Sziasztok!
Van egy szerverem, amin szeretnék az interneten keresztül FTP hozzáférést megvalósítani. Most jönnek a gondok, a szerveren website-ok ill. fontos adatok vannak, ezért olyan megoldást szeretnék hogy ezt az FTP szervert elkülönítsem. Gondolkodtam azon, hogy CHROOT környezetben hagyom, de nem igazán merem, vagy egy virtuális gépként futtatnám, de ez meg erőforrás igényes :(
Szerintetek melyik megoldás lenne a jobb (vevő vagyok mindenre)?
köszönöm
ez lemardt:
OS: debian 6
FTP: proftpd/pureftp
- 4021 megtekintés
Hozzászólások
PureFTPD, minden FTP-t tudsz vele a saját home-jába chrootolni, futtathatod külön chrootban és tehetsz fel grsec-es kernelt. Ha már website-ok és PHP van, akkor én inkább azokon izgulnék.
- A hozzászóláshoz be kell jelentkezni
Ha oprendszer szinten chrootolom + beállítom neki a PureFTPD esetén, hogy nem léphet ki a könyvtárából, akkor ez már megfelelő, biztonsági szempontból?
- A hozzászóláshoz be kell jelentkezni
A chrootból ki lehet jutni, viszonylag egyszerűen. Szvsz semmivel sem lesz attól biztonságosabb az ftp-d, hogy beteszed egybe.
- A hozzászóláshoz be kell jelentkezni
Ezért kell a grsec patched kernel.
- A hozzászóláshoz be kell jelentkezni
Vagy virtuális gép.
- A hozzászóláshoz be kell jelentkezni
Arra aszondta, hogy sok erőforrást eszik. :)
- A hozzászóláshoz be kell jelentkezni
Ha konténeres virtualizációt használ akkor nem.
- A hozzászóláshoz be kell jelentkezni
Végül beraktam egy virtuális gépbe (kvm felhasználásával),
köszönöm mindenkinek a segítséget
- A hozzászóláshoz be kell jelentkezni
erről adnál kicsit több infót hogy konkrétan hogy jutsz ki pl egy sima pure-ftpd chrootból (sima userként)?
- A hozzászóláshoz be kell jelentkezni
Bizonyos feltételek megléte mellett működik csak, ezért konkrétumot nem tudok mondani. Ami kell hozzá: egy exploit a Pure-FTPdben + az hogy rootként fusson, vagy hogy legyen a rendszeren egy local root exploit.
A gond itt az, hogy ha magában a programban nincs hiba, akkor jól kezeli a hozzáféréseket, és amúgy sem tudsz kimenni a usereknek dedikált mappából. Ugyanígy root jogokat sem tudsz szerezni, ami azt jelenti, hogy az operációs rendszer által biztosított hozzáféréskezelés is megteszi.
Ezért írtam, hogy a chroot szerintem legfeljebb hamis biztonságérzetet tud nyújtani, némi overhead árán (a chrootban lévő cuccok .so-it ha jól tudom, mégegyszer be kell tölteni a memóriába, illetve a chroot konténereket külön, egyesével kell frissítgetni). Ha valódi biztonság kell, akkor legalább OS szintű virtualizációra van szükség. Szerintem.
- A hozzászóláshoz be kell jelentkezni
Tegyük hozzá, hogy - szerintem - az igazi baj nem azzal van, hogy a gonosz emberek kitörtnek a chroot-ból vagy bármi ilyesmi. Az igazi baj ott van, hogy a mezei ftp abszolút nélkülöz mindenféle titkosítást, így a jelszavak ellopásához ideális terep. Ez ellen meg nem véd semmiféle szerveroldali mágia, a köztes részt _és_ a klienst kell(ene) biztonságossá tenni - és persze úgy is tartani.
Ezek miatt döntöttem úgy, hogy a cégnél hacsak lehet, mellőzzük az ftp-t, és eddig sikerült is más megoldásokat találni (fex, dropbox, scp, sftp), amik megszüntetik a problémák egy részét.
A kliensoldali biztonságot viszont továbbra se nagyon lehet garantálni, így szerintem a szerver oldalon se érdemes egy szintnél több energiát ölni bele. Azt, hogy kinek hol van ez a szint, mindenki döntse el maga :D
- A hozzászóláshoz be kell jelentkezni
Mondjuk most a szerver bebiztosításáról volt szó, hogy olyan user ne tudjon garázdálkodni, aki már szerzett hozzáférést, de teljesen jogos és igaz, amit mondasz.
Igaz én csak magán célokra üzemeltetek rendszereket, de én sem engedek senkit FTP-t használni. Vagy WinSCP, ami szerintem van olyan kényelmes, mint a TC, vagy VPN + Samba.
Szerver oldalon addig érdemes foglalkozni a biztonsággal, hogy tudd, hogy ha valamelyik userednek akármilyen módon megszerzik a hozzáférést, akkor nem tudnak belenyúlni mások munkájába.
- A hozzászóláshoz be kell jelentkezni
ja értem, akkor nem maradtam le semmiről, csak már olyan sok felől hallottam hogy igy meg úgy ki lehet törni a chrootból.. de igazából véleményem szerint ha már van root exploit akkor már teljesen mindegy mi van, ott vége a játéknak
- A hozzászóláshoz be kell jelentkezni
"hogy jutsz ki pl egy chrootból"
Kernel exploittal. 10 blackhatbol 9 ezt ajanlja. :)
- A hozzászóláshoz be kell jelentkezni
Na, igy nem szabad nekiallni egy biztonsagi problema megoldasanak.
Eloszor is azt kell tisztazni, hogy mi a fontos adat, mi a nem fontos, kik melyiket erhetik el, honnan kerul hova, stb.
- A hozzászóláshoz be kell jelentkezni
Nyilván, de nagyságrenddel nagyobb támadási felület egy PHP-s weboldal, mint egy normálisan beállított FTP szerver (nyilván nem 1234-es jellegű jelszavakkal).
- A hozzászóláshoz be kell jelentkezni
Sot, ha mar halozatban van, mar csak arra var, hogy valaki feltorje.
S ha mar itt tartunk, halozat se kell, mert ahogy lejott a futoszallagrol, csak arra var, hogy James Bond bemasszon az ablakon egy pendrive-val a szajaban...
- A hozzászóláshoz be kell jelentkezni
vagy SFTP es korlatozot TCP wrapper-al.
en mindenkeppen chrootolnam, igaz nem bomba biztos vedelem, de minel tobb lepcsos a vedelem annal jobb.
--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/
- A hozzászóláshoz be kell jelentkezni
openvz-be betenni, azt jónapot :)
---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"
- A hozzászóláshoz be kell jelentkezni
Vagy scp...
- A hozzászóláshoz be kell jelentkezni
biztos szep es biztos jo a pureftpd, de en vsftpd-t ajanlok a usereket bezarva a home-jukba, es csak bizonyos ftp parancsokat engedve nekik.
- A hozzászóláshoz be kell jelentkezni
A mappába bezárást tudtommal mindegyik támogatja, az adott ftp parancs tíltását/engedélyezését pedig a proftpd is tudja.
- A hozzászóláshoz be kell jelentkezni
jaja, a proftpd is tudja, csak eppen biztonsagosnak nem mernem kikialtani, mig a vsftpd-t inkabb...
- A hozzászóláshoz be kell jelentkezni
Tudsz/tudtok konkrét esetről? Jobbára csak beszélünk, meg hiszunk ezekről, de konkrét esetekkel ritkán találkoztam.
- A hozzászóláshoz be kell jelentkezni
a proftpd keszitoje maga irta valahol (ne kerdezd mar hol, evekkel ezelott volt), hogy o csak amolyan mukedvelo programozonak tartja magat, es volt is a cuccban security problema (ami azota nyilvan megoldodott), de en inkabb bizom magam egy olyan cuccra, amirol a keszitoje azt mondja, hogy a kezdetektol fogva security-tudatosan epitette fel az egeszet.
Btw. egy osszehasonlito oldal(on, ahol nem a vsftpd-nek van a legkevesebb CVE sara) szerint:
"ProFTPd has the most CVE vulnerabilities listed. The high number is most likely an indicator of ProFTPd’s widespread use which makes it a target of hackers."
- A hozzászóláshoz be kell jelentkezni
+1 vsftpd lekorlátozva, mondjuk vserver-rel megtámogatva, kizárólag "ftpes" protokollal használva.
"...
cmds_allowed=SYST,FEAT,PBSZ,OPTS,PROT,TYPE,PASV,LIST,STOR,RETR,QUIT,CDUP,PWD,CWD,MKD,RMD,DELE
chmod_enable=NO
..."
deny_file, hide_file ügyesen használva akár könytvtártörléskorlátozó is lehet a user accesible helyeken. Stb.
FTPES, alternatív porton. ;)
- A hozzászóláshoz be kell jelentkezni