ලෝකයට වරායන් විවෘත නොකරන්න - ඔබ කැඩී යනු ඇත (අවදානම)

වරින් වර, විගණනයක් පැවැත්වීමෙන් පසු, සුදු ලැයිස්තුවක් පිටුපස වරායන් සැඟවීමට මගේ නිර්දේශයන්ට ප්‍රතිචාර වශයෙන්, වරදවා වටහාගැනීමේ පවුරක් මට හමු විය. ඉතා සිසිල් පරිපාලක/DevOps පවා අසයි: "ඇයි?!?"

සිදුවීමේ හා හානියේ සම්භාවිතාවේ අවරෝහණ අනුපිළිවෙලෙහි අවදානම් සලකා බැලීමට මා යෝජනා කරනවා.

1. වින්‍යාස දෝෂය
2. IP හරහා DDoS
3. තිරිසන් බලය
4. සේවා දුර්වලතා
5. කර්නල් ස්ටැක් දුර්වලතා
6. DDoS ප්‍රහාර වැඩි වීම

වින්‍යාස දෝෂය

වඩාත්ම සාමාන්ය හා භයානක තත්වය. එය සිදු වන ආකාරය. සංවර්ධකයාට කල්පිතය ඉක්මනින් පරීක්ෂා කිරීමට අවශ්‍ය වේ; ඔහු mysql/redis/mongodb/elastic සමඟ තාවකාලික සේවාදායකයක් සකසයි. මුරපදය, ඇත්ත වශයෙන්ම, සංකීර්ණයි, ඔහු එය සෑම තැනකම භාවිතා කරයි. එය ලෝකයට සේවාව විවෘත කරයි - ඔබේ මෙම VPN නොමැතිව ඔහුගේ පරිගණකයෙන් සම්බන්ධ වීම ඔහුට පහසු වේ. iptables වාක්‍ය ඛණ්ඩය මතක තබා ගැනීමට මට කම්මැලියි; කෙසේ වෙතත් සේවාදායකය තාවකාලිකයි. තවත් දින කිහිපයක් සංවර්ධනය - එය විශිෂ්ටයි, අපට එය පාරිභෝගිකයාට පෙන්විය හැකිය. පාරිභෝගිකයා එයට කැමතියි, එය නැවත කිරීමට කාලය නැත, අපි එය PROD වෙත දියත් කරමු!

සියලු රේක් හරහා යාමට හිතාමතාම අතිශයෝක්තියට නැංවූ උදාහරණයක්:

1. තාවකාලිකව වඩා ස්ථිර දෙයක් නැත - මම මෙම වාක්‍ය ඛණ්ඩයට කැමති නැත, නමුත් ආත්මීය හැඟීම් වලට අනුව, එවැනි තාවකාලික සේවාදායකයන්ගෙන් 20-40% ක් දිගු කාලයක් පවතී.
2. බොහෝ සේවාවන්හි භාවිතා වන සංකීර්ණ විශ්වීය මුරපදයක් නරක ය. මොකද මේ පාස්වර්ඩ් එක පාවිච්චි කරපු එක සර්විස් එකක් හැක් වෙන්න තිබ්බා. එක් ආකාරයකින් හෝ වෙනත් ආකාරයකින්, අනවසරයෙන් ඇතුළු වූ සේවාවන්හි දත්ත සමුදායන් එකකට එකතු වේ, එය [බ්රුට් බලය]* සඳහා භාවිතා වේ.
   ස්ථාපනය කිරීමෙන් පසුව, redis, mongodb සහ elastic සාමාන්‍යයෙන් සත්‍යාපනයකින් තොරව ලබා ගත හැකි අතර ඒවා බොහෝ විට නැවත පිරවිය හැකි බව එකතු කිරීම වටී. විවෘත දත්ත සමුදායන් එකතු කිරීම.
3. දින කිහිපයකින් කිසිවෙකු ඔබගේ 3306 වරාය පරිලෝකනය නොකරන බව පෙනේ. එය මුලාවකි! Masscan විශිෂ්ට ස්කෑනරයක් වන අතර තත්පරයට 10M ports හි පරිලෝකනය කළ හැක. ඒ වගේම අන්තර්ජාලයේ IPv4 බිලියන 4යි තියෙන්නේ. ඒ අනුව, අන්තර්ජාලයේ ඇති සියලුම වරායන් 3306 මිනිත්තු 7 කින් පිහිටා ඇත. චාල්ස්!!! විනාඩි හතක්!
   “මේක අවශ්‍ය කාටද?” - ඔබ විරුද්ධයි. එබැවින් අතහැර දැමූ පැකේජ පිළිබඳ සංඛ්‍යාලේඛන දෙස බලන විට මම පුදුම වෙමි. අද්විතීය IP 40 කින් දිනකට ස්කෑන් උත්සාහයන් 3 ක් පැමිණෙන්නේ කොහෙන්ද? දැන් හැමෝම ස්කෑන් කරනවා, අම්මගේ හැකර්වරුන්ගේ සිට ආණ්ඩු දක්වා. එය පරීක්ෂා කිරීම ඉතා පහසුයි - ඕනෑම** අඩු වියදම් ගුවන් සමාගමකින් ඕනෑම VPS එකක් ඩොලර් 3-5කට ගන්න, වැටුණු පැකේජ ලොග් කිරීම සබල කර දිනකට ලොග් බලන්න.

ලොග් වීම සක්‍රීය කිරීම

/etc/iptables/rules.v4 හි අවසානයේ එකතු කරන්න:
-A INPUT -j LOG --log-prefix "[FW - ALL] " --log-level 4

සහ /etc/rsyslog.d/10-iptables.conf හි
:msg,අඩංගු,"[FW - "/var/log/iptables.log
& නවත්වන්න

IP හරහා DDoS

ප්‍රහාරකයෙකු ඔබගේ IP දන්නේ නම්, ඔහුට පැය කිහිපයක් හෝ දින කිහිපයක් සඳහා ඔබගේ සේවාදායකය පැහැර ගත හැක. සියලුම අඩු වියදම් සත්කාරක සපයන්නන් හට DDoS ආරක්ෂාවක් නොමැති අතර ඔබගේ සේවාදායකය සරලවම ජාලයෙන් විසන්ධි වනු ඇත. ඔබ ඔබේ සේවාදායකය CDN එකක් පිටුපස සඟවා තැබුවේ නම්, IP වෙනස් කිරීමට අමතක නොකරන්න, එසේ නොමැතිනම් හැකර් එය ගූගල් කර ඔබේ සේවාදායකය CDN මග හරිමින් DDoS කරයි (ඉතා ජනප්‍රිය වැරැද්දකි).

සේවා දුර්වලතා

සියලුම ජනප්‍රිය මෘදුකාංග ඉක්මනින් හෝ පසුව දෝෂ සොයා ගනී, වඩාත්ම පරීක්ෂා කර ඇති සහ විවේචනාත්මක ඒවා පවා. IB විශේෂඥයින් අතර, අර්ධ විහිළුවක් ඇත - අවසාන යාවත්කාලීන කාලය වන විට යටිතල පහසුකම්වල ආරක්ෂාව ආරක්ෂිතව තක්සේරු කළ හැකිය. ඔබේ යටිතල පහසුකම් ලෝකයට ඇලී සිටින වරායන්ගෙන් පොහොසත් නම් සහ ඔබ එය වසරක් තිස්සේ යාවත්කාලීන කර නොමැති නම්, ඕනෑම ආරක්ෂක විශේෂ ist යෙකු ඔබ කාන්දු වී ඇති බවත් බොහෝ විට දැනටමත් අනවසරයෙන් ඇතුළු වී ඇති බවත් නොබලා ඔබට කියනු ඇත.
දන්නා සියලු දුර්වලතා වරක් නොදැන සිටි බව ද සඳහන් කිරීම වටී. එවැනි අවදානමක් සොයාගෙන මිනිත්තු 7 කින් මුළු අන්තර්ජාලයම පරිලෝකනය කළ හැකර් කෙනෙකු ගැන සිතන්න... මෙන්න නව වෛරස් වසංගතයක්) අපි යාවත්කාලීන කළ යුතුයි, නමුත් මෙය නිෂ්පාදනයට හානි කළ හැකි බව ඔබ කියයි. නිල OS ගබඩාවලින් පැකේජ ස්ථාපනය කර නොමැති නම් ඔබ නිවැරදි වනු ඇත. අත්දැකීම් වලින්, නිල ගබඩාවෙන් යාවත්කාලීන කිරීම් නිෂ්පාදනය බිඳ දමන්නේ කලාතුරකිනි.

තිරිසන් බලය

ඉහත විස්තර කර ඇති පරිදි, යතුරුපුවරුවෙන් ටයිප් කිරීමට පහසු මුරපද බිලියන භාගයක් සහිත දත්ත සමුදායක් ඇත. වෙනත් වචන වලින් කිවහොත්, ඔබ මුරපදයක් ජනනය නොකළ නමුත් යතුරුපුවරුවේ යාබද සංකේත ටයිප් කළේ නම්, ඒවා ඔබව ව්‍යාකූල කරන බවට සහතික වන්න*.

කර්නල් ස්ටැක් දුර්වලතා.

කර්නල් ජාල තොගය අවදානමට ලක්ව ඇති විට, වරාය විවෘත කරන්නේ කුමන සේවාවද යන්න ගැටළුවක් නොවන බව **** ද සිදු වේ. එනම්, අවුරුදු දෙකක පැරණි පද්ධතියක ඇති ඕනෑම tcp/udp සොකට් එකක් DDoS වෙත යොමු වන අවදානමකට ගොදුරු වේ.

DDoS ප්‍රහාර වැඩි වීම

එය සෘජු හානියක් සිදු නොකරනු ඇත, නමුත් එය ඔබේ නාලිකාව අවහිර කළ හැකිය, පද්ධතිය මත පැටවීම වැඩි කළ හැකිය, ඔබේ IP සමහර කළු ලැයිස්තුවට***** අවසන් වනු ඇත, සහ ඔබට සත්කාරක සමාගමෙන් අපයෝජනයක් ලැබෙනු ඇත.

ඔබට ඇත්තටම මේ සියලු අවදානම් අවශ්‍යද? ඔබගේ නිවස සහ කාර්යාල IP සුදු ලැයිස්තුවට එක් කරන්න. එය ගතික වුවද, සත්කාරකයේ පරිපාලක පැනලය හරහා වෙබ් කොන්සෝලය හරහා ලොග් වී තවත් එකක් එක් කරන්න.

මම වසර 15 ක් තිස්සේ තොරතුරු තාක්ෂණ යටිතල පහසුකම් ගොඩනඟා ආරක්ෂා කරමි. මම සෑම කෙනෙකුටම තරයේ නිර්දේශ කරන රීතියක් සකස් කර ඇත - සුදු ලැයිස්තුවක් නොමැතිව කිසිදු වරායක් ලෝකයට නොගැලපේ.

උදාහරණයක් ලෙස, වඩාත්ම ආරක්ෂිත වෙබ් සේවාදායකය*** යනු CDN/WAF සඳහා පමණක් 80 සහ 443 විවෘත කරන එකයි. සේවා වරායන් (ssh, netdata, bacula, phpmyadmin) අවම වශයෙන් සුදු ලැයිස්තුවට පිටුපසින් තිබිය යුතු අතර VPN පිටුපසින් ඊටත් වඩා හොඳ විය යුතුය. එසේ නොමැතිනම්, ඔබ සම්මුතියට පත්වීමේ අවදානමක් ඇත.

මට කියන්න ඕන වුනේ එච්චරයි. ඔබගේ වරාය වසා තබන්න!

• (1) UPD1: එය ඔබට ඔබගේ සිසිල් විශ්වීය මුරපදය පරීක්ෂා කළ හැක (සියලුම සේවාවන්හි මෙම මුරපදය අහඹු එකක් සමඟ ප්‍රතිස්ථාපනය නොකර මෙය නොකරන්න), එය ඒකාබද්ධ කළ දත්ත ගබඩාවේ දිස් වූයේද යන්න. මෙහි ඔබට සේවා කීයක් හැක් කර ඇත්ද, ඔබේ විද්‍යුත් තැපෑල ඇතුළත් කර ඇත්තේ කොතැනද යන්න ඔබට දැක ගත හැකි අතර, ඒ අනුව, ඔබේ සිසිල් විශ්වීය මුරපදය අවදානමට ලක් වී ඇත්දැයි සොයා බලන්න.
• (2) Amazon හි ණයට, LightSail හට අවම ස්කෑන් ඇත. පෙනෙන විදිහට ඔවුන් එය කෙසේ හෝ පෙරහන් කරයි.
• (3) ඊටත් වඩා ආරක්ෂිත වෙබ් සේවාදායකයක් යනු කැපවූ ෆයර්වෝලයක් පිටුපස ඇති, එහිම WAF වේ, නමුත් අපි කතා කරන්නේ පොදු VPS/Dedicated ගැනයි.
• (4) කොටස්.
• (5) ෆයර්හෝල්.

සමීක්ෂණයට සහභාගී විය හැක්කේ ලියාපදිංචි පරිශීලකයින්ට පමණි. පුරන්නකරුණාකර.

ඔබේ වරායන් කැපී පෙනෙනවාද?

• සෑම විටම

• සමහර විට

• කවදාවත්

• මම දන්නේ නැහැ, මගුල

පරිශීලකයින් 54 දෙනෙක් ඡන්දය දුන්හ. පරිශීලකයින් 6 දෙනෙක් ඡන්දය දීමෙන් වැළකී සිටියහ.

මූලාශ්රය: www.habr.com