ProHoster > Блог > Захиргаа > Дэлхийд портуудыг бүү нээ - та эвдрэх болно (эрсдэл)

Дэлхийд портуудыг бүү нээ - та эвдрэх болно (эрсдэл)

Дэлхийд портуудыг бүү нээ - та эвдрэх болно (эрсдэл)

Үе үе аудит хийсний дараа портуудыг цагаан жагсаалтын ард нуухыг зөвлөсний хариуд би үл ойлголцлын ханатай тулгардаг. Маш гайхалтай админууд/DevOps хүртэл: "Яагаад?!?"

Би эрсдэлийг үүсэх магадлал, эвдрэлийн буурах дарааллаар авч үзэхийг санал болгож байна.

  1. Тохиргооны алдаа
  2. IP дээр DDoS
  3. Харгис хүч
  4. Үйлчилгээний эмзэг байдал
  5. Цөмийн стекийн эмзэг байдал
  6. DDoS халдлага нэмэгдсэн

Тохиргооны алдаа

Хамгийн ердийн бөгөөд аюултай нөхцөл байдал. Энэ нь яаж болдог. Хөгжүүлэгч таамаглалыг хурдан шалгах шаардлагатай бөгөөд тэр mysql/redis/mongodb/elastic-тай түр серверийг суулгадаг. Нууц үг нь мэдээжийн хэрэг нарийн төвөгтэй, тэр үүнийг хаа сайгүй ашигладаг. Энэ нь үйлчилгээг дэлхийд нээж өгдөг - энэ нь түүнд таны эдгээр VPN-үүдгүйгээр компьютерээсээ холбогдоход тохиромжтой. Би iptables-ийн синтаксийг санахаас залхуу байна; сервер ямар ч байсан түр зуурынх. Хэдэн өдрийн хөгжил - энэ нь гайхалтай болсон, бид үүнийг хэрэглэгчдэд үзүүлэх боломжтой. Үйлчлүүлэгчид таалагдаж байна, үүнийг дахин хийх цаг байхгүй, бид үүнийг PROD болгон эхлүүлнэ!

Бүх тармуурыг туулахын тулд зориудаар хэтрүүлсэн жишээ:

  1. Түр зуурынхаас илүү байнгын зүйл байхгүй - би энэ хэллэгт дургүй, гэхдээ субъектив мэдрэмжийн дагуу ийм түр зуурын серверүүдийн 20-40% нь удаан хугацаанд үлддэг.
  2. Олон үйлчилгээнд хэрэглэгддэг нарийн төвөгтэй бүх нийтийн нууц үг нь муу юм. Учир нь энэ нууц үгийг ашигласан үйлчилгээнүүдийн нэг нь хакердсан байж болзошгүй. Ямар нэгэн байдлаар хакердсан үйлчилгээний мэдээллийн бааз нь [харгис хүч]*-д ашиглагддаг нэгэнд цуглардаг.
    Суулгасны дараа redis, mongodb болон elastic нь ихэвчлэн баталгаажуулалтгүй байдаг бөгөөд ихэвчлэн нөхөгддөг гэдгийг нэмж хэлэх нь зүйтэй. нээлттэй мэдээллийн сангийн цуглуулга.
  3. 3306 хоногийн дотор таны 10 портыг хэн ч скан хийхгүй юм шиг санагдаж магадгүй. Энэ бол төөрөгдөл! Masscan бол маш сайн сканнер бөгөөд секундэд 4 сая портоор скан хийх боломжтой. Интернетэд ердөө 4 тэрбум IPv3306 байдаг. Үүний дагуу интернетийн бүх 7 порт XNUMX минутын дотор байрладаг. Чарльз!!! Долоон минут!
    "Энэ хэнд хэрэгтэй вэ?" - Та эсэргүүцэж байна. Тиймээс би хаягдсан багцын статистикийг хараад гайхаж байна. Өдөрт 40 мянган өвөрмөц IP-ээс 3 мянган скан хийх оролдлого хаанаас ирдэг вэ? Одоо ээжийн хакеруудаас эхлээд засгийн газрууд хүртэл бүгд сканнердаж байна. Үүнийг шалгахад маш амархан - аль ч** хямд өртөгтэй агаарын тээврийн компаниас 3-5 доллараар дурын VPS авч, хаягдсан багцын бүртгэлийг идэвхжүүлж, өдрийн дотор бүртгэлийг хараарай.

Бүртгэлийг идэвхжүүлж байна

/etc/iptables/rules.v4-д төгсгөлд нь нэмнэ үү:
-A INPUT -j LOG --log-prefix "[FW - ALL] " --log-level 4

Мөн /etc/rsyslog.d/10-iptables.conf
:msg,"[FW - " /var/log/iptables.log агуулна
& Зогс

IP дээр DDoS

Хэрэв халдагч таны IP-г мэддэг бол хэдэн цаг эсвэл өдрийн турш таны серверийг хулгайлж болно. Бүх хямд хостинг үйлчилгээ үзүүлэгчид DDoS хамгаалалттай байдаггүй бөгөөд таны сервер сүлжээнээс салгагдах болно. Хэрэв та серверээ CDN-ийн ард нуусан бол IP-г өөрчлөхөө бүү мартаарай, эс тэгвээс хакер үүнийг google-ээр илгээж, CDN-г тойрч DDoS-ыг тань серверт оруулах болно (маш түгээмэл алдаа).

Үйлчилгээний эмзэг байдал

Бүх алдартай програм хангамжууд эрт орой хэзээ нэгэн цагт алдаа, тэр ч байтугай хамгийн шалгагдсан, чухал алдаануудыг олж хардаг. IB-ийн мэргэжилтнүүдийн дунд хагас хошигнол байдаг - хамгийн сүүлийн шинэчлэлтийн үед дэд бүтцийн аюулгүй байдлыг найдвартай үнэлэх боломжтой. Хэрэв таны дэд бүтэц дэлхийд танигдсан портуудаар баялаг бөгөөд та үүнийг нэг жилийн турш шинэчлээгүй бол ямар ч аюулгүй байдлын мэргэжилтэн таныг гоожиж, хакердсан байх магадлалтай гэж хэлэх болно.
Мэдэгдэж буй бүх эмзэг байдал урьд өмнө мэдэгддэггүй байсныг дурдах нь зүйтэй. Ийм эмзэг байдлыг олж мэдээд интернетийг бүхэлд нь 7 минутын дотор шалгаж үзсэн хакерыг төсөөлөөд үз дээ... Энд шинэ вирусын тархалт байна) Бид шинэчлэх хэрэгтэй, гэхдээ энэ нь бүтээгдэхүүнд хор хөнөөл учруулж болзошгүй гэж та хэлж байна. Хэрэв багцуудыг албан ёсны үйлдлийн системийн агуулахаас суулгаагүй бол та зөв байх болно. Туршлагаас харахад албан ёсны репозиторын шинэчлэлтүүд бүтээгдэхүүнийг эвдэх нь ховор.

Харгис хүч

Дээр дурдсанчлан гарнаас бичихэд тохиромжтой хагас тэрбум нууц үг бүхий мэдээллийн сан байдаг. Өөрөөр хэлбэл, хэрэв та нууц үг үүсгээгүй боловч гар дээр зэргэлдээ тэмдэгтүүдийг бичсэн бол тэдгээр нь таныг төөрөгдүүлэх болно гэдэгт итгэлтэй байгаарай*.

Цөмийн стекийн эмзэг байдал.

Цөмийн сүлжээний стек өөрөө эмзэг байх үед портыг аль үйлчилгээ нээх нь хамаагүй болдог. Өөрөөр хэлбэл, хоёр настай систем дээрх ямар ч tcp/udp залгуур нь DDoS-д хүргэдэг эмзэг байдалд өртөмтгий байдаг.

DDoS халдлага нэмэгдсэн

Энэ нь шууд гэмтэл учруулахгүй, гэхдээ энэ нь таны сувгийг хааж, системийн ачааллыг нэмэгдүүлж, таны IP хар жагсаалтад орох болно*****, мөн та хостоос хүчирхийлэлд өртөх болно.

Энэ бүх эрсдэл танд үнэхээр хэрэгтэй юу? Гэр, ажлынхаа IP хаягийг цагаан жагсаалтад нэмнэ үү. Энэ нь динамик байсан ч гэсэн хостын админ самбар, вэб консолоор нэвтэрч, өөр нэгийг нэмнэ үү.

Би 15 жилийн турш мэдээллийн технологийн дэд бүтцийг барьж, хамгаалж байна. Би хүн бүрт хатуу зөвлөж буй дүрмийг боловсруулсан - Ямар ч порт цагаан жагсаалтгүйгээр дэлхийд гарах ёсгүй.

Жишээлбэл, хамгийн найдвартай вэб сервер*** бол зөвхөн CDN/WAF-д зориулж 80 ба 443-ыг нээдэг сервер юм. Үйлчилгээний портууд (ssh, netdata, bacula, phpmyadmin) нь дор хаяж цагаан жагсаалтын ард байх ёстой бөгөөд VPN-ийн ард илүү сайн байх ёстой. Үгүй бол та аюулд өртөх эрсдэлтэй.

Үүнийг л хэлэхийг хүссэн юм. Портуудаа хааж байгаарай!

  • (1) UPD1: энд та гайхалтай бүх нийтийн нууц үгээ шалгаж болно (бүх үйлчилгээнд энэ нууц үгийг санамсаргүй нууц үгээр солихгүйгээр үүнийг хийж болохгүй), нэгтгэсэн мэдээллийн санд гарч ирсэн эсэх. Бас энд Та хэдэн үйлчилгээг хакердсан, таны имэйлийг хаана оруулсныг харах боломжтой бөгөөд үүний дагуу таны гайхалтай нууц үг алдагдсан эсэхийг мэдэх боломжтой.
  • (2) Амазоны хувьд LightSail нь хамгийн бага сканнердсан байдаг. Тэд ямар нэгэн байдлаар шүүдэг бололтой.
  • (3) Илүү найдвартай вэб сервер нь тусгай зориулалтын галт хана, өөрийн WAF-ийн ард байдаг, гэхдээ бид нийтийн VPS/Зориулалтын тухай ярьж байна.
  • (4) Segmentsmak.
  • (5) Firehol.

Зөвхөн бүртгэлтэй хэрэглэгчид санал асуулгад оролцох боломжтой. Нэвтрэх, гуйя.

Таны портууд гацсан уу?

  • Үргэлж

  • Заримдаа

  • Гэж хэзээ ч асуудаггүй

  • Мэдэхгүй ээ, новш

54 хэрэглэгч санал өгсөн. 6 хэрэглэгч түдгэлзсэн.

Эх сурвалж: www.habr.com

сэтгэгдэл нэмэх