ProHoster > Π‘Π»ΠΎΠ³ > Pagdumala > Ayaw pag-abli sa mga pantalan sa kalibutan - mabuak ka (mga risgo)

Ayaw pag-abli sa mga pantalan sa kalibutan - mabuak ka (mga risgo)

Ayaw pag-abli sa mga pantalan sa kalibutan - mabuak ka (mga risgo)

Matag karon ug unya, human sa pagpahigayon sa usa ka pag-audit, agig tubag sa akong mga rekomendasyon sa pagtago sa mga pantalan sa luyo sa usa ka puti nga lista, gisugat ako sa usa ka bungbong sa dili pagsinabtanay. Bisan ang mga cool nga admin / DevOps nangutana: "Ngano?!?"

Gisugyot ko nga ikonsiderar ang mga risgo sa paubos nga han-ay sa posibilidad nga mahitabo ug kadaot.

  1. Sayop sa pag-configure
  2. DDoS sa IP
  3. Kabangis
  4. Mga kahuyangan sa serbisyo
  5. Mga kahuyangan sa kernel stack
  6. Dugang nga pag-atake sa DDoS

Sayop sa pag-configure

Ang labing kasagaran ug delikado nga kahimtang. Giunsa kini mahitabo. Kinahanglan nga dali nga sulayan sa developer ang hypothesis; nagbutang siya usa ka temporaryo nga server nga adunay mysql/redis/mongodb/elastic. Ang password, siyempre, komplikado, gigamit niya kini bisan asa. Gibuksan niini ang serbisyo sa kalibutan - sayon ​​​​alang kaniya nga magkonektar gikan sa iyang PC nga wala kini nga mga VPN sa imo. Ug tapolan kaayo ko sa paghinumdom sa iptables syntax; temporaryo ra gihapon ang server. Pipila pa ka adlaw sa pag-uswag - kini nahimo nga maayo, mahimo naton kini ipakita sa kustomer. Ang kustomer ganahan niini, walay panahon sa pag-usab niini, atong ilunsad kini ngadto sa PROD!

Usa ka pananglitan nga gituyo nga gipasobrahan aron makaagi sa tanan nga rake:

  1. Wala'y mas permanente kaysa temporaryo - Dili ko ganahan niini nga hugpong sa mga pulong, apan sumala sa suhetibong mga pagbati, 20-40% sa maong temporaryo nga mga server nagpabilin sa dugay nga panahon.
  2. Ang usa ka komplikado nga unibersal nga password nga gigamit sa daghang mga serbisyo daotan. Tungod kay ang usa sa mga serbisyo diin gigamit kini nga password mahimo’g na-hack. Sa usa ka paagi o sa lain, ang mga database sa mga gi-hack nga mga serbisyo nagpanon ngadto sa usa, nga gigamit alang sa [brute force]*.
    Angayan nga idugang nga pagkahuman sa pag-install, ang redis, mongodb ug pagkamaunat sa kasagaran magamit nga wala’y panghimatuud, ug kanunay nga gipuno. koleksyon sa bukas nga mga database.
  3. Morag walay mag-scan sa imong 3306 port sulod sa pipila ka adlaw. Kini usa ka limbong! Ang Masscan usa ka maayo kaayo nga scanner ug maka-scan sa 10M nga mga pantalan matag segundo. Ug adunay 4 bilyon nga IPv4 lamang sa Internet. Tungod niini, ang tanan nga 3306 nga mga pantalan sa Internet nahimutang sa 7 minuto. Charles!!! Pito ka minuto!
    β€œKinsay nagkinahanglan niini?” - mosupak ka. Mao nga natingala ako kung gitan-aw nako ang mga estadistika sa mga nahulog nga pakete. Diin gikan ang 40 ka libo nga pagsulay sa pag-scan gikan sa 3 ka libo nga talagsaon nga mga IP kada adlaw? Karon ang tanan nag-scan, gikan sa mga hacker ni mama hangtod sa mga gobyerno. Sayon ra kaayo ang pagsusi - kuhaa ang bisan unsang VPS sa $3-5 gikan sa bisan unsang** nga barato nga eroplano, i-enable ang pag-log sa mga nahulog nga pakete ug tan-awa ang log sa usa ka adlaw.

Pag-enable sa pag-log

Sa /etc/iptables/rules.v4 idugang sa katapusan:
-A INPUT -j LOG --log-prefix "[FW - ALL] " --log-level 4

Ug sa /etc/rsyslog.d/10-iptables.conf
:msg,contains,"[FW - "/var/log/iptables.log
& hunong

DDoS sa IP

Kung nahibal-an sa usa ka tig-atake ang imong IP, mahimo niyang i-hijack ang imong server sa daghang oras o adlaw. Dili tanan nga mubu nga mga taghatag sa hosting adunay proteksyon sa DDoS ug ang imong server ma-disconnect lang gikan sa network. Kung gitago nimo ang imong server sa luyo sa usa ka CDN, ayaw kalimti ang pagbag-o sa IP, kung dili ang usa ka hacker ang mag-google niini ug ang DDoS nga imong server nag-bypass sa CDN (usa ka sikat nga sayup).

Mga kahuyangan sa serbisyo

Ang tanan nga sikat nga software sa madugay o sa madali makakita og mga sayup, bisan ang labing nasulayan ug kritikal. Taliwala sa mga espesyalista sa IB, adunay usa ka tunga nga joke - ang seguridad sa imprastraktura mahimong luwas nga masusi sa oras sa katapusan nga pag-update. Kung ang imong imprastraktura dato sa mga pantalan nga mipilit sa kalibutan, ug wala nimo kini gi-update sulod sa usa ka tuig, ang bisan kinsa nga espesyalista sa seguridad mosulti kanimo nga wala magtan-aw nga ikaw leaky, ug lagmit na-hack na.
Angayan usab nga hisgutan nga ang tanan nga nahibal-an nga mga kahuyangan wala mahibal-an kaniadto. Hunahunaa ang usa ka hacker nga nakit-an ang ingon nga pagkahuyang ug gi-scan ang tibuuk nga Internet sa 7 minuto alang sa presensya niini ... Ania ang usa ka bag-ong epidemya sa virus) Kinahanglan namon nga i-update, apan kini makadaot sa produkto, giingon nimo. Ug husto ka kung ang mga pakete wala ma-install gikan sa opisyal nga mga repositoryo sa OS. Gikan sa kasinatian, ang mga update gikan sa opisyal nga repository panagsa ra makaguba sa produkto.

Kabangis

Sama sa gihulagway sa ibabaw, adunay usa ka database nga adunay tunga sa bilyon nga mga password nga sayon ​​​​nga i-type gikan sa keyboard. Sa laing pagkasulti, kung wala ka nakamugna og password, apan nag-type sa kasikbit nga mga simbolo sa keyboard, makasalig ka nga kini makalibog kanimo.

Mga kahuyangan sa kernel stack.

Nahitabo usab **** nga dili igsapayan kung unsang serbisyo ang magbukas sa pantalan, kung ang kernel network stack mismo mahuyang. Sa ato pa, hingpit nga bisan unsang tcp/udp socket sa usa ka duha ka tuig nga sistema dali nga madala sa usa ka kahuyang padulong sa DDoS.

Dugang nga pag-atake sa DDoS

Dili kini hinungdan sa bisan unsa nga direkta nga kadaot, apan kini makabara sa imong channel, makadugang sa load sa sistema, ang imong IP mapunta sa pipila ka black-list*****, ug makadawat ka ug abuso gikan sa host.

Kinahanglan ba gyud nimo kining tanan nga mga risgo? Idugang ang imong IP sa balay ug trabahoan sa white-list. Bisan kung kini dinamiko, pag-log in pinaagi sa admin panel sa host, pinaagi sa web console, ug pagdugang usa pa.

Nagtukod ako ug nanalipod sa imprastraktura sa IT sulod sa 15 ka tuig. Nakahimo ako og usa ka lagda nga hugot nakong girekomenda sa tanan - walay pantalan nga mogawas sa kalibutan nga walay white-list.

Pananglitan, ang labing luwas nga web server *** mao ang nagbukas sa 80 ug 443 para lamang sa CDN/WAF. Ug ang mga pantalan sa serbisyo (ssh, netdata, bacula, phpmyadmin) kinahanglan nga labing menos sa luyo sa puti nga lista, ug labi ka maayo sa luyo sa VPN. Kung dili, peligro ka nga makompromiso.

Kana lang ang gusto nakong isulti. Sirado ang imong mga pantalan!

  • (1) UPD1: kini mao ang mahimo nimong susihon ang imong cool universal password (ayaw pagbuhat niini nga walay pag-ilis niini nga password sa usa ka random sa tanan nga mga serbisyo), bisan kung kini nagpakita sa gihiusa nga database. Ug dinhi imong makita kung pila ka mga serbisyo ang na-hack, diin ang imong email gilakip, ug, sumala niana, hibal-i kung ang imong cool nga unibersal nga password nakompromiso.
  • (2) Sa kredito sa Amazon, ang LightSail adunay gamay nga pag-scan. Dayag nga gisala nila kini sa usa ka paagi.
  • (3) Ang usa ka mas luwas nga web server mao ang luyo sa usa ka gipahinungod nga firewall, ang kaugalingon nga WAF, apan naghisgot kami bahin sa publiko nga VPS / Gipahinungod.
  • (4) Segmentsmak.
  • (5) Firehol.

Ang mga rehistradong tiggamit lamang ang makaapil sa survey. Sign in, walay sapayan.

Nakagawas ba ang imong mga pantalan?

  • Kanunay

  • Usahay

  • Dili gayud

  • Wala ko kahibalo, fuck

54 ka tiggamit ang miboto. 6 ka tiggamit ang nag-abstain.

Source: www.habr.com

Idugang sa usa ka comment