דילוג לתוכן
  • דף הבית
  • קטגוריות
  • פוסטים אחרונים
  • משתמשים
  • חיפוש
  • חוקי הפורום
כיווץ
תחומים

תחומים - פורום חרדי מקצועי

💡 רוצה לזכור קריאת שמע בזמן? לחץ כאן!
  1. דף הבית
  2. רשתות
  3. בירור - כללים בסיסים לאבטחת שרת לינוקס

בירור - כללים בסיסים לאבטחת שרת לינוקס

מתוזמן נעוץ נעול הועבר רשתות
13 פוסטים 4 כותבים 619 צפיות
  • מהישן לחדש
  • מהחדש לישן
  • הכי הרבה הצבעות
התחברו כדי לפרסם תגובה
נושא זה נמחק. רק משתמשים עם הרשאות מתאימות יוכלו לצפות בו.
  • nigunN מנותק
    nigunN מנותק
    nigun
    השיב לElhanan ב נערך לאחרונה על ידי
    #3

    @יושב-אוהלים
    הכל נכון
    אבל צריך להדגיש שהעיקר זה ניהול חומת אש ולחסום את SSH ואת שאר הפורטים של שימוש פנימי לרשימה לבנה, כל השאר תלוי באפליקציה.

    מייל: nigun@duck.com

    ElhananE תגובה 1 תגובה אחרונה
    7
    • ElhananE מנותק
      ElhananE מנותק
      Elhanan
      השיב לnigun ב נערך לאחרונה על ידי Elhanan
      #4

      @nigun חומת אש ציינתי כבר בכלל ח, וזה לדעתי אכן אחד הדברים החשובים ביותר.
      בנוגע למה שכתבת לא להשתמש בפרוטוקלי ברירת מחדל, אני לא רואה בזה עניין, ואני משתמש בברירת מחדל, אם תוכל להרחיב למה זה לא מומלץ אני ישמח.
      אפשר להשתמש ב-port knocking כדי להישאר בפורט ברירת מחדל ורק ליצור שכבת הגנה נוספת (כמובן שזה לא תחליף לחומת אש, זה רק שכבה נוספת של הגנה) כדי לגשת לשירות (כלומר להגדיר בport knocking סדר פורטים מסויים שצריך לעבור כדי לתקשר עם הפורט ברירת מחדל).
      לשנות לגמרי את הפורט ברירת מחדל לדעתי סתם מיותר.
      (אגב, אני גם לא משתמש בport knocking, כי לדעתי זה שיטת אבטחה שפגומה מהיסוד, כי ברגע שהסדר פורטים נחשף, בין אם בניחוש, הדלפה, וכד' מאותו רקגע האבטחה לא שווה כלום, אני משתמש בSSH keys ולדעתי זה מספיק מאובטח בשבילי, אני טועה?)

      פורום איש את רעהו|חיתוך שירים|בלוג|מקצר קישורים|ביו

      nigunN תגובה 1 תגובה אחרונה
      8
      • nigunN מנותק
        nigunN מנותק
        nigun
        השיב לElhanan ב נערך לאחרונה על ידי nigun
        #5

        @יושב-אוהלים אמר בבירור - כללים בסיסים לאבטחת שרת לינוקס:

        אפשר להשתמש ב-port knocking

        לא הכרתי את השיטה
        אבל זה נראה שזה סתם מגביל
        כי אתה צריך להתקין knock על הקליינט ולהריץ את הסט בקשות הרצוי לפני ההתחברות.
        מה רע ברשימה לבנה?
        אם רוצים לממש פתיחה וסגירה של כתובת מבחוץ אפשר דרך כתובת פנימית בHTTP + סיסמה כל שהיא.

        מייל: nigun@duck.com

        ElhananE 2 תגובות תגובה אחרונה
        1
        • ElhananE מנותק
          ElhananE מנותק
          Elhanan
          השיב לnigun ב נערך לאחרונה על ידי Elhanan
          #6

          @nigun אמר בבירור - כללים בסיסים לאבטחת שרת לינוקס:

          מה רע ברשימה לבנה?

          האמת שאתה צודק, זה מאוד פשוט, צריך רק לערוך את הקובץ hosts.allow, ואת הקובץ hosts.deny.
          הבעיה מתחילה כשיש כמה משתמשים בשרת, שמשתמשים במחשב עם סינון כלשהוא, שהכתובת ip היא סטטית, ולא קבועה, ובכל חיבור מקבלים ip חדש..

          פורום איש את רעהו|חיתוך שירים|בלוג|מקצר קישורים|ביו

          תגובה 1 תגובה אחרונה
          12
          • ElhananE מנותק
            ElhananE מנותק
            Elhanan
            השיב לnigun ב נערך לאחרונה על ידי Elhanan
            #7

            @nigun בהנחה ואני משנה את פורט ברירת המחדל, א"א לסרוק פורטים פתוחים באמצעות nmap כדי לאתר את הפורט שכן פתחתי במקום הברירת מחדל? (nmap --top-ports 30 my ip)
            לא שיניתי מעולם בשרת את פורט ברירת המחדל, בעקבות דבריך שכדאי לשנות אני בודק את הנושא, ויש לי כמה שאלות.

            פורום איש את רעהו|חיתוך שירים|בלוג|מקצר קישורים|ביו

            nigunN WWWW 3 תגובות תגובה אחרונה
            10
            • nigunN מנותק
              nigunN מנותק
              nigun
              השיב לElhanan ב נערך לאחרונה על ידי nigun
              #8

              @יושב-אוהלים
              איפה אמרתי שכדאי לשנות את הפורט?
              לעצם השאלה אם יסרקו את הפורט יראו שזה TCP
              אבל לכאורה יצטרכו לשלוח נסיון התחברות בשביל לבדוק שזה SSH ולא HTTP
              וסתם ככה מעניין לבדוק האם יש כלי שחוסם את כל מי שסורק את הפורטים.

              מייל: nigun@duck.com

              תגובה 1 תגובה אחרונה
              0
              • nigunN מנותק
                nigunN מנותק
                nigun
                השיב לElhanan ב נערך לאחרונה על ידי
                #9

                @יושב-אוהלים
                מסתבר שSSH מחזיר SSH-2.0-OpenSSH_8.2p1 Ubuntu-4ubuntu0.4
                לכל חיבור TCP וכך אפשר לדעת שמדובר בSSH עם חיבור ע"י nc או telnet
                ואין דרך רשמית לבטל את זה (אפשר למחוק את הסטרינג מהקובץ הבינארי אבל לא נשמע רעיון טוב).

                אבל בדקתי עם השרת פרוקסי הזה
                שיש לו פיצר שמנתב את התעבורה על פי הפרוטוקול
                אז אם אני מגדיר

                {
                    "apps": {
                        "layer4": {
                            "servers": {
                                "logstash_proxy": {
                                    "listen": [
                                        "0.0.0.0:2222"
                                    ],
                                    "routes": [
                                        {
                                            "match": [
                                                {
                                                    "ssh": {}
                                                }
                                            ],
                                            "handle": [
                                                {
                                                    "handler": "proxy",
                                                    "upstreams": [
                                                        {
                                                            "dial": [
                                                                "0.0.0.0:22"
                                                            ]
                                                        }
                                                    ]
                                                }
                                            ]
                                        }
                                    ]
                                }
                            }
                        }
                    }
                }
                

                אז חיבור עם nc לא מחזיר כלום
                אבל חיבור עם SSH עובד מצויין
                השרת פרוקסי הזה עדיין לא בגרסה 1.0 אז זה כנראה לא רעיון טוב לסמוך עליו בשביל פרודקשן.

                מייל: nigun@duck.com

                תגובה 1 תגובה אחרונה
                4
                • WWWW מנותק
                  WWWW מנותק
                  WWW
                  השיב לElhanan ב נערך לאחרונה על ידי
                  #10

                  @יושב-אוהלים אמר בבירור - כללים בסיסים לאבטחת שרת לינוקס:

                  @nigun בהנחה ואני משנה את פורט ברירת המחדל, א"א לסרוק פורטים פתוחים באמצעות nmap כדי לאתר את הפורט שכן פתחתי במקום הברירת מחדל? (nmap --top-ports 30 my ip)

                  אם יש מתקפה שמכוונות נגדך, אתה צודק.
                  אבל יש הרבה מתקפות שרצות רק על הפורט ברירת מחדל, על רשימה של מיליוני IP'S כי זה 99% מהשרתים.

                  WWW.netfree@gmail.com || קשבק! החזר כספי לבנק על רכישות באינטרנט || עונים על סקרים ומרוויחים כסף!

                  תגובה 1 תגובה אחרונה
                  3
                  • מ מנותק
                    מ מנותק
                    מאיר הנאו
                    השיב לElhanan ב נערך לאחרונה על ידי
                    #11

                    @יושב-אוהלים תודה על התשובה, אני רוצה לעשות שינויים בשרת שלי, איך אני יכול לגבות מסד נתונים של MariaDB?

                    nigunN ElhananE 2 תגובות תגובה אחרונה
                    0
                    • nigunN מנותק
                      nigunN מנותק
                      nigun
                      השיב למאיר הנאו ב נערך לאחרונה על ידי
                      #12

                      @מאיר-הנאו
                      זה כבר נושא חדש
                      למען הסדר הטוב כדאי לפתוח שרשור נפרד

                      מייל: nigun@duck.com

                      תגובה 1 תגובה אחרונה
                      1
                      • ElhananE מנותק
                        ElhananE מנותק
                        Elhanan
                        השיב למאיר הנאו ב נערך לאחרונה על ידי Elhanan
                        #13

                        @מאיר-הנאו יש לMariaDB כלי מובנה לגיבוי, mysqldump.
                        כדי לגבות מסד ספציפי תריץ את זה (את db_name כמובן תשנה בשם של המסד שלך):

                        mysqldump -u root -p db_name > db_backup.sql
                        

                        כדי לגבות את כל המסדי נתונים שיש בשרת תריץ:

                        mysqldump -u root -p --all-databases > all_db_backup.sql
                        

                        (אם המסד כבד, אפשר לדחוס אותו עם gzip ע"י העברת הפלט של mysqldump לgzip, לדוגמא: gzip > db_backup.sql.gz)

                        אח"כ כדי לשחזר מסד ספציפי תריץ:

                        mysql -u root -p database_name < database_name.sql
                        

                        וכדי לשחזר את כל המסדים תריץ:

                        mysql -u root -p < all-databases.sql
                        

                        אם אתה מסתבך הכי פשוט זה לגבות עם phpMyAdmin, שיש לו ממשק אינטרנט ויזואלי, אבל כמו שאמרו זה נושא אחר, אני חושב שכדאי לפתוח לכך נושא חדש.

                        פורום איש את רעהו|חיתוך שירים|בלוג|מקצר קישורים|ביו

                        תגובה 1 תגובה אחרונה
                        3

                        בא תתחבר לדף היומי!
                        • התחברות

                        • אין לך חשבון עדיין? הרשמה

                        • התחברו או הירשמו כדי לחפש.
                        • פוסט ראשון
                          פוסט אחרון
                        0
                        • דף הבית
                        • קטגוריות
                        • פוסטים אחרונים
                        • משתמשים
                        • חיפוש
                        • חוקי הפורום