Безопастность сервера

[murder]

3-й день мучаю свой новый web сервер и пришел к выводу, что то, чем я занимаюсь бессмысленно и неудобно
Когда задач мало на машине все просто - iptables+snort+chroot+grsec, а также бдить ну и логи обрабатывать.
Тут же мне нужно поднять полноценный хостинг(apache, php, mysql, perl, доступ по ftp, mail и тд)
в этой конструкции iptables+snort+grsec немного меня смущает своим функционалом, боюсь мало этого(мб я и параноик, но всеже).
Допустим элементарно...
Клиент у тебя на хостинге ставит phpbb старый, и его удачно ломают, при этом залезая на машину
Как этого избежать? Если бы apache сидел в chroot то и ладно, много не напакастит, с другой стороны загонять в chroot вместе с apache perl и другие сервисы (чтобы нормально все работало) - бесмысленно.
1 товарищ посоветовал смотреть в сторону XEN, но машина слабовата я думаю для него.
Дык вот и сам вопрос
Есть ли что-нибудь еще для Linux, ядро версии 2.4, реально работающее и надежное, кроме вышеперечисленного?

[elide]

Клиент у тебя на хостинге ставит phpbb старый, и его удачно ломают, при этом залезая на машину

ага. залезают с правами этого пользователя. и что? ну грохнут они конкретно этому пользователю хоум, и что? если юзер - идиот, то админ ему ничем не поможет....

[murder]

Клиент у тебя на хостинге ставит phpbb старый, и его удачно ломают, при этом залезая на машину

ага. залезают с правами этого пользователя. и что? ну грохнут они конкретно этому пользователю хоум, и что? если юзер - идиот, то админ ему ничем не поможет....

просто у меня возникали такие ситуации, когда обнаруживал в /tmp фалик 1 или 2, и в процесах команду типа bla-bla-bla /usr/bin/perl /tmp/filename

[elide]

ну и? угроза безопасности системы где? в /tmp может обнаружится все что угодно, не зря на него 777 права. только монтировать его надо с nosuid,noexec,nodev.
а перл... ну так он от пользователя работает. к системе у него доступа нет. лимиты на ресурсы выставлены. и какое тебе дело до пользовательского перла?

[murder]

какойнибудь эксплоит и вуаля

[elide]

какой-такой эксплоит позволяет подняться в правах до рута? дайте два.
а вообще, я что хочу сказать: паранойа - нужна, маразм - не нужен.

[murder]

какой-такой эксплоит позволяет подняться в правах до рута? дайте два.
а вообще, я что хочу сказать: паранойа - нужна, маразм - не нужен.

ггг)
еще наверно просто не приходилось сталкиваться с этим
когда у меня ломанули 1 машину, эксплоит оставляли, поиграться...

[elide]

во. так он у тебя даже есть. давай его сюда (:

[pehser]

Клиент у тебя на хостинге ставит phpbb старый, и его удачно ломают, при этом залезая на машину

ага. залезают с правами этого пользователя. и что? ну грохнут они конкретно этому пользователю хоум, и что? если юзер - идиот, то админ ему ничем не поможет....

Ага как раз тот случай, видать мало про взломы этой системы читал, в старых версиях была дырка что за 2 минуты получаеш права рут
лучьше уже запретить ставить эту систему пользователю, а если пользователю она нужна то пусть админ сам ее ставит причем провереную версию.

[murder]

Клиент у тебя на хостинге ставит phpbb старый, и его удачно ломают, при этом залезая на машину

ага. залезают с правами этого пользователя. и что? ну грохнут они конкретно этому пользователю хоум, и что? если юзер - идиот, то админ ему ничем не поможет....

Ага как раз тот случай, видать мало про взломы этой системы читал, в старых версиях была дырка что за 2 минуты получаеш права рут
лучьше уже запретить ставить эту систему пользователю, а если пользователю она нужна то пусть админ сам ее ставит причем провереную версию.

тоже не вариант, особенно в том случае если придеться давать хостинг. Пока немного, но уже около 100 набралось. А за всеми следить это надолго не хватит

[nerezus]

а перл... ну так он от пользователя работает. к системе у него доступа нет. лимиты на ресурсы выставлены. и какое тебе дело до пользовательского перла?

проскисервер от юзера - тоже плохо

[elide]

видать мало про взломы этой системы читал, в старых версиях была дырка что за 2 минуты получаеш права рут

ну вот такой я темный, да. вот расскажи мне, идиоту, как можно получить рута через дырку в php форуме, если сам php выполняется от пользователя. вот как вот так вот взять и заsetuid'ится ?

[murder]

Встречал эксплоит который както через ядро работает, запуск - и у тебя root

[7biohazard7]

Встречал эксплоит который както через ядро работает, запуск - и у тебя root

Ну для этого шелл надо иметь.
Форум позволяет размещать свои скрипты админу форума через Веб форму?

[murder]

в том варианте что у меня сломали - был какой-то upload

[rolano]

Если мучает паранойя - поставь OpenBSD, настрой ее. Скорее всего, найдется очень мало специалистов, которые смогут убить это "чудо враждебной техники" - там тебе и chroot, и jail и паранойя разработчиков.

[KsiCom]

SELinux тебе поможет.
Специально для параноиков
Только настраивать его надо учиться долго и упорно.
В принципе можно RHEL использовать. Там вроде как его политика более менее хорошо настроена.

[Liksys]

SELinux просто настраивается. Где - то в гугле откопал. Откапаю вторично - кину линку.
админ_параноик+SELinux+iptables+грамотно_настроенная_система - что может быть лучше?

[murder]

SELinux на ядра 2.4 встает?

[VictorGFU]

У меня на сервере стоит chrootkit + msec + запрет доступа простым смертным по ssh + chrooted proftpd + webmin.

Признаюсь честно, я полностью отказался от firewall. ИМХО отнего проблем больше, недели пользы. ПРи правильной настройке сервисов с минимальным открытием портов, чрутированием юзеров и ловушкой-сканером портов я д.же доволен своим сервером.

[Liksys]

У меня на сервере стоит chrootkit + msec + запрет доступа простым смертным по ssh + chrooted proftpd + webmin.

Признаюсь честно, я полностью отказался от firewall. ИМХО отнего проблем больше, недели пользы. ПРи правильной настройке сервисов с минимальным открытием портов, чрутированием юзеров и ловушкой-сканером портов я д.же доволен своим сервером.

Дай свой адрес и я тебя подломаю

[boombick]

Дай свой адрес и я тебя подломаю

127.0.0.1

[Liksys]

Дай свой адрес и я тебя подломаю

127.0.0.1

Точно. И сунуть какой- нибудь вирус

[VictorGFU]

ну ну, попробуй. мой адрес в профайле. ты попробуй подломать, а я тебе - рога понядмять.

[WarlorD]

Имхо параноя не нужна, нужен нормальный здравый подход. У многих хостеров есть большй опыт работы, с предоставлением юзеру и ssh и ftp и всего что нужно для работы нормальной и ничего, никто их толпами не ломает. Эксполйты это такое дело - багтраки читайте, обновляйтесь и все будет нормально. Поиметь рута через дырку в phpbb форуме не реально забудьте это и кто скажет что это реально - плюньте ему в лицо ибо чушь. Через phpbb можно поиметь только возможность выполнять команды от имени web-сервера, который запущен например от nobody. Ну чтож, пусть пытается, а так же и перл. Уничтожить все файлы в $HOME у юзера сможет, ну пускай, не жалко:

если юзер - идиот, то админ ему ничем не поможет....

↑

вот она истина. Твоя задача защитить систему и юзеров друг от друга, это сделать достаточно легко, нормальные права выставить на файлы и все. Ну а как защитить себя самого это уж пусть юзер сам думает, естественно бывают всякие ошибки и эксплойты, которые обычно помогают выполнить какой-либо код от рута, работая через заsuidенные демоны, ну так надо обновлять нормально все, что suid имеет, ну и не suidить кого попало. В идеале за юзерами следить совсем не надо и объяснять им никакие правила не надо, юзер должен на все, что ему нельзя видеть один ответ, например вот так:

Код: Выделить всё

#ls -l /pub/home/
ls: : Permission denied

И пусть себе делает все, что хочет, хоть скрипт выполняющий rm -rf / на веб вешает.

[VictorGFU]

2 Liksys:
Я так понимаю, что ты или кто-то из твоей компании пытался подломать меня в первых числах июня, но не удалось. Зачем же устраивать DoS атаки на апач трое суток напролом?

Во гады..........
но зато кое-что пришлось усвоить.....

P.S. Если это не ты, то беру свои слова обратно.

[7biohazard7]

А что пришлось усвоить то:
Что без фаерволла лучше не оставлять или
что и на старуху бывает проруха?

[shark3D]

А если нужна действительно хорошая защита, то думаю стоит обратить внимание на LIDS. При ее использовании даже root перестает быть root, права пользователя root понижаются чуть ли не до гостя.
К тому же, защита идет не на уровне пользователей, а на уровне приложений: определяется какому приложению что можно делать.