| Comments: |
| From: | (Anonymous) |
|---|
| Date: | March 19th, 2016 - 11:43 pm |
|---|
| | | (Link) |
|
Ja tas webserveris updeitots un normāls, piemēram, Apache vai NGINX, tad nekas. Ja tā ir Java, Python,vai kaut kas no hipsterīgajiem projektiem (piem node.js), tad neviens to nevar zināt, visticamāk pasaules gals.
A+M+P, visam +/- standarta instalācija bez vijeboniem. Man jau arī it kā ar prātu šķiet, ka nekas īpaši nedraud, bet nepatīkama sajūta svešus ļaudis savā iekšējā tīklā nepieskatītus laist.
| From: | (Anonymous) |
|---|
| Date: | March 20th, 2016 - 12:20 am |
|---|
| | | (Link) |
|
Nu ja jau pats rakstīji M+P, tad jau tikai pats varēji sarakstīt gļukus. Pa lielam ne M, ne P mūsdienās vairs nav globālu lažu.
Vispār - sliktajam būtu jābūt ļoti mērķtiecīgam lai mēģinātu tieši tevis rakstītos gļukus atrast. Bet ja jau bail - vai tad bezmaksas vai lētajos amazonos nevar uzlikt?
Var, bet mūžizglītības programmas ietvaros – pašam incē un patīk parakāties un papētīt, kā lietas strādā.
![[User Picture]](http://klab.lv/userpic/170076/284) | | From: | ![[info]](http://klab.lv/img/userinfo.gif) hessin |
|---|
| Date: | March 19th, 2016 - 11:57 pm |
|---|
| | | (Link) |
|
kā iepriekš saka, tad atkarīgs, ko hostē. Sliktākais teorētiski varētu piekļūt pārējiem mājas datoriem, kur varbūt k kas svarīgs.
Jā, vot, un šāda iespēja šķiet ārkārtīgi nevilinoša, tāpē incējamies!
| | From: | hessin |
|---|
| Date: | March 20th, 2016 - 10:24 pm |
|---|
| | | (Link) |
|
vajag apdrošināties vairākkārtīgi (defense in depth);
Dažas, kas nāk pirmās prātā, bet ne visas novērš uzbrukuma iespēju, tikai to kavē vai apgrūtina:
- jau minētā avenes izolācija no pārējā tīkla
- darbināt apachi ar www-data jūzeri (kam vajadzētu jau būt), ierobežot tiesības cik var
- kas lietos serveri? visa pasaule? varbūt ierobežot pieeju serverim pēc IP adresēm? pēc valstīm? (izkļaut Ķīnu, hehe)
- neizmantot noklusētos uzstādījumus; tas arī iekļauj noklusētās paroles, piem., manai avenei noklusētais lietotājs bija pi:raspberry :)
- noslēpt metainfo, piemēram, kas par serveri un kāda versija
- bloķēt lietotājus pēc n neveiksmīgiem loginiem
- updeitot, updeitot, updeitot
Statiski faili samazina (izslēdz? :)) iespēju, ka būs gļuki web lapā, kurus var izmantot, bet joprojām paliek iespēja, ka pašā apachē būs kāds bugs (who knows).
Aha, lielākā daļa no šitā ieviesta, 'ot pats pirmais punkts kaut kā laikam neizskatās pārāk realizējams.
| From: | spic |
|---|
| Date: | March 20th, 2016 - 12:24 am |
|---|
| | | (Link) |
|
Visdrīzāk, ka tev griežas kādi php skripti, nevis garlaicīgas statiskas lapas, un tajos pastāv paliela iespēja, ka atradīsies kāds neapstrādats parametrs vai kas tāds, caur kurieni ievilkties iekšā.
Ja (kad) tas notiks, tad tavs rasberijs tiks kompromitēts un uzbrucējiem eventuāli būs uz viņa — skatāmies sliktāko gadījumu — rūts.
Tālāk skaties, ko ļaudis var izdarīt, sēžot, ielogojušies šai kastītē tavā tīklā. Atkarībā no tā, cik tu rūpīgi būsi rūteri čubinājis — iespējams, viņi nekur netiks, bet varbūt, ka viņi varēs redzēt visus tavus datorus un to atvērtās šāres.
Un kur tad paliek jūzeri, permisijas, vot šitas te viss? Apacis ir tiesīgs piekļūt pārējai failsistēmai ārpus /www/? (Versiju par publisku failu uploada formu vai tml. te neizskatām, protams)
| From: | spic |
|---|
| Date: | March 20th, 2016 - 08:21 pm |
|---|
| | | (Link) |
|
Es jau nezin', kā tev viss nokonfigurēts un kas tur griežas, un tu jau vēlējies sliktākos variantus.
Man gulēt netraucē, kad uz ārpasauli skatās mans kods, bet, pateicoties php izstrādātāju ārkārtīgi zemajai mediānai — svešs ir pēc noklusējuma riskants draņķis, ar kuru apmeklētājiem runāties nevajadzētu. Es neesmu pārliecināts par savām prasmēm nokontrolēt tāda skripta destrukciju, ja kāds spēs ievilkt caur turieni kādu php-šellu vai ko trakāku.
Aj, izmetu mazo nabadziņu DMZ, lai pats cīnās ar lielo, ļauno pasauli.
| From: | spic |
|---|
| Date: | March 20th, 2016 - 08:53 pm |
|---|
| | | (Link) |
|
Minēšu, ka tas nedara to, ko tu domā, ka tas dara. Pieslēdzies pie sava nabadziņa un nopingo savu lokālo datoru pēc iekšējās ipadreses: simpunkt, ka viņš to sasauks bez jebkādām problēmām, bet viņam to nevajadzētu spēt, ja būtu jelkāda reāla izolācija.
(Kārtmena balsī) Goddamit!
Also, ja samierināties ar statisku saturu, – var pieņemt, ka tādā gadījumā var gulēt mierīgi?
Dažos mājas rūteros ir tāda lieta kā DMZ (demilitarized zone), mož Tev ir paveicies.
DMZ īsumā ir iespēja uztaisīt vēl vienu iekšējo tīklu akurāt serverim kaut kādam. No Interneta pie DMZ tiek, definētajās robežās, protams, no LANa pie DMZ arī tiek, no DMZ pie LAN nē.
Ā, vot vot vot, te mēs mazliet tuvojamies. Es no sagūglētā izlobīju, ka DMZ ir slikta karma no tāda viedokļa, ka tu nabaga raspiju izmet plašajā pasaulē pilnīgi neaizsargātu, un prātīgāk ir pavērt viņam to 80. un viss. Bet taga kad tu tā saki, varbūt tomēr jāiedziļinās tēmā (un rūtera setingos. DMZ opcija tur ir, jā)
OK, izskatās, ka DMZ it is, tomēr. Jo serverīša liktenis ir salīdzinoši vienaldzīgs, gal'nais, lai skriptkidiji mājās nelien.
| From: | spic |
|---|
| Date: | March 20th, 2016 - 08:45 pm |
|---|
| | | (Link) |
|
Kamēr teorijā tiešām DMZ nozīmē to, ko tu saki, rūterīšos tas tipiski nozīmē tikai un vienīgi "visus speciāli neforvardētos portus automātiski sūtīt uz šo datoru", bet izolācijas nekādas nav.
Vot, ibio! Praksē nebiju šito provējis uz mājas rūterīšiem, liks aiz auss.
lietotāji teic prātīgi. DMZ akurāt šitādiem starpstāvokļiem paredzēts. vēl košēri ir 22 portu nomainīt uz kaut ko eksotisku. access logfaili momentā paliek garlaicīgi. nu un sambu neliec, ja par win tīklu streso. un šito ... webserveri džeilā ielikt? ta vispār sausi un nomfortabli, ne?
Nu a reku orators augstāk korekti piezīmē, ka sūds tas DMZ mājas rūterī, ka praksē tupa atver nevis vienu, bet visus nahuj portus un viss.
22, protams, pārcēlu, bet tā jau tāda drošības ilūzija, a vot džeils – ģelo govoriš. | |
