We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Palvelimen suojaus


Henkka
01-16-2010, 10:37 AM
Quote Originally Posted by Owdy
No en käytä sitäkään, enkä varsinkan Puttya SSHta ajan Konsolella KDEsta käsin.
http://oreilly.com/pub/h/66

avainsana "ssh keys".

Owdy
01-16-2010, 12:09 AM
Quote Originally Posted by mrl586
Kyllä PuTTY:n saa OpenSolarikseenkin.
No en käytä sitäkään, enkä varsinkan Puttya SSHta ajan Konsolella KDEsta käsin.

mrl586
01-15-2010, 11:47 PM
Quote Originally Posted by Owdy
En käytä windowssia.
Kyllä PuTTY:n saa OpenSolarikseenkin.

Owdy
01-15-2010, 11:01 PM
En käytä windowssia.

Henkka
01-15-2010, 10:22 PM
http://www.howtoforge.com/ssh_key_based_logins_putty

Owdy
01-15-2010, 09:32 PM
Quote Originally Posted by rng
SSH-avaimet on paras ratkaisu tuohon tietyn koneen sallimiseen.
rautalankaa?

rng
01-15-2010, 07:46 PM
Ennemmin vaikka sallisin oman palveluntarjoajani IP-rangen. SSH-avaimet on paras ratkaisu tuohon tietyn koneen sallimiseen.

Owdy
01-15-2010, 04:10 PM
Quote Originally Posted by Anniina
Mitä kannattaa tehä oman palvelimen suojaamiseksi? Oon disabloinut root-loginin ja vaihtanut ssh-portin. Iptables lisätty ssh pääsy pelkästään omasta osotteesta. Kerneliä en oo vielä päivittänyt. Onko miten helppoo näihin teidän koneisiin?
Palaisin tähän vielä. Mitä tarvetta on poistaa root login jos ssh onnistuu vaan omasta ip-osoitteesta? Mahdollisuus että joku hakkeroi sun kotikoneen/toimiston koneen tätä tarkotusta varten on yksi tsiljoonasta.

Toinen juttu, mietin tota kanssa, onnistuuko tuo dyndns osoitteella koska oma IP-osoitteeni ei ole pysyvä? Esim Virtualmin hallintaan sen olen näin toteuttanut. Esim että yhteydet olisi sallittuja vaan osoitteesta owdy.munhimakone.net jne?

harri
01-07-2010, 12:44 AM
Quote Originally Posted by mrl586
Ainakin tuossa sanotaan, että käyttäjän tekemät muutokset pitää laittaa tuohon local-loppuiseen tiedostoon.
Ymmärsi tuon sillai, että tuossa tiedostossa asetukset säilyisivät päivitystä isommassa päivityksessä.
Olen hurjaa vaihtia matkalla kohti mahdollisuutta päivittää lennystä squeezeen, mutta taitaa tosiaan tuo .local tiedosto olla jokatapauksessa se paras säätämispaikka.
Käyttäkää tuota .local tiedostoa jos käytätte ja sitä rataa.

mrl586
01-06-2010, 04:02 PM
Quote Originally Posted by harri
En ole vieläkään varma ymmärsinkö tämän alunalkaen väärin, mutta käytä toki tuota local tiedostoa, jos se on oikeampi ratkaisu.
Ainakin tuossa sanotaan, että käyttäjän tekemät muutokset pitää laittaa tuohon local-loppuiseen tiedostoon.

harri
01-06-2010, 03:13 PM
Quote Originally Posted by Owdy
Vai /etc/fail2ban/jail.local ?

Code:
# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local
En ole vieläkään varma ymmärsinkö tämän alunalkaen väärin, mutta käytä toki tuota local tiedostoa, jos se on oikeampi ratkaisu.

Tuota findtime:a mulla ei ole?
Findtime tarkoittaa aikaa, jonka ajalta lasketaan epäonnistuneet kirjautumisyritykset, jonka perusteella sitten bannitaan joksikin aikaa.


Vaikuttaakohan noista OVH:n hostaamista palvelimista tulevista hyökkäyksistä valittaa? Kerran pistin viestiä abuse@ovh.net osoitteeseen, mutta yksipuolisesta viestinnästä on vaikea arvioida, oliko tällä jotain vaikutusta.
Eikä nämä ole mitään OVH:n omia roottaus tai varmuuskopiointihommia.
"Failed password for invalid user test from 94.23.46.119 port 47324 ssh2"
http://ip-address-lookup-v4.com/look...p=94.23.46.119

Owdy
12-31-2009, 08:25 PM
Melkein kaikki on root ryhmää. Lisätään sitten se.

mrl586
12-31-2009, 08:03 PM
Quote Originally Posted by Owdy
Miten te ootte tän hoitaneet? Millään SFTP tms selaimella filuja ei voi muokata kun oikeudet on ruutilla.
Selvitä filujen ryhmä. Lisää tunnuksesi tuohon ryhmään.

Owdy
12-31-2009, 07:24 PM
Quote Originally Posted by Owdy
Tuo rootin ssh blokkaus hankaloittaa tiedostojen latausta / muokkausta palvelimelle/lle. Tähän saakka homma on hoitunut KDEn Dolphinin fish:// protokollalla. Nyt toki saan kansiot auki, mutta en voi editoida mitään sitä kautta.
Miten te ootte tän hoitaneet? Millään SFTP tms selaimella filuja ei voi muokata kun oikeudet on ruutilla.

Owdy
12-31-2009, 07:21 PM
Quote Originally Posted by harri
Fail2ban on hyvä olla olemassa, mutta sen oletusbanni on olemattoman lyhyt 10min. Debianissa /etc/fail2ban/jail.conf:iin voi [ssh]:n alle listata bantime:n ja findtime:n arvoiksi joitain tunteja. I
Vai /etc/fail2ban/jail.local ?

Code:
# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local
Tuota findtime:a mulla ei ole?

Anniina
12-31-2009, 03:33 PM
Kiitti kaikille! Vaihdoin portin takas. Fail2banista en ollu kuullu, mut se on nyt asennettu. Kaikki muu näyttää olevan ok.

SSH päivitetty, kiitos avusta

Lauri
12-31-2009, 10:35 AM
SSHd:n portin muuttaminen estää teknikkojamme suorittamasta huoltotoimenpiteitä mahdollisen ongelman sattuessa.

http://ohjeet.ovh-hosting.fi/Firewall

harri
12-31-2009, 02:28 AM
Fail2ban on hyvä olla olemassa, mutta sen oletusbanni on olemattoman lyhyt 10min. Debianissa /etc/fail2ban/jail.conf:iin voi [ssh]:n alle listata bantime:n ja findtime:n arvoiksi joitain tunteja. Itselläni siellä on
bantime = 14400
findtime = 18000

Eipä tule kymmenen minuutin välein sisäänkirjautumisyrityksiä.


SSH portin vaihtaminen toisaalle ja rootin kirjautumisen estämiset ovat vain lisäturvaa, joita tulisi joka tapauksessa pitää silmällä joka tapauksessa.


Apache, Lighttpd ja Nginx käynnistyvät oletuksena rootin tunnuksella, mutta tiputtavat sitten itsensä www-data tai jollekkin muulle tunnukselle ajettavaksi. Tämä kannattaa tarkistaa konffeista, jos uskaltautuu vaihtamaan Apachesta pois.


Oletuksena myös MySQL on ajossa, mutta en enää muista onko se oletuksena estetty ulkoverkosta.


Ja kannattaa välillä päivitellä järjestelmää apt-get:llä tai aptitudella.

Owdy
12-30-2009, 09:50 PM
Tuo rootin ssh blokkaus hankaloittaa tiedostojen latausta / muokkausta palvelimelle/lle. Tähän saakka homma on hoitunut KDEn Dolphinin fish:// protokollalla. Nyt toki saan kansiot auki, mutta en voi editoida mitään sitä kautta.

Owdy
12-30-2009, 09:43 PM
Mitens tuo sudon konffaus (en ole sudolla vuosiin leikkinyt kun olen openSUSE käyttäjä), riittääkö /etc/sudoers tiedostoon seuraava "owdy" rivi?

Code:
# User privilege specification
root    ALL=(ALL) ALL
owdy   ALL=(ALL) ALL

mrl586
12-30-2009, 09:31 PM
Quote Originally Posted by Anniina
Kerneliä en oo vielä päivittänyt. Onko miten helppoo näihin teidän koneisiin?
Kernelin päivitys OVH-tyylillä: http://forum.ovh.co.uk/showthread.php?t=933

Owdy
12-30-2009, 09:27 PM
Quote Originally Posted by Owdy
Aah, sudopa tietenkin. Kiitos
Tai hetko, enhän mä sudoa välttämättä tarvitse kun SU riittää niin pääsee konffaamaan.

Owdy
12-30-2009, 09:17 PM
Quote Originally Posted by ruonke
Käyttäjä jona apache ajetaan määritellään /etc/apache2/envvars tiedostossa.

export APACHE_RUN_USER=www-data
export APACHE_RUN_GROUP=www-data

Tuo (esimerkissä www-data) käyttäjä ja group tulee olla järjestelmässä.
Näkyy olevan oletuksena noin, joten ei hätää sen suhteen

ruonke
12-30-2009, 08:17 PM
Käyttäjä jona apache ajetaan määritellään /etc/apache2/envvars tiedostossa.

export APACHE_RUN_USER=www-data
export APACHE_RUN_GROUP=www-data

Tuo (esimerkissä www-data) käyttäjä ja group tulee olla järjestelmässä.

apache2ctl graceful tai apache2ctl restart pitäisi päivittää se ajamaan tuolla käyttäjällä. Tarkista ps aux | grep apache

Owdy
12-30-2009, 07:59 PM
Quote Originally Posted by zeta
tää on kyl hienoa ku owdy vissii ekaa kertaa käyttää linuxia?
Joo, tää on kato mun eka tietsikka, isobroidi laitto tähän jonkun Bununtun tai jotain kato. Kylmä hax0raan sut kohta hei kato.

Quote Originally Posted by zeta
sshn portti kannattaa myös vaihtaa
Tämän hyödystä ollaan kahta mieltä, kts esim:

Moving your SSH server port doesn't magically makes it secure, also, if you put it above the "privileges ports" (<=1024), and you give ssh access to your users, you can actually increase risk. That being said, just install fail2ban or something like that: will report and auto black list IPs which are trying to brute-force break your passwords.


Quote Originally Posted by ruonke
Owdy:
Root login estetään SSHsta laittamalla sshd_config tiedostoon PermitRootLogin no
Muista toki laittaa oma käyttäjäsi sudoers tiedostoon jotta et lukitse itseäsi ulos.
Aah, sudopa tietenkin. Kiitos Kyselen tyhmiä edelleen, jossain neuvotaan että esim Apachea ei kannataa ajaa ruuttina. Ok, nyt se on ruuttina päällä, miten sen vaihtaa vaivattomimmin poisP

ruonke
12-30-2009, 06:40 PM
Owdy:
Root login estetään SSHsta laittamalla sshd_config tiedostoon PermitRootLogin no
Muista toki laittaa oma käyttäjäsi sudoers tiedostoon jotta et lukitse itseäsi ulos.

Mutta tuo kun oli jo tehtynä niin seuraava vaihe onkin katsella mitä palveluja koneella on päällä ja sitten on syytä miettiä onko ne tarpeellisia:

# netstat -lnt näyttää kuuntelevat TCP portit
# netstat -lnu näyttää kuuntelevat UDP portit

jos esim tcp portti 80 on listattuna,
# fuser -n tcp 80 näyttäisi tuota porttia käyttävän prosessin/prosessit
80/tcp: 16929 16973 17001

# ps u 16929
www-data 16929 0.0 0.0 69264 1952 ? S Dec27 0:00 /usr/sbin/apache

näyttäisi mikä prosessi tuota porttia käyttää, eli tuosta löytyisi Apache

Tuolla lailla käy läpi avoimet portit niin saa suljetuksi turhat palvelut pois käytöstä.

Sen jälkeen tietoturvassa onkin enää huoli siitä, että salasanat ovat tarpeeksi vahvoja ja että käyttöön jätettyjen palveluiden päivitykset ovat ajan tasalla.
Myös ajettavien sovellusten (esim php-skriptit) tietoturva kannattaa tarkistaa (input sanitizing, xss, upload protection jne).

zeta
12-30-2009, 06:26 PM
anniina voin koska vaan conffata sun kerneliä, tää on kyl hienoa ku owdy vissii ekaa kertaa käyttää linuxia? koitappa googlee pistää linux+sudo tai linux+su

oot varmaan poistanu rootin alta kuitenki .ssh/jotai ? siel on talennettu ovhn root login keyt

sshn portti kannattaa myös vaihtaa

Owdy
12-30-2009, 05:40 PM
Oon disabloinut root-loginin
Miten tuo tehdään ja miten pystyy konfaamaan mitään jos ei roottina pääse touhuamaan?

Owdy
12-30-2009, 05:36 PM
Tuo on ihan hyvä lisä tietoturvaan myös:
http://linux.fi/wiki/Fail2ban
Helppo konffata jne.

Tossa esim asennusohje Debianiin http://www.howtoforge.com/fail2ban_debian_etch

Anniina
12-30-2009, 04:47 PM
Mitä kannattaa tehä oman palvelimen suojaamiseksi? Oon disabloinut root-loginin ja vaihtanut ssh-portin. Iptables lisätty ssh pääsy pelkästään omasta osotteesta. Kerneliä en oo vielä päivittänyt. Onko miten helppoo näihin teidän koneisiin?

Linux xxx 2.6.31.5-grsec-xxxx-grs-ipv4-64 #3 SMP Tue Nov 24 16:51:16 UTC 2009 x86_64 GNU/Linux


Code:
root@xxx:/home/ansku# ps aux
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0  19192  1580 ?        Ss   Dec22   0:01 /sbin/init
root         2  0.0  0.0      0     0 ?        S<   Dec22   0:00 [kthreadd]
root         3  0.0  0.0      0     0 ?        S<   Dec22   0:00 [migration/0]
root         4  0.0  0.0      0     0 ?        S<   Dec22   0:00 [ksoftirqd/0]
root         5  0.0  0.0      0     0 ?        S<   Dec22   0:00 [events/0]
root         6  0.0  0.0      0     0 ?        S<   Dec22   0:00 [cpuset]
root         7  0.0  0.0      0     0 ?        S<   Dec22   0:00 [khelper]
root        13  0.0  0.0      0     0 ?        S<   Dec22   0:00 [async/mgr]
root       209  0.0  0.0      0     0 ?        S<   Dec22   0:00 [kintegrityd/0]
root       210  0.0  0.0      0     0 ?        S<   Dec22   0:00 [kblockd/0]
root       211  0.0  0.0      0     0 ?        S<   Dec22   0:00 [kacpid]
root       212  0.0  0.0      0     0 ?        S<   Dec22   0:00 [kacpi_notify]
root       213  0.0  0.0      0     0 ?        S<   Dec22   0:00 [kacpi_hotplug]
root       265  0.0  0.0      0     0 ?        S<   Dec22   0:00 [ata/0]
root       266  0.0  0.0      0     0 ?        S<   Dec22   0:00 [ata_aux]
root       270  0.0  0.0      0     0 ?        S<   Dec22   0:00 [ksuspend_usbd]
root       274  0.0  0.0      0     0 ?        S<   Dec22   0:00 [khubd]
root       277  0.0  0.0      0     0 ?        S<   Dec22   0:00 [kseriod]
root       331  0.0  0.0      0     0 ?        S    Dec22   0:00 [pdflush]
root       332  0.0  0.0      0     0 ?        S    Dec22   0:00 [pdflush]
root       333  0.0  0.0      0     0 ?        S<   Dec22   0:00 [kswapd0]
root       334  0.0  0.0      0     0 ?        S<   Dec22   0:00 [aio/0]
root       338  0.0  0.0      0     0 ?        S<   Dec22   0:00 [nfsiod]
root       339  0.0  0.0      0     0 ?        S<   Dec22   0:00 [cifsoplockd]
root       341  0.0  0.0      0     0 ?        S<   Dec22   0:00 [xfs_mru_cache]
root       342  0.0  0.0      0     0 ?        S<   Dec22   0:00 [xfslogd/0]
root       343  0.0  0.0      0     0 ?        S<   Dec22   0:00 [xfsdatad/0]
root       344  0.0  0.0      0     0 ?        S<   Dec22   0:00 [xfsconvertd/0]
root       345  0.0  0.0      0     0 ?        S<   Dec22   0:00 [ocfs2_wq]
root       346  0.0  0.0      0     0 ?        S<   Dec22   0:00 [o2quot/0]
root       349  0.0  0.0      0     0 ?        S<   Dec22   0:00 [user_dlm]
root       351  0.0  0.0      0     0 ?        S<   Dec22   0:00 [glock_workque]
root       352  0.0  0.0      0     0 ?        S<   Dec22   0:00 [delete_workqu]
root       353  0.0  0.0      0     0 ?        S<   Dec22   0:00 [kslowd]
root       354  0.0  0.0      0     0 ?        S<   Dec22   0:00 [kslowd]
root       355  0.0  0.0      0     0 ?        S<   Dec22   0:00 [crypto/0]
root      1068  0.0  0.0      0     0 ?        S<   Dec22   0:00 [iscsi_eh]
root      1077  0.0  0.0      0     0 ?        S<   Dec22   0:00 [fc_rport_eq]
root      1078  0.0  0.0      0     0 ?        S<   Dec22   0:00 [fcoethread/0]
root      1092  0.0  0.0      0     0 ?        S<   Dec22   0:00 [scsi_eh_0]
root      1094  0.0  0.0      0     0 ?        S<   Dec22   0:00 [scsi_eh_1]
root      1137  0.0  0.0      0     0 ?        S<   Dec22   0:00 [mtdblockd]
root      1166  0.0  0.0      0     0 ?        S<   Dec22   0:00 [kpsmoused]
root      1183  0.0  0.0      0     0 ?        S<   Dec22   0:00 [kstriped]
root      1185  0.0  0.0      0     0 ?        S<   Dec22   0:00 [kdelayd/0]
root      1186  0.0  0.0      0     0 ?        S<   Dec22   0:00 [kmpathd/0]
root      1187  0.0  0.0      0     0 ?        S<   Dec22   0:00 [kmpath_handle]
root      1188  0.0  0.0      0     0 ?        S<   Dec22   0:00 [ksnapd]
root      1191  0.0  0.0      0     0 ?        S<   Dec22   0:00 [edac-poller]
root      1203  0.0  0.0      0     0 ?        S<   Dec22   0:00 [kondemand/0]
root      1204  0.0  0.0      0     0 ?        S<   Dec22   0:00 [kconservative]
root      1232  0.0  0.0      0     0 ?        S<   Dec22   0:00 [usbhid_resume]
root      1237  0.0  0.0      0     0 ?        S<   Dec22   0:00 [rpciod/0]
root      1253  0.0  0.0      0     0 ?        S<   Dec22   0:00 [kjournald]
root      1273  0.0  0.0  12768   824 ?        S    Dec22   0:00 upstart-udev-br
root      1275  0.0  0.0  16768   864 ?        S
Tietoturvapuoli jääny vähän aina taka-alalle ku on ollu muita hommia, mut nyt ku on kunnon palvelin ni pitää kiinnittää siihen vähän enemmän huomioo.