www palvelimen tietoturva

[Hanva]

Olen suunnitellut www palvelimen pystyttämistä oppimismielessä ja olen lueskellut jonkinverran aiheesta. Aika usein törmää varoituksiin tietoturvasta. Varoitellaan kuinka kaikenmaailman möröt hyökkäävät heti kun porttejaan raotttaa ulkoverkkoon.

Oletetaan että minulla olisi palvelinkone, missä olisi www palvelimeen tarvittavat palvelut ja ssh etäyhteyttä varten eikä mitään muuta. Palvelinkone olisi sisäverkossa natin takana porttiohjauksella. Kotisivut ovat yksinkertaiset staattiset http sivut, jossa ei pyöri mitään ylimääräisiä kikkareita.

Miilaisia realistisia tietoturvauhkia tällainen rakennelma voi aiheuttaa? Mitä pitäisi ottaa huomioon? Olisiko palvelin esim. järkevää erottaa sisäverkossa kotiverkosta virtuaaliverkon avulla? Mitä muuta? Neuvot ja vinkit otetaan ilolla vastaan.

[ajaaskel]

Jos pelottaa tunkeutuminen niin voit jättää palvelimen kokonaan julkiselle puolelle ja päivittää sinne tavarat ssh: n kautta.  Sitä ssh-porttia tullaan hyvin pian hakkaamaan, kannattaa laittaa pelkkä avainpääsy.  "fail2ban" hidastaa yrittelijöitä.  Halutessasi voit laittaa myös ufw: n päälle ja avata vain http ja ssh siihen.
 

[Hanva]

Jos jätetään ssh pois laskuista, niin millaiset mahdollisuudet palvelimen kaappaamiselle on jos palvelimella on pelkät staattiset kotisivut? Ja mitä vahinkoa tällä voidaan saada aikaan. Kyse ei ole nyt foliohattuilusta, vaan ihan mielenkiinnosta kyselen oppimisprosessin kannalta.

[matsukan]

Yleensä Web palvelimelle kohdistetaan tietyllä tavalla muotoiltuja GET pyyntöjä jotka mahdollistavat muistinylivuoto-hyökkäyksille. Yksi tunnettu "named bugi" CVE oli että tietyssä komentorivi tulkissa oli bugi joka mahdollisti etä komentojen suorittamisen koneessa ja sitä kaytettiin ainakin kerran  internetissä serveredein lukumäärän laskemiseen tod näk pingin avulla.

Riski on olematon ja hyötyyn nähden olematon, ei kukaan sinun konetta murra ellet jätä selviä aukkoja koneellesi kuten palveluita ilman salasanaa. Ja huolehdit siitä että päivitykset ajatetaan säännöölisesti ja pidetään ohjelmistot ja palvelut minimissään.

Ja tuo ssh on kiva palvelu joka kannattaa tuunata kuntoon poistamalla siitä root ssh login mahdolisuuden ja tili minkä kautta menet sisään ei ole mikään "timo" taikka "taina".

[Hanva]

Ja tuo ssh on kiva palvelu joka kannattaa tuunata kuntoon poistamalla siitä root ssh login mahdolisuuden ja tili minkä kautta menet sisään ei ole mikään "timo" taikka "taina".

En ole määritellyt ssh palvelimelle mitään tilejä vaan olen kirjautunut palvelimen omalle käyttäjätilille. Kannattaisiko ssh palvelimelle määritellä eri tili jollain eksoottisella vaikeasti arvattavalla nimellä. Mites jos määrittelen ssh palvelimelle tilin xxxx jolla on oikeus kirjautua niin miten sen tilin käyttöoikeudet verrattuna jos kirjautuu palvelimen paikallisella käyttäjällä? En tiedä osasinko selittää asiaa ymmärretävästi

[AimoE]

Englanniksi hyvä hakusana on hardening. Esimerkiksi sivustolla http://hardenubuntu.com/ on ihan konkreettisia ohjeita, jotka tosin on tehty 12.04:lle. Samoin https://help.ubuntu.com/community/Security kertoo konkreettisia asioita. Suomeksi ohjeita on paljon vähemmän, mutta onpahan ainakin https://www.linux.fi/wiki/Tietoturva tarjolla.

[matsukan]

Käsittääkseni kaikilla tileillä on oikeus kirjautua ssh:n ellei ole kielletty (esim DisableRootLogin).

Jos luot uusia tilejä niin niille pitää antaa myös sudo oikeudet jos sillä tilillä on tarkoitus tehdä esim /etc/apache2 hakemistoon muutoksia.

Aina kannattaa miettiä hyöty vs haitta periaatteella kun luo uusia tilejä. Voit myös esim disabloida password login ja silloin ssh palvelimen pitää tietää yhteyskoneen julkinen avain ja tällöin kukaan ei voi käyttää serveriä muulta kuin tietyltä koneelta. (ssh-copy-id account@server.whatever)

Because a lot of people with SSH servers use weak passwords, many online attackers will look for an SSH server, then start guessing passwords at random. An attacker can try thousands of passwords in an hour, and guess even the strongest password given enough time. The recommended solution is to use SSH keys instead of passwords. To be as hard to guess as a normal SSH key, a password would have to contain 634 random letters and numbers. If you'll always be able to log in to your computer with an SSH key, you should disable password authentication altogether.

If you disable password authentication, it will only be possible to connect from computers you have specifically approved. This massively improves your security, but makes it impossible for you to connect to your own computer from a friend's PC without pre-approving the PC, or from your own laptop when you accidentally delete your key.

It's recommended to disable password authentication unless you have a specific reason not to.

To disable password authentication, look for the following line in your sshd_config file:

#PasswordAuthentication yes

replace it with a line that looks like this:

PasswordAuthentication no

[Hanva]

Joo mulla on poissa salasanakyselyt ja käytössä avaimet. Tuosta tili asiasta vielä...mulla on vähän epäselvyyttä olenko käsittänyt asiaa oikein. Eli mulla on palvelinkoneessa normi desktop ubuntu ja siinä yksi käyttäjätili Kalevi (nimi muutettu). Tähän koneelle olen asentanut SSH palvelimen. SSH palvelimessahan voi määritellä käyttäjät jotka voivat ottaa yhteyttä palvelimeen. Voiko tähän SSH palvelimeen määrittää käyttoikeuksia muille kuin koneilla jo oleville tileille toisinsanoen luoda uutta käyttäjää vai onko kyse siitä että tässä määritellään oikeudet tileille jotka on jo olemassa kyseisellä palvelinkoneella....

[matsukan]

 

onko kyse siitä että tässä määritellään oikeudet tileille jotka on jo olemassa kyseisellä palvelinkoneella

Nimenomaan tästä. Käyttäjien hallitanta on ihan eri asia ...

[Hanva]

Tänks. Se on hyvä varmistaa näin aloittelijana että on ymmärtänyt asian oikein