Zabezpečení serveru - Historie editací

Chronos v 5. 2. 2011, 09:18

2011-02-05T09:18:44Z

← Starší verze		Verze z 5. 2. 2011, 11:18
Řádek 92:		Řádek 92:

	[[Kategorie:Linux]]		[[Kategorie:Linux]]
			[[Kategorie:Hosting]]

Chronos v 5. 2. 2011, 09:04

2011-02-05T09:04:12Z

← Starší verze		Verze z 5. 2. 2011, 11:04
Řádek 66:		Řádek 66:

	Pokud používáte v MySQL uživatelské účty bez hesla omezené pro lokální počítač, dejte pozor na to, že PHPMyAdmin a PHP skripty přistupují k SQL serveru z lokální IP adresy a pravidlo pro omezení z lokálního počítače se tedy nevztahuje na webové stránky. Je však možné v konfiguračním souboru ''config.php'' dále upřesnit oprávnění uživatelů. Předpokládejme, že používáme autorizaci přes HTTP (''$cfg['Servers'][$i]['auth_type'] = 'http';''). Pak je možné nastavit oprávnění přes:		Pokud používáte v MySQL uživatelské účty bez hesla omezené pro lokální počítač, dejte pozor na to, že PHPMyAdmin a PHP skripty přistupují k SQL serveru z lokální IP adresy a pravidlo pro omezení z lokálního počítače se tedy nevztahuje na webové stránky. Je však možné v konfiguračním souboru ''config.php'' dále upřesnit oprávnění uživatelů. Předpokládejme, že používáme autorizaci přes HTTP (''$cfg['Servers'][$i]['auth_type'] = 'http';''). Pak je možné nastavit oprávnění přes:
			<source lang="php">
	<pre>
	$cfg['Servers'][$i]['AllowDeny']['order'] = 'deny, allow';		$cfg['Servers'][$i]['AllowDeny']['order'] = 'deny, allow';
	$cfg['Servers'][$i]['AllowDeny']['rules'] = array('deny <uživatel> from all');		$cfg['Servers'][$i]['AllowDeny']['rules'] = array('deny <uživatel> from all');
	</~~pre~~>		</source>
	Tímto zablokujeme přístup uživateli <uživatel>.		Tímto zablokujeme přístup uživateli <uživatel>.

Chronos v 1. 6. 2010, 09:43

2010-06-01T09:43:51Z

← Starší verze		Verze z 1. 6. 2010, 11:43
Řádek 89:		Řádek 89:
	* [http://cs.wikipedia.org/wiki/SQL_injection SQL injection na wikipedii]		* [http://cs.wikipedia.org/wiki/SQL_injection SQL injection na wikipedii]
	* [http://cs.wikipedia.org/wiki/Cross-site_scripting Cross-site scripting na wikipedii]		* [http://cs.wikipedia.org/wiki/Cross-site_scripting Cross-site scripting na wikipedii]
			* [http://www.acunetix.com/websitesecurity/upload-forms-threat.htm Ochrana uploadu souborů]

	[[Kategorie:Linux]]		[[Kategorie:Linux]]

Chronos v 15. 5. 2010, 12:56

2010-05-15T12:56:11Z

← Starší verze		Verze z 15. 5. 2010, 14:56
Řádek 44:		Řádek 44:
	=== Síťové přihlašování ===		=== Síťové přihlašování ===

	K ~~příhlášení~~ ze sítě se používá především protokol SSH, který přenáší data v šifrované podobě. V rámci ochrany utajením je vhodné zablokovat možnost přihlásit se k účtu root ze sítě. Namísto toho je vhodné se přihlásit na svůj účet a spouštět aplikace přes ''sudo''. Díky tomu je pak účet root chráněn ze sítě dvěma hesly. Zablokování roota se provede v konfiguraci SSH serveru v souboru ''/etc/ssh/sshd_config'' odkomentováním řádku ''PermitRootLogin no'' což znamená ''Povolení přihlášení roota ne''.		K přihlášení ze sítě se používá především protokol SSH, který přenáší data v šifrované podobě. V rámci ochrany utajením je vhodné zablokovat možnost přihlásit se k účtu root ze sítě. Namísto toho je vhodné se přihlásit na svůj účet a spouštět aplikace přes ''sudo''. Díky tomu je pak účet root chráněn ze sítě dvěma hesly. Zablokování roota se provede v konfiguraci SSH serveru v souboru ''/etc/ssh/sshd_config'' odkomentováním řádku ''PermitRootLogin no'' což znamená ''Povolení přihlášení roota ne''.

	'''Odkazy:'''		'''Odkazy:'''
Řádek 65:		Řádek 65:
	Při přístupu k webovému rozhraní používejte šifrovanou komunikaci (SSL) zadáním protokolu https místo http do adresního řádku.		Při přístupu k webovému rozhraní používejte šifrovanou komunikaci (SSL) zadáním protokolu https místo http do adresního řádku.

	Pokud používáte v MySQL uživatelské účty bez hesla omezené pro lokální počítač, dejte pozor na to, že PHPMyAdmin a PHP skripty přistupují k SQL serveru z lokální IP adresy a pravidlo pro omezení z lokálního počítače se tedy nevztahuje na webové stránky. Je však možné v konfiguračním souboru ''config.php'' dále upřesnit oprávnění uživatelů. Předpokládejme, že ~~použiváme~~ autorizaci přes HTTP (''$cfg['Servers'][$i]['auth_type'] = 'http';''). Pak je možné nastavit oprávnění přes:		Pokud používáte v MySQL uživatelské účty bez hesla omezené pro lokální počítač, dejte pozor na to, že PHPMyAdmin a PHP skripty přistupují k SQL serveru z lokální IP adresy a pravidlo pro omezení z lokálního počítače se tedy nevztahuje na webové stránky. Je však možné v konfiguračním souboru ''config.php'' dále upřesnit oprávnění uživatelů. Předpokládejme, že používáme autorizaci přes HTTP (''$cfg['Servers'][$i]['auth_type'] = 'http';''). Pak je možné nastavit oprávnění přes:
	<pre>		<pre>
	$cfg['Servers'][$i]['AllowDeny']['order'] = 'deny, allow';		$cfg['Servers'][$i]['AllowDeny']['order'] = 'deny, allow';

Chronos: Založena nová stránka: Díky technologickému pokroku a nízkým cenám výpočetní techniky dnes může provozovat vlastní server prakticky kdokoliv. Přesto při provozu serveru je dobré mí…

2010-05-15T12:54:02Z

Založena nová stránka: Díky technologickému pokroku a nízkým cenám výpočetní techniky dnes může provozovat vlastní server prakticky kdokoliv. Přesto při provozu serveru je dobré mí…

Nová stránka

Díky technologickému pokroku a nízkým cenám výpočetní techniky dnes může provozovat vlastní server prakticky kdokoliv. Přesto při provozu serveru je dobré mít základní a lépe i pokročilé znalosti správy serveru a práce s použitým operačním systémem. K provozu serverů se poslední dobou dostávají i mladší uživatelé, kteří zprovozňují server bez patřičných znalostí a tyto servery se tak mohou stát snadným terčem útoku. Přestože na takových serverech jsou málokdy citlivá data, je vhodné věnovat se zabezpečení svého serveru a snažit se rozumně snížit riziko narušení funkce nebo zneužití serveru někým z internetu.

= Linux =

GNU/Linux je komplexní svobodný open source operační systém. Pro jeho použití je dobré si přečíst vhodnou vzdělávací literaturu.

'''Odkazy:'''

* [http://knihy.root.cz/kniha/linux-dokumentacni-projekt-4-vydani/ Linux: Dokumentační projekt (4. vydání)] - Základní obsáhlá literatura pro uživatele i administrátory.

== Brána firewall ==

Firewall slouží k filtrování síťové komunikace. Doporučuje se povolit pouze porty nezbytné pro fungování serveru. Vše co není povoleno by mělo být zakázáno. Firewall pouze částečně zmenšuje riziko pomocí blokován služeb. I tak je nutné řešit bezpečnost jednotlivých síťových služeb.

'''Odkazy:'''

* [http://www.fi.muni.cz/~kas/p090/referaty/2004-podzim/st/firewally_xmaly.htm Firewally, bezpečnost]

== Uživatelské účty ==

=== Oprávnění ===

Jednotlivým uživatelům se snažíme přidělovat jen ta oprávnění, která potřebují ke své práci. Není vhodné pracovat přímo pod uživatelským účtem root. Vhodnější je spouštět aplikace, které potřebují oprávnění roota přes povel ''sudo'' případně přes ''su -c <příkaz>''.

Oprávnění pro jednotlivé uživatele nastavujeme přes soubor ''sudoers'' umístěný v konfiguračním adresáři ''etc''. V tomto souboru je možné přidělit uživatelům např. oprávnění pro správu procesů, používání síťových nástrojů, aktualizaci systému a správu disků.

'''Odkazy:'''

* [http://www.linuxsoft.cz/article.php?id_article=493 Linux v příkazech - sudo]

=== Hesla ===

Doporučuje se používat silná hesla. Pro jednotlivé podsystémy je dobré používat odlišná hesla, aby prozrazení jednoho hesla neumožnilo útočníkovi zneužít další části systému.

'''Odkazy:'''

* [http://www.linuxexpres.cz/praxe/jak-vytvorit-opravdu-silne-heslo Jak vytvořit opravdu silné heslo]

=== Spuštění programů ===

Není vhodné spouštět nedůvěryhodné programy pod uživatelským účtem root s plným oprávněním. Namísto toho je dobré vytvořit pro jednotlivé programy samostatné uživatele a spouštět tyto programy pod těmito omezenými účty.
Z účtu roota můžete spustit program pod jiným uživatelem takto: ''su <uživatel> -c <program>'' (např. ''su mangos -c mangos-worldd'')

=== Síťové přihlašování ===

K příhlášení ze sítě se používá především protokol SSH, který přenáší data v šifrované podobě. V rámci ochrany utajením je vhodné zablokovat možnost přihlásit se k účtu root ze sítě. Namísto toho je vhodné se přihlásit na svůj účet a spouštět aplikace přes ''sudo''. Díky tomu je pak účet root chráněn ze sítě dvěma hesly. Zablokování roota se provede v konfiguraci SSH serveru v souboru ''/etc/ssh/sshd_config'' odkomentováním řádku ''PermitRootLogin no'' což znamená ''Povolení přihlášení roota ne''.

'''Odkazy:'''

* [http://www.root.cz/clanky/prava-je-lepsi-root-nebo-sudo/ Práva: je lepší root nebo sudo?]

== Systémové záznamy ==

Operační systém i samotné aplikace často vytváří záznamy o svém běhu zvané ''logy''. Z pohledu bezpečnosti nás pro informaci zajímá informace o tom, kdo se přihlašoval k serveru. Záznam přihlášení přes SSH najdete v souboru ''/var/log/secure''.

Dále systém loguje příkazy provedené přes ''sudo'' do souboru ''/var/log/sudo.log''.

= Windows =

= Multiplatformí aplikace =

== phpMyAdmin ==

Při přístupu k webovému rozhraní používejte šifrovanou komunikaci (SSL) zadáním protokolu https místo http do adresního řádku.

Pokud používáte v MySQL uživatelské účty bez hesla omezené pro lokální počítač, dejte pozor na to, že PHPMyAdmin a PHP skripty přistupují k SQL serveru z lokální IP adresy a pravidlo pro omezení z lokálního počítače se tedy nevztahuje na webové stránky. Je však možné v konfiguračním souboru ''config.php'' dále upřesnit oprávnění uživatelů. Předpokládejme, že použiváme autorizaci přes HTTP (''$cfg['Servers'][$i]['auth_type'] = 'http';''). Pak je možné nastavit oprávnění přes:
<pre>
$cfg['Servers'][$i]['AllowDeny']['order'] = 'deny, allow';
$cfg['Servers'][$i]['AllowDeny']['rules'] = array('deny <uživatel> from all');
</pre>
Tímto zablokujeme přístup uživateli <uživatel>.

'''Odkazy:'''

* [http://www.phpmyadmin.net/documentation/#config phpMyAdmin 3.0.0-dev Documentation]

== MySQL server ==

Při konfiguraci MySQL serveru vždy nastavte heslo pro uživatele root. Lze doporučit přejmenování tohoto účtu na jiný a zamezit tak případným slovníkovým útokům.
Jednotlivým uživatelům přidělujte oprávnění jen pro ty databáze a tabulky, které potřebují.

== Dynamické webové stránky ==

U dynamických stránek napsaných např. v jazyce PHP se může objevit zranitelnost v podobě útoku tzv. SQL injection nebo také CSS(Cross Site Scripting). Vždy se pokuste zkontrolovat a zabezpečit stránky proti těmto útokům, které mohou vést až k získání obsahu vaší databáze včetně otevřených nebo i hashovaných hesel.

'''Odkazy:'''

* [http://cs.wikipedia.org/wiki/SQL_injection SQL injection na wikipedii]
* [http://cs.wikipedia.org/wiki/Cross-site_scripting Cross-site scripting na wikipedii]

[[Kategorie:Linux]]