Sziasztok!
Adott egy szerver, amire max 3-4 usert kellene beengedni ssh és ftp protokollokkal. A kliensek nem állandó IP-vel rendelkeznek. A szerver fedora 8-at futtat, amit nem ismerek egyeltalán.
Milyen megoldások jöhetnek szóba?
ssh-n a known_hosts talán? ftp-re van ilyen megoldás?
Mielőtt googlezni küldtök, adjatok szavakat, nem baj ha angol!
Ugyan nem security, de szintén itt kellene: nincs installált uuencode. Van valami hasonló amit a levélküldővel tudnék használni?
Köszönök minden hozzászólást előre is!
dzsolt
- 2177 megtekintés
Hozzászólások
Az alapértelmezett portok megváltoztatása és egy portscan elleni tűzfal védelem sokat dob a dolgon.
- A hozzászóláshoz be kell jelentkezni
Ez jó lenne, csak a szerver nem az enyém, sőt nem is én bérlem.
Én csak próbálok segíteni szerény tudásommal. A napi mentés és az óránkénti sql_dump megvan, csatolni uuencode hiányában nem tudom, így az egyenlőre a szerveren van eldugva. A hozzáférés korlátozása pedig igazából csak luxus lenne, de mindenesetre jó tanuló lecke, ha van aki segít, akár csak kulcs szavakkal is.
- A hozzászóláshoz be kell jelentkezni
Ha valahogy meg tudnád oldani, h az ssh known hosts-ot átírod, akk sztem ez is menne.
root nélkül nehéz biztonságossá tenni egy szervert :)
- A hozzászóláshoz be kell jelentkezni
~/.ssh/known_hosts
ehhez van hozzáférésem, jelenleg üres fájl :-(
- A hozzászóláshoz be kell jelentkezni
Valamit nagyon beneztel. Nalam ebben a file-ban azok a _serverek_ vannak, amikre beleptem az adott geprol _klienskent_. Ilyenkor ugye rakerdez, hogy a fingerprint ismeros-e valahonnan, es ha azt mondom igen, beirja ide. Legkozelebb mar nem kerdez ra, es ha valahogy megvaltozik a tuloldali fingerprint, akkor sikit, es nem hajlando belepni nehogy valaki lenyulja az accomat.
Ha te is ugyanazt az ssh-t hasznalod, akkor gyanithatoan nalad is ez a funkcioja az adott file-nak.
--
I don't always dress in a T-shirt and jeans. Sometimes people give me awards, and I dress like a penguin instead. - Linus Torvalds
- A hozzászóláshoz be kell jelentkezni
Igaz, de én a szerveren férek ehhez. A /etc tartalma nekem tabu! :-)
- A hozzászóláshoz be kell jelentkezni
Jelszavas bejelentkezes tiltasa, nem standard porti ssh beuzemelese, portscan tiltasa az elsodleges feladatok.
Ha a FTP alatt az SFTP-t erted, akkor a sftp-server -re utalo infokat kell tiltani.
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
Az ftp alatt momentán proftpd-t értek, de egyszerű userként kell a feladatot megoldanom, nincs root jogom a szerveren. Eddig annyit sikerült elérnem, hogy nem kér jelszót az ssh belépés folyamán az authorized_keys fájl hatására. A beleölt munkaórák száma eddig kb 1/2. Kezdő vagyok az éles szerverek terén, rontani nem szeretnék :-)
- A hozzászóláshoz be kell jelentkezni
Kezdjuk az elejen: probald meg teljes es kerek mondatokban lespecifikalni, mit szeretnel. Az ssh-nak a vilagon semmi koze az ftp-hez, nem tudom hogy akarod a kettot osszehozni. Ki ferjen hozza, kit szeretnel tiltani, mire hasznalnad a ftp-t (csak a web vhostjainak feltoltesehez, vagy kell anon hozzaferes is? Mennyire szeretned a usereidet lekorlatozni?)
Ha nem a te szervered, akkor probald meg megtudni, mire kell a szerver, mert minden feladathoz maskepp kell biztonsagossa tenni egy szervert....
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
Nos lássuk:
ami jár a szolgáltatáshoz:
ssh
ftp
web php és mysql.
Felhasználók csak weben keresztül láthatják a lapot. A bérlő valamiért úgy döntött, hogy kapok én is ssh és ftp hozzáférést, meg rajtam kívül még kb. 2-3 ember. Viszont a php-s oldalak hibáit kihasználókat nem szeretné beengedni. 1000-1100 felhasználó van, ebből elég ha egy szeretne és esetleg tud is bejutni(mondjuk törölni ezt-azt), a többiek viszont nem biztos hogy örülnének neki.
Én rendszeresen ssh-n vagyok benn és sftp-t használok, természetesen nálam linux fut, így nem nagy az eltérés ha rá kell pillantsak a szerveren lévő dolgokra. Viszont a rajtam kívül ssh-n hozzáférők putty-val csatlakoznak lévén a má$ik rendszert ismerik és használják.
Feladat lenne, hogy az a néhány előjogokkal rendelkező felhasználó juthasson be ssh-n, akik jelenleg is bejuthatnak, de "új" felhasználó csak valamelyikünk közreműködésével!
FTP: ezt én nem használom, de a php-s programozó rendszerint ezt használva frissíti az új modulokkal az oldalt. A logokat nézve más nem is használ ftp-t ezen a szerveren, mármint a mi felhasználó nevünk alatt. Anon hozzáférésre semmi szükség, jelen pillanatban nincs is.
A php-s oldalak biztonságáért nem tenném tűzbe a kezem, de a folyamatos munkának köszönhetően a programozó javít és teszi a dolgát. A megfelelő könyvtárakban a .htaccess fájlok megvannak, erre én többet nem is akarok most kitérni. A webszerver része a folyamatos mentésekből 1-2 órás különbséggel visszaállítható, ami jelen pillanatban megfelelő.
- A hozzászóláshoz be kell jelentkezni
Ha tenyleg ezt szeretned, akkor kezdokent eleg nehez lesz. Elso korben szukseged lesz valami 0-day exploitra, amivel root jogot szerzel. Ha ez megvan, ahhoz kepest az ssh es ftp serverek beallitasa gyerekjatek.
Alternativ megoldaskent feltehetsz valami virtualis gepet, amin belul te vagy a root. Vagy megprobalhatsz sima userkent servert futtatni, de ahhoz ird le pontosan mit is szeretnel, mert nem biztos, hogy eleg jogosultsagod lesz hozza.
--
I don't always dress in a T-shirt and jeans. Sometimes people give me awards, and I dress like a penguin instead. - Linus Torvalds
- A hozzászóláshoz be kell jelentkezni
semmi 0-day, nem kell root jog!!! Az egy másik szakma ;-) Ennire nincs szükség az egészre
- A hozzászóláshoz be kell jelentkezni
uuencode nem igenyel semmi kulonoset, tudsz forditani magadnak - ha van hozza forditod.
Ha csak annyi a celod, hogy adatokat kijuttass levelben a geprol, az "od" parancs megfelelo parameterezesevel csinalhatsz magadnak hexdumpot, ami ascii, gond nelkul elkuldheted mailben (bar nem lesz hatekony).
--
I don't always dress in a T-shirt and jeans. Sometimes people give me awards, and I dress like a penguin instead. - Linus Torvalds
- A hozzászóláshoz be kell jelentkezni
cat valamifile | perl -MMIME::Base64 -e '$x = ""; while(<STDIN>) { $x .= <STDIN> }; print encode_base64($x);'
Ez ugyan Base64 de a celnak igen megfelel. Az encode-t decode-ra atirva dekodol.
uudecode.pl
uuencode.pl - Ez utobbit kisse modositani kell, de egyszeru.
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
Az éjjel a base64-el jácctam, mert ez legalább van a szerveren. De nem zárkózom el a saját fordítású uuencode elől sem, mindenesetre kizárólag utolsó megoldásként. Minél kevesebbet akarok magam megvalósítani, inkább azokat a lehetőségeket szeretném használni, amik adottak.
- A hozzászóláshoz be kell jelentkezni
Szerintem a rendszergazdával beszéld meg a következőket:
1.) ssh átállítása, hogy csak kulcs alapján engedjen autholni
2.) ftp teljes megszüntetése és php programozó rávétele sftp használatára
3.) ssh portjának megváltoztatása
4.) base64 teljesen jó lesz neked, a legtöbb levelező úgy is azt használja
Ha átadod a tudásod neked attól még nem lesz kevesebb belőle..
- A hozzászóláshoz be kell jelentkezni
Ha az user nagyon ragaszkodik az ftp-hez, erre is van megoldás: http://www.bitvise.com/tunnelier
Ez egy kliens oldali program windows-ra, ami többek között FTP-SFTP hidat valósít meg. Nemrég találtam és nagyon örültem neki :)
- A hozzászóláshoz be kell jelentkezni