نوشته اصلی توسط
IrIsT
سلام و درود.
اول گفتین که :
که کاملا درسته و تجربه خوبی داشتین.حرفتون تایید میشه
اما این گفته :
بله.کلا این تاپیک بحث امنیت هستش که داریم در رابطه با اون صحبت میکنیم.فکر نکنید.مطمون باشید که هدف بالابردن سطح امنیت هستش.
نگاه کنید,زمانی که ما میگیم یکی به سرور یا هاست ما نفوذ کرده,اول باید ببینیم از کجا نفوذ کرده.خوب وقتی نفوذ و روش هاشو بدوندی,میتونید تا حدود خیلی خوبی جلوی این حملات رو گرفت.پرل و پایتون که کلا برای اجرای فرامین و همچنین دسترسی شل و اجرا شدن اسکریپت ها و شل ها و .... مربوط به این هاست و حتی با استفاده از این پرل و پایتون و .... به صورت لوکال میشه ضربه بدی به سرور زد.خوب راه حل چیه؟الان گفتیم.لازم نداریم نصب نکنیم.لازم داریم نصب کنیم اما پرمیشن روت بهش بدیم و سطح دسترسی فقط برای روت باشه.
یک مشکلی که من زیاد دیدم,chown ها هستش.
با یک کانفیگ بسیار اشتباه,بعضی ها کلا میان chown هارو کلا روت میکنن یا یک یوزر دیگه..خوب معلومه راحت میشه حتی با یک اسکریپت که هیچ اسکنری جلوشو نمیگیره,کل کانفیگ هارو ذخیره کرد.حالا شما cxs نصب کن یا هر چیزی.یا بگو سرورم شل احرا نمیکنه.
بیشترین ضعفی که ما داریم اینه که اصولی عمل نمیکنیم و توقع داریم امنیت خوب باشه.ما برای هر سروری,یک کانفیگی انجام میدیم.یکی رو دیده بودم برای دایرکت ادمین کانفیگ سی پنل زده بود.یا یک چیزی رو ما میریم از سایت ها پیدا میکنیم و میزنیم.بعد توی سایت هامون میزنیم امنیت سرور,به صورت یکبار 7000000000000 ت همراه با یک هفته تست.
امنیت فراتر از این آموزش و این روش هاست که هنوز هیچ کسی در دنیا نمیتونه ادعا کنه که من کامل بحث امنیت رو میدونم.
حتی واسه اینکه کارمون رو راحت کنیم.میگیم مثلا lve و کلود لینوکس مینصبیم.اصلا ساختار کلودلینوکس چطوریه؟یعنی اگه کلودلینوکس نباشه نمیتونیم جلوشو بگیریم؟چرا باید لقمه آماده بهمون بدن؟
ما باید خودمون راهشو بدونیم.
واسه کنترل پنل دایرکت ادمین,8 ماه فقط 24 ساعته تست میکردم و کار میکردم که فقط بتونم کانفیگ کامل امنیتی مربوط به این کنترل پنل حالا با هر روشی که کمپایل شده,رو کامل بدونم که وقتی گشتم,اول فکر میکردم امنیت این چیزایی هستش که چک لیست میدن یا دیزیبل فانکشن و ... هستش.اما بخدا امنیت این نیست.وقتی تونستیم همگی با کمک هم کاری کنیم که بدون کلادلینوکس یا اینطور سرویس ها,جلوی حملات رو بگیریم,اون موقع میتونیم بگیم امنیت کاریم.
خوشحال میشیم دوستان دیگر هم شرکت کنند.
در ابتدا یک پیشنهاد به شما می دهم.
جملات خود را پشت سر هم در تاپیک ها ننویسید. یک نظم بهشون بدید و یک فاصله و ... تقریبا بنده تا به جملات شما میرسم skip میکنم و میرم به پاسخ بعد!
آیا شما راهی برای عدم استفاده از کلاد لینوکس دارید؟ وب سرور را امن کنید از طریق php نفوذ خواهند کرد . php را امن کنید از طریق python/perl/cgi نفوذ خواهند کرد . python/perl/cgi را امن کنید از طریق کرنل نفوذ خواهند کرد. کرنل را patch کنید از طریق های دیگر ...! حتی در کلاد لینوکس و دیوار امنیتی cagefs باگ های زیادی غیر قابل پیش بینی هست.!
1- بستن فانکشن های زیر:
کد:
http://paste.ubuntu.com/15760579/
2- تعریف Open_basedir با مقدار زیر:
کد:
http://paste.ubuntu.com/15760584/
3- غیرفعال سازی Follow SymLinks در apache configuration و تعریف آن در یکی از include file های httpd.conf:
کد:
http://paste.ubuntu.com/15760591/
4- فعال سازی mod_security و استفاده از قابلیت شناسایی فانکشن های خطرناک و شل های معروف در هنگام اجرا در آدرس ها
5- محدودیت در سطح دسترسی فایل های زیر:
کد:
http://paste.ubuntu.com/15760596/
همچنین در کران اجرا کنید چون بعضی برنامه ها بصورت خودکار اقدام به تغییر سطح دسترسی به 701 می کنند .
6- تعریف function های خطرناک نیز در suhosin برای عدم اجرا شدن بیشتر شل ها (90درصد!!) : در suhosin.executor.func.blacklist
همچنین دوستان عزیز لطفا به جای حرف های 5 سطری اگر دانشی دارند به اشتراک بگذارند.
موفق و پیروز.
پاسخ : جلوگیری از اجرا شدن شل در سرور لینوکس و هاست
پاسخ با نقل قول
