جلوگیری از اجرا شدن شل در سرور لینوکس و هاست

[IrIsT]

سلام.

طبق تجربه ای که من داشتم ، بستن فانکشن ها باعث جلوگیری از اجرا و یا مشکل دار شدن اسکریپت ها میشه.

نکته ای که این وسط هست اینه که هدف از بستن فانکش - بستن پرل و پایتون و ... ،‌ فقط جلوگیری از ایجاد سیملینک فکر میکنم باشه.
که سیملینک بدون کل اینا ، بازم قابل اجرا هست. به قول دوست عزیزمون بای پس میشه.

پیشنهاد من برای داشتن امنیت بالا ، استفاده از کلود لینوکس هست که بدون نیاز به تغییرات خاصی ، امنیت رو در برابر سیملینک و ... تامین میکنه. همچنین قابلیت lve باعث جلوگیری از down شدن سرور در اثر مصرف زیاد کاربران میشه.

درواقع امنیت زمانی نیاز هست و خوب هست که کاربر/سایتی توی سرور باشه. که با این همه محدودیت مطمینا ۹۰٪ اسکریپت های رایج به مشکل بر میخورن و کاربر ها مجبور به انتقال به هاستینگ های خارجی میشن که هیچ محدودیتی ندارن.(بعضا)

سلام و درود.
اول گفتین که :

طبق تجربه ای که من داشتم ، بستن فانکشن ها باعث جلوگیری از اجرا و یا مشکل دار شدن اسکریپت ها میشه.

که کاملا درسته و تجربه خوبی داشتین.حرفتون تایید میشه
اما این گفته :

نکته ای که این وسط هست اینه که هدف از بستن فانکش - بستن پرل و پایتون و ... ،‌ فقط جلوگیری از ایجاد سیملینک فکر میکنم باشه.
که سیملینک بدون کل اینا ، بازم قابل اجرا هست. به قول دوست عزیزمون بای پس میشه.

بله.کلا این تاپیک بحث امنیت هستش که داریم در رابطه با اون صحبت میکنیم.فکر نکنید.مطمون باشید که هدف بالابردن سطح امنیت هستش.
نگاه کنید,زمانی که ما میگیم یکی به سرور یا هاست ما نفوذ کرده,اول باید ببینیم از کجا نفوذ کرده.خوب وقتی نفوذ و روش هاشو بدوندی,میتونید تا حدود خیلی خوبی جلوی این حملات رو گرفت.پرل و پایتون که کلا برای اجرای فرامین و همچنین دسترسی شل و اجرا شدن اسکریپت ها و شل ها و .... مربوط به این هاست و حتی با استفاده از این پرل و پایتون و .... به صورت لوکال میشه ضربه بدی به سرور زد.خوب راه حل چیه؟الان گفتیم.لازم نداریم نصب نکنیم.لازم داریم نصب کنیم اما پرمیشن روت بهش بدیم و سطح دسترسی فقط برای روت باشه.
یک مشکلی که من زیاد دیدم,chown ها هستش.
با یک کانفیگ بسیار اشتباه,بعضی ها کلا میان chown هارو کلا روت میکنن یا یک یوزر دیگه..خوب معلومه راحت میشه حتی با یک اسکریپت که هیچ اسکنری جلوشو نمیگیره,کل کانفیگ هارو ذخیره کرد.حالا شما cxs نصب کن یا هر چیزی.یا بگو سرورم شل احرا نمیکنه.
بیشترین ضعفی که ما داریم اینه که اصولی عمل نمیکنیم و توقع داریم امنیت خوب باشه.ما برای هر سروری,یک کانفیگی انجام میدیم.یکی رو دیده بودم برای دایرکت ادمین کانفیگ سی پنل زده بود.یا یک چیزی رو ما میریم از سایت ها پیدا میکنیم و میزنیم.بعد توی سایت هامون میزنیم امنیت سرور,به صورت یکبار 7000000000000 ت همراه با یک هفته تست.
امنیت فراتر از این آموزش و این روش هاست که هنوز هیچ کسی در دنیا نمیتونه ادعا کنه که من کامل بحث امنیت رو میدونم.
حتی واسه اینکه کارمون رو راحت کنیم.میگیم مثلا lve و کلود لینوکس مینصبیم.اصلا ساختار کلودلینوکس چطوریه؟یعنی اگه کلودلینوکس نباشه نمیتونیم جلوشو بگیریم؟چرا باید لقمه آماده بهمون بدن؟
ما باید خودمون راهشو بدونیم.
واسه کنترل پنل دایرکت ادمین,8 ماه فقط 24 ساعته تست میکردم و کار میکردم که فقط بتونم کانفیگ کامل امنیتی مربوط به این کنترل پنل حالا با هر روشی که کمپایل شده,رو کامل بدونم که وقتی گشتم,اول فکر میکردم امنیت این چیزایی هستش که چک لیست میدن یا دیزیبل فانکشن و ... هستش.اما بخدا امنیت این نیست.وقتی تونستیم همگی با کمک هم کاری کنیم که بدون کلادلینوکس یا اینطور سرویس ها,جلوی حملات رو بگیریم,اون موقع میتونیم بگیم امنیت کاریم.
خوشحال میشیم دوستان دیگر هم شرکت کنند.

[secureconfig]

سلام و درود.
اول گفتین که :


که کاملا درسته و تجربه خوبی داشتین.حرفتون تایید میشه
اما این گفته :



بله.کلا این تاپیک بحث امنیت هستش که داریم در رابطه با اون صحبت میکنیم.فکر نکنید.مطمون باشید که هدف بالابردن سطح امنیت هستش.
نگاه کنید,زمانی که ما میگیم یکی به سرور یا هاست ما نفوذ کرده,اول باید ببینیم از کجا نفوذ کرده.خوب وقتی نفوذ و روش هاشو بدوندی,میتونید تا حدود خیلی خوبی جلوی این حملات رو گرفت.پرل و پایتون که کلا برای اجرای فرامین و همچنین دسترسی شل و اجرا شدن اسکریپت ها و شل ها و .... مربوط به این هاست و حتی با استفاده از این پرل و پایتون و .... به صورت لوکال میشه ضربه بدی به سرور زد.خوب راه حل چیه؟الان گفتیم.لازم نداریم نصب نکنیم.لازم داریم نصب کنیم اما پرمیشن روت بهش بدیم و سطح دسترسی فقط برای روت باشه.
یک مشکلی که من زیاد دیدم,chown ها هستش.
با یک کانفیگ بسیار اشتباه,بعضی ها کلا میان chown هارو کلا روت میکنن یا یک یوزر دیگه..خوب معلومه راحت میشه حتی با یک اسکریپت که هیچ اسکنری جلوشو نمیگیره,کل کانفیگ هارو ذخیره کرد.حالا شما cxs نصب کن یا هر چیزی.یا بگو سرورم شل احرا نمیکنه.
بیشترین ضعفی که ما داریم اینه که اصولی عمل نمیکنیم و توقع داریم امنیت خوب باشه.ما برای هر سروری,یک کانفیگی انجام میدیم.یکی رو دیده بودم برای دایرکت ادمین کانفیگ سی پنل زده بود.یا یک چیزی رو ما میریم از سایت ها پیدا میکنیم و میزنیم.بعد توی سایت هامون میزنیم امنیت سرور,به صورت یکبار 7000000000000 ت همراه با یک هفته تست.
امنیت فراتر از این آموزش و این روش هاست که هنوز هیچ کسی در دنیا نمیتونه ادعا کنه که من کامل بحث امنیت رو میدونم.
حتی واسه اینکه کارمون رو راحت کنیم.میگیم مثلا lve و کلود لینوکس مینصبیم.اصلا ساختار کلودلینوکس چطوریه؟یعنی اگه کلودلینوکس نباشه نمیتونیم جلوشو بگیریم؟چرا باید لقمه آماده بهمون بدن؟
ما باید خودمون راهشو بدونیم.
واسه کنترل پنل دایرکت ادمین,8 ماه فقط 24 ساعته تست میکردم و کار میکردم که فقط بتونم کانفیگ کامل امنیتی مربوط به این کنترل پنل حالا با هر روشی که کمپایل شده,رو کامل بدونم که وقتی گشتم,اول فکر میکردم امنیت این چیزایی هستش که چک لیست میدن یا دیزیبل فانکشن و ... هستش.اما بخدا امنیت این نیست.وقتی تونستیم همگی با کمک هم کاری کنیم که بدون کلادلینوکس یا اینطور سرویس ها,جلوی حملات رو بگیریم,اون موقع میتونیم بگیم امنیت کاریم.
خوشحال میشیم دوستان دیگر هم شرکت کنند.

بنده میگم وقتی محدودیت ها ، قابل bypass هستن‌، پس چرا ازشون استفاده کنیم ؟ اسکرپیت های تحت python , perl هم هستن که ممکنه کاربری بخواد ازشون استفاده کنه.
کلود لینوکس باتوجه به امکانات و امنیتی که داره بهترین و اسون ترین راه هست برای ایمن و پایدار نگه داشتن سرور. مدیر سرور کافیه ۵۰ تومان ماهیانه بابت لایسنس کلود لینوکس بده و خیال خودش و کاربرانش راحت باشه. چه از نظر امنیت و چه از نظر پایداری(تاحدودی)

اگر شما روشی برای ایمن سازی بدون اعمال محدودیت دارید ، همه ی ما دوست داریم روشتون رو یاد بگیریم. البته اگر قصد انتشارش رو داشته باشید.
این مورد chown هم واقعا درسته و اگه درست انجام نشه ، هر کسی میتونه کل فایل های دیگران رو ببینه.

[Yas-Host]

سلام و درود.
اول گفتین که :




که کاملا درسته و تجربه خوبی داشتین.حرفتون تایید میشه
اما این گفته :






بله.کلا این تاپیک بحث امنیت هستش که داریم در رابطه با اون صحبت میکنیم.فکر نکنید.مطمون باشید که هدف بالابردن سطح امنیت هستش.
نگاه کنید,زمانی که ما میگیم یکی به سرور یا هاست ما نفوذ کرده,اول باید ببینیم از کجا نفوذ کرده.خوب وقتی نفوذ و روش هاشو بدوندی,میتونید تا حدود خیلی خوبی جلوی این حملات رو گرفت.پرل و پایتون که کلا برای اجرای فرامین و همچنین دسترسی شل و اجرا شدن اسکریپت ها و شل ها و .... مربوط به این هاست و حتی با استفاده از این پرل و پایتون و .... به صورت لوکال میشه ضربه بدی به سرور زد.خوب راه حل چیه؟الان گفتیم.لازم نداریم نصب نکنیم.لازم داریم نصب کنیم اما پرمیشن روت بهش بدیم و سطح دسترسی فقط برای روت باشه.
یک مشکلی که من زیاد دیدم,chown ها هستش.
با یک کانفیگ بسیار اشتباه,بعضی ها کلا میان chown هارو کلا روت میکنن یا یک یوزر دیگه..خوب معلومه راحت میشه حتی با یک اسکریپت که هیچ اسکنری جلوشو نمیگیره,کل کانفیگ هارو ذخیره کرد.حالا شما cxs نصب کن یا هر چیزی.یا بگو سرورم شل احرا نمیکنه.
بیشترین ضعفی که ما داریم اینه که اصولی عمل نمیکنیم و توقع داریم امنیت خوب باشه.ما برای هر سروری,یک کانفیگی انجام میدیم.یکی رو دیده بودم برای دایرکت ادمین کانفیگ سی پنل زده بود.یا یک چیزی رو ما میریم از سایت ها پیدا میکنیم و میزنیم.بعد توی سایت هامون میزنیم امنیت سرور,به صورت یکبار 7000000000000 ت همراه با یک هفته تست.
امنیت فراتر از این آموزش و این روش هاست که هنوز هیچ کسی در دنیا نمیتونه ادعا کنه که من کامل بحث امنیت رو میدونم.
حتی واسه اینکه کارمون رو راحت کنیم.میگیم مثلا lve و کلود لینوکس مینصبیم.اصلا ساختار کلودلینوکس چطوریه؟یعنی اگه کلودلینوکس نباشه نمیتونیم جلوشو بگیریم؟چرا باید لقمه آماده بهمون بدن؟
ما باید خودمون راهشو بدونیم.
واسه کنترل پنل دایرکت ادمین,8 ماه فقط 24 ساعته تست میکردم و کار میکردم که فقط بتونم کانفیگ کامل امنیتی مربوط به این کنترل پنل حالا با هر روشی که کمپایل شده,رو کامل بدونم که وقتی گشتم,اول فکر میکردم امنیت این چیزایی هستش که چک لیست میدن یا دیزیبل فانکشن و ... هستش.اما بخدا امنیت این نیست.وقتی تونستیم همگی با کمک هم کاری کنیم که بدون کلادلینوکس یا اینطور سرویس ها,جلوی حملات رو بگیریم,اون موقع میتونیم بگیم امنیت کاریم.
خوشحال میشیم دوستان دیگر هم شرکت کنند.

در ابتدا یک پیشنهاد به شما می دهم.


جملات خود را پشت سر هم در تاپیک ها ننویسید. یک نظم بهشون بدید و یک فاصله و ... تقریبا بنده تا به جملات شما میرسم skip میکنم و میرم به پاسخ بعد!


آیا شما راهی برای عدم استفاده از کلاد لینوکس دارید؟ وب سرور را امن کنید از طریق php نفوذ خواهند کرد . php را امن کنید از طریق python/perl/cgi نفوذ خواهند کرد . python/perl/cgi را امن کنید از طریق کرنل نفوذ خواهند کرد. کرنل را patch کنید از طریق های دیگر ...! حتی در کلاد لینوکس و دیوار امنیتی cagefs باگ های زیادی غیر قابل پیش بینی هست.!


1- بستن فانکشن های زیر:

کد:

http://paste.ubuntu.com/15760579/

2- تعریف Open_basedir با مقدار زیر:

کد:

http://paste.ubuntu.com/15760584/

3- غیرفعال سازی Follow SymLinks در apache configuration و تعریف آن در یکی از include file های httpd.conf:

کد:

http://paste.ubuntu.com/15760591/

4- فعال سازی mod_security و استفاده از قابلیت شناسایی فانکشن های خطرناک و شل های معروف در هنگام اجرا در آدرس ها


5- محدودیت در سطح دسترسی فایل های زیر:

کد:

http://paste.ubuntu.com/15760596/

همچنین در کران اجرا کنید چون بعضی برنامه ها بصورت خودکار اقدام به تغییر سطح دسترسی به 701 می کنند .


6- تعریف function های خطرناک نیز در suhosin برای عدم اجرا شدن بیشتر شل ها (90درصد!!) : در suhosin.executor.func.blacklist

همچنین دوستان عزیز لطفا به جای حرف های 5 سطری اگر دانشی دارند به اشتراک بگذارند.


موفق و پیروز.

[farsistar]

با اجرای دستور chmod 700 /usr/bin/perl پلاگین csf در دایرکت ادمین به مشکل بر می خورد
ظاهرا با اجرای این دستور پلاگین هایی که از perl استفاده می کنند نمی توانند اجرا شوند (کنترل پنل دایرکت ادمین)
پ.ن : سطح دسترسی پیشفرض 755 برای این سرویس مناسب است

[IrIsT]

با اجرای دستور chmod 700 /usr/bin/perl پلاگین csf در دایرکت ادمین به مشکل بر می خورد
ظاهرا با اجرای این دستور پلاگین هایی که از perl استفاده می کنند نمی توانند اجرا شوند (کنترل پنل دایرکت ادمین)
پ.ن : سطح دسترسی پیشفرض 755 برای این سرویس مناسب است

سلام و ددود
705 کنید درست میشه
موفق باشید