Ubuntu 12.04 LTS Secure Lamp Server
Итак ... мне не повезло с моим Linux-VPS-сервером, работающим 12.04.3 лтс. У меня был запущен плохой php-скрипт, который в основном открывался для инъекции mysql. И из-за глупой конфигурации с моей стороны эта инъекция mysql закончилась эксплойтом, в котором человек получил доступ ко всему.
Мне удалось вовремя это уловить, я сделал резервную копию своих данных и вытер сервер.
Итак, я переустановил и переоценил все, что мне показалось, я знал и начал с нуля.
Что у меня работает ... хорошо.
- apache2 2.2.22
- php5 5.3.10-1ubuntu3.8 с Suhosin Patch 0.9.10)
- mysql-server
- постфикс
- ssh
- iptables
Я установил все это по отдельности, я не делал «apt-get install lamp». apt-get install ssh apache2 mysql-server php5 php5-mysql postfix iptables ... это почти то, что я думаю.
Что касается apache2, я следовал нескольким руководствам, которые я не могу найти среди моих 300+ вкладок в Firefox. Я уверен, что мне нужно еще кое-что сделать для полной защиты apache.
Для php5 я удостоверился, что установил патч suhosin, и следовал руководству или двум, где я редактировал конфигурацию. Я уверен, что здесь тоже должно быть что-то, что я мог бы сделать, чтобы защитить себя.
Мой сервер MySQL настроен на прием только с локального хоста. Я использую туннель SSH, чтобы иметь возможность подключиться к нему с помощью Navicat, чтобы я мог делать резервные копии и тому подобное. Я позаботился о том, чтобы все пользователи, кроме root, не имели каких-либо серверных привилегий, это было тем, что в последний раз напортачило (да, я знаю, глупый я ... я совсем забыл, что в прошлом я использовал пользователя для Затем удаленное подключение использовало это для чего-то другого, что затем позволяло использовать уязвимость эскалации). И я добавил строку в конфиге, которая мешает MySQL загружать локальные файлы в таблицы и тому подобное. В любом случае ... я чувствую, что я сделал все, что могу с сервером MySQL на данный момент.
Postfix была установкой по умолчанию, я ничего не делал. Я позже удалил это, потому что я не нашел подходящего руководства для этого. И я видел, как многие говорили, что postfix - это катастрофа для настройки, и если оставить ее в состоянии по умолчанию, вы просите взлома. Или так они сказали ... пожимает плечами
То, что я до сих пор делал, это защищенный ssh, запустив его на альтернативном порту, и я использовал puttygen для генерации ключа rsa с 4096bit шифрование с помощью ключевой фразы. Я отключил рут-логин через ssh config и pam. Единственный способ войти в систему через ssh - это использовать rsa pubkey, используя сгенерированный мной ключ. И это работает действительно здорово. И я уверен, что теперь ssh безопасен. Насколько я понимаю, без личного ключа и пароля никуда не деться.
iptables, ну, каждому серверу нужен iptables. У меня есть куча IP-адресов, которые я заблокировал. И, вероятно, еще больше будет заблокировано в будущем.
Хорошо ... итак, теперь на моем только что установленном сервере мне удалось отменить почти все. Я удалил страницу php, которая была точкой входа для хакера, и я использовал чистую установку файлов для моего программного обеспечения форума SMF. Я сохранил вложения форума, хотя они были важной частью моего форума. По сути, я готов загрузить свой форум со старой базой данных и заставить всех пользователей менять пароли.
Теперь, хакер, бывший пользователь форума на моем форуме. Так что я вроде его знаю. Он увидел, что взлом моего сервера - это подарок для меня, чтобы я мог очистить дыру в безопасности. Теперь это может быть так ... это действительно сделало меня более осведомленным о безопасности. Настолько, что я потратил почти 2 недели без перерыва, читая в Интернете о том, как обезопасить эти службы, которые я использую.
Теперь, с моим недавно установленным сервером, я получаю личное сообщение по паре от того же парня (хакера), заявляя, что он нашел другую дыру в петле, но он не собирается рассказывать мне, что это на этот раз, потому что я его принял и его VPN.
1122 Парень чувствует, что должен быть вознагражден за взлом моего сервера. Лично, если человек взломает, Вы не предлагаете ему торт и кофе. Вы сломаете ему ноги ... затем вызовите полицию. кашляет
Во всяком случае, это приводит меня к постфиксу. Я установил это, потому что я не хочу платить за систему доставки почты для моего форума, когда все, что мне нужно сделать, это отправлять несколько писем в день. Это не большой форум, так что есть вероятность, что я буду отправлять много электронных писем только тогда, когда я делаю рассылку для моих 250+ участников.
Я уверен, что apache, php5 и ssh безопасны. И я чувствую себя уверенным, что моя главная страница WordPress и форум SMF также безопасны (я удалил почти все большинство и пошел только с самыми основными модами). Как я уже сказал, все файлы свежие, но мои вложения с форума SMF.
Но я чувствую, что меня здесь могут подстрелить. Хотя я могу ошибаться ...
Мне нужен постфиксный сервис, чтобы форум мог отправлять почту. Мне не нужно ничего получать. Так что мне интересно, могу ли я оставить постфикс с настройками по умолчанию? Или это откроет меня для атаки?
Парень, как я уже сказал, либо троллит меня, потому что хочет, чтобы я был более параноиком, или он говорит мне правду.
Может ли кто-нибудь пролить здесь свет? Я имею в виду, apache, php, mysql и ssh кажутся безопасными. Если вокруг лежат другие php-файлы, в которые он может вмешиваться mysql, то он, по крайней мере, не доберется до тех пор, пока ни один из пользователей не получит грант, ни серверные привилегии. Так что я думаю, постфикс - это его точка входа? Или я просто троллюсь?
1 ответ
Они разговаривают с тобой по Steam? Поговорите с полицией и попросите их поговорить с Valve. По крайней мере, вы можете надеяться, что они потеряют учетную запись Steam и связанные с ней игры.
Упреждающее раскрытие - это одно, но сделать дыру, а потом сказать, что вы можете сделать это снова и снова, - преступное вымогательство.
Кроме того, я бы вступил в вступительную беседу с адвокатом, чтобы обсудить гражданский иск против пользователя (если идентификация могла быть возможной через повестку в суд). Определите, сколько времени вы потратили, а профессионалу - на аудит вашего сервера (теперь они с ним что-то сделали), умножьте это на три и предъявите иск за это.
С точки зрения безопасности, я бы положил деньги на это, потому что это один из ваших сайтов. Тем более, если вы просто оторвали их от своей старой установки и вставили их (или их данные) на новый сервер. Злоумышленник, как предполагается, имеет доступ на запись ко всем вашим базам данных. Вы не знаете, какие права они имеют на ваших сайтах. Возможно, хотя и маловероятно, учитывая, что они возвращаются, что они добавили новые уязвимости, чтобы теперь было удобно закрыть их.
Я бы посмотрел на миграцию сервисов. Найдите другой форум и используйте его. Проверьте учетные записи администратора. Проверьте загруженные файлы и их разрешения. Удалить оставленные аккаунты.
С точки зрения необработанного доступа, единственные вещи, к которым люди могут получить доступ извне, должны быть веб-сервером и нестандартным портом SSH. Postfix не обязательно должен быть доступен извне для отправки электронной почты. И я бы использовал ufw, чем пытаться вручную ввести правила в iptables. Люди делают глупые ошибки с iptables; ufw просто намного легче понять.
Многие почтовые службы (MailChimp for one) имеют бесплатные тарифы за низкое использование, которые, как вам кажется, находятся в пределах.
У вас должен быть запущен fail2ban, так что грубые SSH-атаки блокируются IP.
Ведите лучшие журналы и регулярно копируйте их вне офиса. Когда кто-то взломал, ищите вторжение. Узнайте, что это было.
1114 Я бы, пожалуй, пошел еще дальше и выделил ваши услуги. Виртуализируйте свои сайты в отдельные контейнеры (docker, lxc и т. Д.). Вы будете использовать на ~ 50 МБ больше оперативной памяти на сайт в накладных расходах, но один отказ сайта не будет загружать сервер. Наоборот, вы узнаете, в каком месте есть дыра.
Я чувствую, что знаю, что делать в такой ситуации, но это займет у меня много времени и много стресса. Я размещаю серверы, и у меня достаточно опыта работы с Ubuntu с тех пор, как я начал использовать его много лет назад ...
... Но даже я хотел бы поговорить с профессионалом об аудите моего сервера. Вы начали изучать безопасность две недели назад. Не обижайся, ты не в своей тарелке и тебе нужна не только помощь сообщества.