać, jeśli istnieją do systemu w których chcesz pracować.  Zwróć także uwagę, że zabezpieczenie aplikacji i serwera to dwa nieco odmienne obszary - wymagają często różnych kompetencji, bo jednak administrator<>programista.

Tak, że poza tutorialami dot. konfiguracji VPS'a polecam Ci poszperanie choćby o takich zagadnieniach  jak m.in:

- Session hijacking,

- Sql injection,

- XSRF.

 

Na koniec jeszcze jedno - jeśli nie masz doświadczenia, to w razie sytuacji kryzysowej możesz po prostu sobie nie poradzić. W takim wypadku może byćCi trudno zorganizować  "na szybko" do pomocy admina z zewnątrz, bo mało kto lubi pracować w systemie, którego nie zna, którego nie konfigurował. Korzystanie z firmy hostingowej w ramach usług managed, już nie mówiąc o hostingu shared, oznacza, że nie będziesz mieć tego problemu.

 

[Kapitan_Bomba]

I wiemy już po co powstał ten temat

 

Godzinę temu, Artur Pajkert Hekko.pl napisał:

 Popatrz przykładowo na

 

[Artur Pajkert Hekko.pl]

Eeee tam... teorie spiskowe Kapitanie_Bomba... z powstaniem tematu nic wspólnego nie miałem.  Podpowiedź lepiej pytającemu koledze merytorycznie. Jak sądzisz, da sobie radę? Na co zwróciłbyś jego uwagę?

[Kapitan_Bomba]

Napisałbym czego bym mu NIE polecił, ale nie o to chodzi

Co do pytania: backup - to podstawowa sprawa. Oczywiście aktualizacja skryptów i pozostałego softu na serwerze to ważna rzecz, ale nie przesadzałbym. Znam serwery, które nie były aktualizowane od nawet 7 lat i nie było tam z tego tytułu żadnych incydentów.

 

A dla małych projektów (niezbyt często aktualizowanych) wystarczy nawet polecenie typu chmod czy chattr