Skocz do zawartości
chudzik

Bezmyślne klepanie poleceń a bezpieczeństwo

Rekomendowane odpowiedzi

Witam. Mam takie pytanie. Otóż w internecie jest sporo poradników jak samemu na vps-ie typu root zainstalować, skonfigurować i uruchomić najczęściej wykorzystywane usługi typu nginx, php, mysql czy bind9, fail2ban. Większość z tych poradników "działa", czasem zdarzy się jakiś nieprzewidziany błąd ale generalnie każdy kto nawet bardzo słabo zna te usługi czy nawet system linuks (jak np Ja) to coś "wymodzi" i prędzej czy później zacznie mu to działać. No i sobie ktoś to poustawia, zainstaluje sobie najnowszego wordpressa, poustawia go i niby wszystko ok.

Teraz moje pytanie jest takie:

  • Czy zakładając, że taki "admin" dba o aktualizacje oprogramowania, ogólnodostępnych skryptów opensource jakich używa, stosuje silne i długie hasła i te hasła mu nigdy nie wyciekną to czy taki system operacyjny wraz z działającymi usługami które są skonfigurowane prawie "default" (zmienił tylko to, co musiał aby osiągnąć cel) jest bezpieczny?
  • Czy przykładowo rozsądnym rozwiązaniem byłoby na takim serwerze uruchomić sklep internetowy gdzie w bazie mysql znajdują się prawdziwe dane osobowe klientów klepu?

Bardziej interesuje mnie kwestia ryzyka wycieku danych z serwera niż niezawodności działania, ale byłbym wdzięczny, gdyby do tego też się odniesiono.

  • Czy rozwiązanie o którym piszę wcześniej bardzo mocno (w kwestii bezpieczeństwa) różni się od hostingu współdzielonego w dobrej firmie hostingowej typu hitme czy devil? 

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

W dzisiejszych czasach to wycieki danych spowodowane są głównie błędem człowieka lub dziurawym oprogramowaniem zarówno sklepu jak i systemowego. Im więcej tym większe ryzyko :)

Co z tego że zabezpieczysz sobie serwer jak zainstalujesz dziurawą wtyczkę czy szablon i już jest problem :)

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Z praktyki firmy hostingowej: Większość problemów z bezpieczeństwem dotyczy warstwy aplikacyjnej. Zdecydowana większość luk, które są wykorzystywane w atakach na strony i bazy to podatności w warstwie aplikacji, a nie serwerów. Owszem, niektóre elementy konfiguracji serwera mogą wzmocnić lub osłabić odporność na "włamania", ale moim zdaniem najważniejsza pozostanie tu ochrona na poziomie aplikacji, a ta będzie - najczęściej - podobna w większości firm hostingowych jak i na Twoim VPS'ie.

 

Najczęściej... ale nie zawsze, bo niektóre firmy mają w ofercie komercyjne technologie, które mogą sprzyjać lepszemu zaopiekowaniu spraw, związanych z bezpieczeństwem w warstwie aplikacyjnej. Popatrz przykładowo na: https://domeny.pl/sitelock.html

 

Są także bezpłatne wtyczki do popularnych systemów (np. WordPress), choć część z nich budzi kontrowersje. Moim zdaniem warto takowe rozważać, jeśli istnieją do systemu w których chcesz pracować.  Zwróć także uwagę, że zabezpieczenie aplikacji i serwera to dwa nieco odmienne obszary - wymagają często różnych kompetencji, bo jednak administrator<>programista.

Tak, że poza tutorialami dot. konfiguracji VPS'a polecam Ci poszperanie choćby o takich zagadnieniach  jak m.in:

- Session hijacking,

- Sql injection,

- XSRF.

 

Na koniec jeszcze jedno - jeśli nie masz doświadczenia, to w razie sytuacji kryzysowej możesz po prostu sobie nie poradzić. W takim wypadku może byćCi trudno zorganizować  "na szybko" do pomocy admina z zewnątrz, bo mało kto lubi pracować w systemie, którego nie zna, którego nie konfigurował. Korzystanie z firmy hostingowej w ramach usług managed, już nie mówiąc o hostingu shared, oznacza, że nie będziesz mieć tego problemu.

 

  • Super! 1

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Eeee tam... teorie spiskowe Kapitanie_Bomba... z powstaniem tematu nic wspólnego nie miałem.  Podpowiedź lepiej pytającemu koledze merytorycznie. Jak sądzisz, da sobie radę? Na co zwróciłbyś jego uwagę?

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Napisałbym czego bym mu NIE polecił, ale nie o to chodzi ;)

Co do pytania: backup - to podstawowa sprawa. Oczywiście aktualizacja skryptów i pozostałego softu na serwerze to ważna rzecz, ale nie przesadzałbym. Znam serwery, które nie były aktualizowane od nawet 7 lat i nie było tam z tego tytułu żadnych incydentów.

 

A dla małych projektów (niezbyt często aktualizowanych) wystarczy nawet polecenie typu chmod czy chattr ;)

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się


  • Przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników, przeglądających tę stronę.

×