Как увеличить безопасность??

PranT · Сообщение **PranT** » 16.01.2005 17:29

В данный момент мой форум находится на localhost'е, но в ближайшее время этот localhost станет сервером, на котором и будет функционировать форум в пределах нашей интрасети (порядка 2-3 тыс. человек), в связи с чем хочется обезопасить себя от дефейса и несанкционированного доступа!!

Я уже настроил, что к БД доступ имеется только с локальной машины!! Также запретил листинг каталогов в Apache!!

Не могли бы Вы подсказать мне, что ещё нужно сделать для большей безопасности!? Можно ссылками

Сообщение **Siava** » 17.01.2005 0:39

PranT
Прежде всего Firewall. Система на сервере какая?

PranT · Сообщение **PranT** » 17.01.2005 0:48

Windows XP Pro SP2

Apache 1.3.12 + PHP 4.3.4 + MySQL 4.0.18

NOD32 Антивирус с включенным Интернет-монитором

Активен стандартный брандмауэр из SP2.

Siava, Agnitum Outpost пойдёт??

Merera · Сообщение **Merera** » 17.01.2005 4:08

PranT Права лишние у веб-сервера имеет смысл отобрать. Про винду не скажу, увы, может кто еще подскажет, но на *nix скрипты имеет смысл запускать как nobody.
На сервер в такой конфигурации недавняя атака NetSanity не проходила, т.к. скрипт не мог ничего записать на диск.

PranT · Сообщение **PranT** » 17.01.2005 5:24

Компьютер доступен из локальной сети, но недоступен из внешней (проверяли попыткой соединиться по IP-адресу и по DNS-адресу (hXnY.campus.nsu.ru)) --- в обоих случаях безуспешно! Т.е., судя по всему, из вне машина недоступна! Правда, есть доступ к внешней сети через прокси-сервер! Поэтому, можно предполагать, что возможны атаки лишь со стороны "шаловливых" пользователей ЛВС, либо со стороны очередного сетевого червя (благо недавно от Blast'а с помощью SP2 вылечился)!!

На машине открыты 80 (Apache) и 21 (ServU) порты.

Вот... вроде, более или менее полная картина происходящего...

Сообщение **Siava** » 17.01.2005 7:45

PranT
Ужасно!

С таким дырявым сервером вас сломают через локальную сеть с любым фаерволом!

А именно:
- старый и уязвимый Apache! Сейчас есть версия 1.3.33 (www.apache.org)
- аналогичный php! Уже есть версия 4.3.10 (www.php.net)
- mysql тоже не мешало бы обновить до 4.0.23 (а лучше бы до 4.1.9

) (http://dev.mysql.com/downloads )

Outpost вполне подойдёт

главное серверы пропатчить и закрыть ненужные порты

PranT · Сообщение **PranT** » 17.01.2005 14:43

главное серверы пропатчить

На сколько я понимаю под этой фразой, то нужно просто обновить версию ПО?? Или есть ещё какие-то специальные патчи??

закрыть ненужные порты

Это, типа, брандмауэром сделать??

Сообщение **Siava** » 17.01.2005 15:35

PranT
Ага, под пропатчить я имел в виду обновить до последних

А закрыть ненужные порты именно им фаерволом (брандмауэром). То есть оставить открытыми на вход только tcp 21 и tcp 80

crash · Сообщение **crash** » 17.01.2005 15:47

для фтп только 21 может не обойтись

Сообщение **Siava** » 17.01.2005 17:31

crash
для пассивного режима можно выделить небольшой диапазон портов (например 60000-60100)

Vladson · Сообщение **Vladson** » 17.01.2005 18:16

Для защиты от SQL-injection лучше отобрать у форума возможность применять SQL команду UNION (это делается в настройках MySQL)
Для защиты от СSS лучше сделать только одного админа, и не заходить под этим акаунтом без необходимости
Желательно так же фильтровать все данные передаваемые методами POST и GET на наличие запятых и других спец знаков (на всякий случай)

Всё это не даст никаких гарантий, но повысит уровень безопасности и не слабо

PranT · Сообщение **PranT** » 17.01.2005 21:10

Vladson, про UNION команду знаю... Но не могли бы вы мне сказать точнее, где именно её отключать?? Какую команду нужно ввести??

CSS - что это?? Не Cascade Style Sheet же!! Для защиты от СSS лучше сделать только одного админа --- где?? В форуме или где?? В БД у меня один админ, кот. может заходить лишь с localhost'а, а также логин для phpBB с ограниченными правами... Кстати, может кто-нибудь подсказать как наиболее оптимально выставить права для пользователя phpbb??
Сейчас у меня:

Host=localhost
User=phpbb
password=<зашифрован MD5>
Select_priv=Y
Insert_priv=Y
Update_priv=Y
Delete_priv=Y
Alter_priv=Y
остальные=N, 0 или NULL (пустые)

Кстати, не могли бы Вы помочь мне настроить права пользователя phpbb также так, чтобы он не имел доступа к другим базам данных, особенно к mysql

Заранее благодарю!!

PS: phpMyAdmin: там можно настраивать, что авторизируешься через HTTP, но меня никак не пускают, прося повторить попытку ввода пароля... Пароль и лоин точно правильные (ввожу такие же при авторизации других типов). Хоть через cookie- и config-метод авторизация проходит нормально... Может кто-нибудь подсказать, в чём проблема?? Может, что ещё нужно подправить в файле config.inc.php ??

Vladson · Сообщение **Vladson** » 18.01.2005 11:13

CSS - что это?? Не Cascade Style Sheet же!!

Не только, это ещё и Cross Site Scripting, тоже опасная штука

PranT · Сообщение **PranT** » 18.01.2005 12:16

Vladson писал(а):
CSS - что это?? Не Cascade Style Sheet же!!
Не только, это ещё и Cross Site Scripting, тоже опасная штука

Извиняюсь за навязчивость, но что это за "уязвимость" такая ??

Я могу, конечно, примерно догадываться по названию, но что-то не очень...

Vladson · Сообщение **Vladson** » 19.01.2005 9:29

Всё просто, в этот разряд входят уязвимости которые созданы чтоб злоумышленник мог своровать пароль у человека который нажмёт на ссылку которую ему пошлют в ЛС, одим словом на странице на другом сайте будет "блоха" (скрипт) который отошлёт пароль с вашего компъютера (из cookie) злоумышленнику на е-маил, по этому и говорят что админу крайне не рекомендуется использовать при входе на форум функцию

Автоматически входить при каждом посещении

Если злоумышленник украдёт пароль админа то это будет не самое приятное...