Lācītis numur divi - [entries|archive|friends|userinfo]
vistu_zaglis

[ website | šulcs.lv ]
[ userinfo | sc userinfo ]
[ archive | journal archive ]

Links
[Links:| VZL ]

[Mar. 19th, 2016|10:27 pm]
Previous Entry Add to Memories Tell A Friend Next Entry
Paranoiķim apnicis gūglēt, nē, jūs vienkārši, normāli pasakiet, vot, ja es mājas rūterī pārsūtu 80., tikai 80. portu uz raspberiju ar webserveri, kas ir sliktākais, kas var notikt?

(hostēto saitu svarīgums 100 ballu skalā ir ar mīnuszīmi)
linkiet garām

Comments:
From:(Anonymous)
Date:March 19th, 2016 - 11:43 pm
(Link)
Ja tas webserveris updeitots un normāls, piemēram, Apache vai NGINX, tad nekas. Ja tā ir Java, Python,vai kaut kas no hipsterīgajiem projektiem (piem node.js), tad neviens to nevar zināt, visticamāk pasaules gals.
[User Picture]
From:[info]vistu_zaglis
Date:March 19th, 2016 - 11:50 pm
(Link)
A+M+P, visam +/- standarta instalācija bez vijeboniem. Man jau arī it kā ar prātu šķiet, ka nekas īpaši nedraud, bet nepatīkama sajūta svešus ļaudis savā iekšējā tīklā nepieskatītus laist.
From:(Anonymous)
Date:March 20th, 2016 - 12:20 am
(Link)
Nu ja jau pats rakstīji M+P, tad jau tikai pats varēji sarakstīt gļukus. Pa lielam ne M, ne P mūsdienās vairs nav globālu lažu.

Vispār - sliktajam būtu jābūt ļoti mērķtiecīgam lai mēģinātu tieši tevis rakstītos gļukus atrast. Bet ja jau bail - vai tad bezmaksas vai lētajos amazonos nevar uzlikt?
[User Picture]
From:[info]vistu_zaglis
Date:March 20th, 2016 - 02:50 pm
(Link)
Var, bet mūžizglītības programmas ietvaros – pašam incē un patīk parakāties un papētīt, kā lietas strādā.
[User Picture]
From:[info]hessin
Date:March 19th, 2016 - 11:57 pm
(Link)
kā iepriekš saka, tad atkarīgs, ko hostē. Sliktākais teorētiski varētu piekļūt pārējiem mājas datoriem, kur varbūt k kas svarīgs.
[User Picture]
From:[info]vistu_zaglis
Date:March 19th, 2016 - 11:59 pm
(Link)
Jā, vot, un šāda iespēja šķiet ārkārtīgi nevilinoša, tāpē incējamies!
[User Picture]
From:[info]hessin
Date:March 20th, 2016 - 10:24 pm
(Link)
vajag apdrošināties vairākkārtīgi (defense in depth);
Dažas, kas nāk pirmās prātā, bet ne visas novērš uzbrukuma iespēju, tikai to kavē vai apgrūtina:
- jau minētā avenes izolācija no pārējā tīkla
- darbināt apachi ar www-data jūzeri (kam vajadzētu jau būt), ierobežot tiesības cik var
- kas lietos serveri? visa pasaule? varbūt ierobežot pieeju serverim pēc IP adresēm? pēc valstīm? (izkļaut Ķīnu, hehe)
- neizmantot noklusētos uzstādījumus; tas arī iekļauj noklusētās paroles, piem., manai avenei noklusētais lietotājs bija pi:raspberry :)
- noslēpt metainfo, piemēram, kas par serveri un kāda versija
- bloķēt lietotājus pēc n neveiksmīgiem loginiem
- updeitot, updeitot, updeitot

Statiski faili samazina (izslēdz? :)) iespēju, ka būs gļuki web lapā, kurus var izmantot, bet joprojām paliek iespēja, ka pašā apachē būs kāds bugs (who knows).
[User Picture]
From:[info]vistu_zaglis
Date:March 20th, 2016 - 10:48 pm
(Link)
Aha, lielākā daļa no šitā ieviesta, 'ot pats pirmais punkts kaut kā laikam neizskatās pārāk realizējams.
From:[info]spic
Date:March 20th, 2016 - 12:24 am
(Link)
Visdrīzāk, ka tev griežas kādi php skripti, nevis garlaicīgas statiskas lapas, un tajos pastāv paliela iespēja, ka atradīsies kāds neapstrādats parametrs vai kas tāds, caur kurieni ievilkties iekšā.

Ja (kad) tas notiks, tad tavs rasberijs tiks kompromitēts un uzbrucējiem eventuāli būs uz viņa — skatāmies sliktāko gadījumu — rūts.

Tālāk skaties, ko ļaudis var izdarīt, sēžot, ielogojušies šai kastītē tavā tīklā. Atkarībā no tā, cik tu rūpīgi būsi rūteri čubinājis — iespējams, viņi nekur netiks, bet varbūt, ka viņi varēs redzēt visus tavus datorus un to atvērtās šāres.
[User Picture]
From:[info]vistu_zaglis
Date:March 20th, 2016 - 02:53 pm
(Link)
Un kur tad paliek jūzeri, permisijas, vot šitas te viss? Apacis ir tiesīgs piekļūt pārējai failsistēmai ārpus /www/? (Versiju par publisku failu uploada formu vai tml. te neizskatām, protams)
From:[info]spic
Date:March 20th, 2016 - 08:21 pm
(Link)
Es jau nezin', kā tev viss nokonfigurēts un kas tur griežas, un tu jau vēlējies sliktākos variantus.

Man gulēt netraucē, kad uz ārpasauli skatās mans kods, bet, pateicoties php izstrādātāju ārkārtīgi zemajai mediānai — svešs ir pēc noklusējuma riskants draņķis, ar kuru apmeklētājiem runāties nevajadzētu. Es neesmu pārliecināts par savām prasmēm nokontrolēt tāda skripta destrukciju, ja kāds spēs ievilkt caur turieni kādu php-šellu vai ko trakāku.
[User Picture]
From:[info]vistu_zaglis
Date:March 20th, 2016 - 08:28 pm
(Link)
Aj, izmetu mazo nabadziņu DMZ, lai pats cīnās ar lielo, ļauno pasauli.
From:[info]spic
Date:March 20th, 2016 - 08:53 pm
(Link)
Minēšu, ka tas nedara to, ko tu domā, ka tas dara. Pieslēdzies pie sava nabadziņa un nopingo savu lokālo datoru pēc iekšējās ipadreses: simpunkt, ka viņš to sasauks bez jebkādām problēmām, bet viņam to nevajadzētu spēt, ja būtu jelkāda reāla izolācija.
[User Picture]
From:[info]vistu_zaglis
Date:March 20th, 2016 - 09:28 pm
(Link)
(Kārtmena balsī) Goddamit!
[User Picture]
From:[info]vistu_zaglis
Date:March 20th, 2016 - 02:58 pm
(Link)
Also, ja samierināties ar statisku saturu, – var pieņemt, ka tādā gadījumā var gulēt mierīgi?
[User Picture]
From:[info]aizliegts_v
Date:March 20th, 2016 - 04:11 pm
(Link)
Dažos mājas rūteros ir tāda lieta kā DMZ (demilitarized zone), mož Tev ir paveicies.
DMZ īsumā ir iespēja uztaisīt vēl vienu iekšējo tīklu akurāt serverim kaut kādam. No Interneta pie DMZ tiek, definētajās robežās, protams, no LANa pie DMZ arī tiek, no DMZ pie LAN nē.
[User Picture]
From:[info]vistu_zaglis
Date:March 20th, 2016 - 04:27 pm
(Link)
Ā, vot vot vot, te mēs mazliet tuvojamies. Es no sagūglētā izlobīju, ka DMZ ir slikta karma no tāda viedokļa, ka tu nabaga raspiju izmet plašajā pasaulē pilnīgi neaizsargātu, un prātīgāk ir pavērt viņam to 80. un viss. Bet taga kad tu tā saki, varbūt tomēr jāiedziļinās tēmā (un rūtera setingos. DMZ opcija tur ir, jā)
[User Picture]
From:[info]vistu_zaglis
Date:March 20th, 2016 - 05:03 pm
(Link)
OK, izskatās, ka DMZ it is, tomēr. Jo serverīša liktenis ir salīdzinoši vienaldzīgs, gal'nais, lai skriptkidiji mājās nelien.
From:[info]spic
Date:March 20th, 2016 - 08:45 pm
(Link)
Kamēr teorijā tiešām DMZ nozīmē to, ko tu saki, rūterīšos tas tipiski nozīmē tikai un vienīgi "visus speciāli neforvardētos portus automātiski sūtīt uz šo datoru", bet izolācijas nekādas nav.
[User Picture]
From:[info]aizliegts_v
Date:March 21st, 2016 - 05:55 am
(Link)
Vot, ibio! Praksē nebiju šito provējis uz mājas rūterīšiem, liks aiz auss.
[User Picture]
From:[info]cloned_pt
Date:March 21st, 2016 - 12:55 pm
(Link)
lietotāji teic prātīgi. DMZ akurāt šitādiem starpstāvokļiem paredzēts. vēl košēri ir 22 portu nomainīt uz kaut ko eksotisku. access logfaili momentā paliek garlaicīgi. nu un sambu neliec, ja par win tīklu streso. un šito ... webserveri džeilā ielikt? ta vispār sausi un nomfortabli, ne?
[User Picture]
From:[info]vistu_zaglis
Date:March 21st, 2016 - 01:34 pm
(Link)
Nu a reku orators augstāk korekti piezīmē, ka sūds tas DMZ mājas rūterī, ka praksē tupa atver nevis vienu, bet visus nahuj portus un viss.
22, protams, pārcēlu, bet tā jau tāda drošības ilūzija, a vot džeils – ģelo govoriš.