Тема: Защитим наши серверы!!!!!
Показать сообщение отдельно
Старый 31.10.2004, 03:30     # 5
Gennadi
Member
 
Аватар для Gennadi
 
Регистрация: 26.08.2002
Адрес: Germany
Сообщения: 232

Gennadi МолодецGennadi МолодецGennadi Молодец
Уважаемый xse15

Да, ты совершенно прав, что непродуманное применение скриптов как и другого софта в системе защиты может привести работу серверов к сбоям. И это естественно, так как она (система защиты) всегда очень индивидуальна и должна учитывать все тонкости работы сервера определённой организации, провайдера и т.д.. И я не хотел сказать, что пара скриптов решает все проблемы секьюрити вашего сервера, но эти скрипты могут быть применены как дополнение к уже существующей системе защиты, а не замене её и рассчитаны на людей которые могут по меньшей мере их читать и изменять в соответствии со своими нуждами.

Цитата:
Нет... себе самому... когда система, в автомате, закроет тебе же доступ, особенно когда он нужен - не приятно... и мешает...
Но позвольте не согласится....
Речь по-видимому зашла о скрипте ssh_block.sh...
Если ты внимательно читал, то мог бы и заметить, что этот скрипт закрывает доступ по SSH (только определённому пользователю и только с определённого IP-adress'а!), если этот кто-то в течении 1 минуты пытался ввести неправильный пароль.
Для остальных доступ по SSH остаётся открытым, а блокирован только определённый IP-adress "сопливого кулхацкера".
Ну если это был Администратор ... и в таком состоянии... может быть это даже и лучше..

Цитата:
дальше, динимические адреса для dial-up. Закрываем доступ - "сопливый кулхацкер" выходит из инета, его адрес получает кто-то другой, а доступа нет...
Как раз об этом я и говорил!
PC: Держать блокировку долго не имеет смысла т.к. при повторной попытке скрипт заблокирует IP опять.... да и IP в основном динамические...
См. _http://gennadi.dyn.ee/modules.php?name=Forums&file=viewtopic&t=27
Элементарное добавление пары строчек в скрипт и блокированный IP-adress не выдаётся для dial-up. Какие проблемы?..

Цитата:
Закрываем доступ - "сопливый кулхацкер" выходит из инета, его адрес получает кто-то другой, а доступа нет... на лицо нарушение договорных обязательств с клиентом, тут клиент может и денег не платить и в суд подавать (при грамотном адвокате). Прецендент был...

Естественно нужно, регистрируешь попытки взлома а дальше - "сопливый кулхацкер" имеет: "добрые" письма с предупреждениями, душевные беседы со службой безопастности, в некоторых случаях и со следователем... и т.д. по желанию.
Ну вот ты сам и ответил. От себя позволю добавить - при "при грамотном адвокате" все судебные издержки оплатит "сопливый кулхацкер"...
А ты имеешь двух-трёх недовольных клиентов, которым ты можешь послать письма с объяснением, что сработала система защиты сервера и рассказать о принятых мерах, подкрепив выдержками "из зала суда".
Тебе гарантирован имидж "сурового" провайдера!


А теперь представим себе такой гипотетический сценарий (маловероятный, а если уж зашла речь о секьюрити, то не невозможный).

После обнаружения попытки взлома ты пишешь письмо в соостветствующие органы. Пока они отреагируют - пройдёт дня два и больше..., а "сопливый кулхацкер" может проводить на твоём сервере различные эксперименты по внедрению эксплойта. У него есть время! А вдруг у него получилось!!!. Твой сервер взломан и ВСЕ твои клиенты остались без интернета....
Конечно есть Backup и можно всё восстановить...
Но теперь все твои клиенты недовольны и ты имеешь имидж "хакнутого" провайдера!
.."сопливый кулхацкер" из какой-нибудь Бразилии и на него управы нет... ищи ветра в поле...
У клиента важная информация на твоём MySQL'е... скандал..
Цитата:
дальше, NAT Gw или прокси - закрыли доступ одному и как результат вся сетка, или что там за этими сервисами, в пролете...
В приведённой статье я привожу правила фаервола как пример, а не как "руководство к действию", где оговариваю, что правила,которые сгенерирует скрипт, ты должен определить сам. Если немного подумать:

iptables -I INPUT -i $DEV -s $IP -p tcp --dport 22 -j DROP

все твои клиенты, сидящие за одним IP-adress'ом, работают как обычно. Закрыт для них только SSH. На 22-ом порту кроме администратора остальным делать нечего....


Цитата:
А с не местными - четкая настройка firewall на предмет ограничения доступа к сервисам..
В описании я как раз и сказал, что скрипт работает с чётко настроенным firewall'ом.
Но если обычно настройка firewall'а статическая, то я хочу чтобы мой firewall мог оперативно реагировать изменяющуюся обстановку и динамически добавлял или убирал правила по определённым мной параметрам исходя из анализа логов....

... и спокойствие и удобство на 96% обеспечено.

Секюрити - штука тонкая... тут думать надо...
Последний раз редактировалось Gennadi; 31.10.2004 в 03:41.
Gennadi вне форума