نړۍ ته بندرونه مه خلاصوئ - تاسو به مات شئ (خطرونه)

وخت او وخت بیا، د پلټنې ترسره کولو وروسته، زما د سپارښتنو په ځواب کې چې د سپینې لیست تر شا د بندرونو پټولو لپاره، زه د غلط فهمۍ دیوال سره مخ شوم. حتی خورا ښه مدیران / DevOps پوښتنه کوي: "ولې؟!؟"

زه وړاندیز کوم چې خطرونه د احتمالي احتمال او زیان په نزولي ترتیب کې په پام کې ونیسم.

1. د تشکیلاتو تېروتنه
2. د IP په اړه DDoS
3. وحشي ځواک
4. د خدماتو زیانونه
5. د کرنل سټیک زیانونه
6. د DDoS بریدونو زیاتوالی

د تشکیلاتو تېروتنه

ترټولو عام او خطرناک حالت. دا څنګه پیښیږي. پراختیا کونکی اړتیا لري چې ژر تر ژره فرضیه معاینه کړي؛ هغه د mysql/redis/mongodb/elastic سره لنډمهاله سرور تنظیموي. پټنوم، البته، پیچلی دی، هغه دا په هر ځای کې کاروي. دا نړۍ ته خدمت خلاصوي - دا د هغه لپاره مناسب دی چې ستاسو له دې VPNs پرته د خپل کمپیوټر څخه وصل شي. او زه د iptables ترکیب په یادولو کې ډیر سست یم؛ سرور په هرصورت لنډمهاله دی. د پرمختګ یو څو ورځې - دا خورا ښه وګرځید، موږ کولی شو دا پیرودونکي ته وښیو. پیرودونکي دا خوښوي، د دې د بیا کولو لپاره هیڅ وخت نشته، موږ یې په PROD کې پیل کوو!

یوه بیلګه په قصدي ډول مبالغه شوې ترڅو ټول ریک ته لاړ شي:

1. د موقتي څخه ډیر دایمي هیڅ شی شتون نلري - زه دا جمله نه خوښوم ، مګر د موضوعي احساساتو له مخې ، د داسې لنډمهاله سرورونو 20-40٪ د اوږدې مودې لپاره پاتې کیږي.
2. یو پیچلی نړیوال پاسورډ چې په ډیری خدماتو کې کارول کیږي بد دی. ځکه چې یو له هغه خدماتو څخه چیرې چې دا پاسورډ کارول شوی و ممکن هیک شوی وي. په یو ډول یا بل ډول، د هک شوي خدماتو ډیټابیسونه په یوه کې راوتلي، کوم چې د [بریټ ځواک]* لپاره کارول کیږي.
   دا د اضافه کولو ارزښت لري چې د نصب کولو وروسته، ریډیس، مونګوډب او لچک لرونکي عموما پرته له تصدیق څخه شتون لري، او ډیری وختونه بیا ډک شوي. د خلاص ډیټابیس راټولول.
3. داسې ښکاري چې هیڅوک به ستاسو 3306 بندر په څو ورځو کې سکین نه کړي. دا یو فریب دی! Masscan یو عالي سکینر دی او کولی شي په هره ثانیه کې 10M بندرونو کې سکین کړي. او په انټرنیټ کې یوازې 4 ملیارد IPv4 شتون لري. په دې اساس، په انټرنیټ کې ټول 3306 بندرونه په 7 دقیقو کې موقعیت لري. چارلس!!! اوه دقیقې!
   "څوک دې ته اړتیا لري؟" - تاسو اعتراض کوئ. نو زه حیران یم کله چې زه د ورک شوي کڅوړو احصایې وګورم. هره ورځ د 40 زره ځانګړي IPs څخه 3 زره سکین هڅې له کوم ځای څخه راځي؟ اوس هرڅوک سکین کوي، د مور هیکرانو څخه تر حکومتونو پورې. دا چک کول خورا اسانه دي - د هر ** ټیټ لګښت لرونکي هوایی ډګر څخه د $ 3-5 لپاره هر VPS واخلئ، د راټیټ شوي کڅوړو لاګ کول فعال کړئ او په یوه ورځ کې لاګ وګورئ.

د ننوتلو وړ کول

په /etc/iptables/rules.v4 کې په پای کې اضافه کړئ:
-A INPUT -j LOG --log-prefix "[FW - ALL]" --log-level 4

او په /etc/rsyslog.d/10-iptables.conf کې
: msg، لري، "[FW - "/var/log/iptables.log
& درېدل

د IP په اړه DDoS

که یو بریدګر ستاسو IP پیژني، هغه کولی شي ستاسو سرور د څو ساعتونو یا ورځو لپاره وتښتوي. ټول د ټیټ لګښت کوربه توب چمتو کونکي د DDoS محافظت نلري او ستاسو سرور به په ساده ډول له شبکې څخه وصل شي. که تاسو خپل سرور د CDN شاته پټ کړئ ، نو د IP بدلول مه هیروئ ، که نه نو یو هیکر به دا ګوګل کړي او ستاسو سرور DDoS به د CDN څخه تیریږي (یوه خورا مشهوره غلطي).

د خدماتو زیانونه

ټول مشهور سافټویر ژر یا وروسته خطاګانې لټوي ، حتی خورا ازمول شوي او انتقادي. د IB متخصصینو په مینځ کې ، نیمه ټوکه شتون لري - د زیربنا امنیت د وروستي تازه کولو وخت لخوا په خوندي ډول ارزول کیدی شي. که ستاسو زیربنا په نړۍ کې د بندرونو څخه بډایه وي، او تاسو یې د یو کال لپاره نه وي تازه کړی، نو د امنیت متخصص به تاسو ته ووایي پرته له دې چې وګوري چې تاسو لیک یاست، او ډیری احتمال دمخه هک شوی.
دا هم د یادولو وړ ده چې ټول پیژندل شوي زیانونه یو وخت نامعلوم وو. د یو هیکر تصور وکړئ چې دا ډول زیانمنتیا وموندله او د خپل شتون لپاره یې په 7 دقیقو کې ټول انټرنیټ سکین کړ ... دلته یو نوی ویروس ناروغي ده) موږ اړتیا لرو چې تازه کړو، مګر دا محصول ته زیان رسولی شي. او تاسو به سم یاست که چیرې کڅوړې د رسمي OS ذخیره کولو څخه ندي نصب شوي. د تجربې څخه، د رسمي ذخیره څخه تازه معلومات په ندرت سره محصول ماتوي.

وحشي ځواک

لکه څنګه چې پورته تشریح شوي، د نیم ملیارد پاسورډونو سره یو ډیټابیس شتون لري چې د کیبورډ څخه د ټایپ کولو لپاره مناسب دي. په بل عبارت، که تاسو پاسورډ نه وي رامینځته کړی، مګر په کیبورډ کې نږدې سمبولونه ټایپ کړي، ډاډ ترلاسه کړئ * چې دوی به تاسو مغشوش کړي.

د کرنل سټیک زیانونه.

دا هم پیښیږي **** چې دا حتی مهمه نده چې کوم خدمت بندر خلاصوي ، کله چې د کرنل شبکې سټیک پخپله زیان منونکی وي. دا په بشپړ ډول په دوه کلن سیسټم کې هر ډول tcp/udp ساکټ د زیان مننې لپاره حساس دی چې د DDoS لامل کیږي.

د DDoS بریدونو زیاتوالی

دا به کوم مستقیم زیان ونه رسوي، مګر دا کولی شي ستاسو چینل بند کړي، په سیسټم کې بار زیات کړي، ستاسو IP به په یو تور لیست کې پای ته ورسیږي ****، او تاسو به د کوربه څخه ناوړه ګټه پورته کړئ.

ایا تاسو واقعیا دې ټولو خطرونو ته اړتیا لرئ؟ خپل کور او کار IP په سپین لیست کې اضافه کړئ. حتی که دا متحرک وي، د کوربه د اډمین پینل له لارې ننوتل، د ویب کنسول له لارې، او یوازې یو بل اضافه کړئ.

زه د 15 کلونو لپاره د معلوماتي ټیکنالوژۍ زیربنا رامینځته او ساتنه کوم. ما یو قاعده رامینځته کړې چې زه په کلکه ټولو ته وړاندیز کوم - هیڅ بندر باید د سپین لیست پرته نړۍ ته ولاړ نشي.

د مثال په توګه، ترټولو خوندي ویب سرور *** هغه دی چې یوازې CDN/WAF لپاره 80 او 443 خلاصوي. او د خدماتو بندرونه (ssh، netdata، bacula، phpmyadmin) باید لږترلږه د سپینې لیست شاته وي، او حتی د VPN تر شا ښه وي. که نه نو، تاسو د موافقت خطر لرئ.

دا ټول ما غوښتل ووایم. خپل بندرونه بند وساتئ!

• (1) UPD1: دا تاسو کولی شئ خپل ښه نړیوال پاسورډ چیک کړئ (دا کار مه کوئ پرته له دې چې دا پټنوم په ټولو خدماتو کې تصادفي سره بدل کړئ)، ایا دا په یوځای شوي ډیټابیس کې ښکاره شوی. او دلته تاسو کولی شئ وګورئ چې څومره خدمتونه هیک شوي، چیرته چې ستاسو بریښنالیک پکې شامل شوی و، او د دې مطابق، معلومه کړئ چې آیا ستاسو یو ښه نړیوال پاسورډ جوړ شوی.
• (2) د ایمیزون کریډیټ ته، LightSail لږترلږه سکینونه لري. ظاهرا دوی دا په یو ډول فلټر کوي.
• (3) حتی ډیر خوندي ویب سرور د وقف شوي فایروال تر شا دی ، د هغه خپل WAF ، مګر موږ د عامه VPS / وقف شوي په اړه خبرې کوو.
• (4) سیګمینټمک.
• (۵) Firehol.

یوازې راجستر شوي کاروونکي کولی شي په سروې کې برخه واخلي. ننوزئمهرباني وکړئ

ایا ستاسو بندرونه پټ دي؟

• تل

• ځینې ​​وختونه

• هیڅکله نه

• زه نه پوهیږم، لعنت

54 کاروونکو رایه ورکړه. 6 کاروونکي منع شوي.

سرچینه: www.habr.com