Harry Barry Skrevet 19. desember 2014 Del Skrevet 19. desember 2014 Hei. Jeg har satt opp en Linux apache-server hjemme. Jeg har ingen spesielle kunnskaper om data/datasikkerhet, selv om jeg kan det grunnleggende for å få systemet opp etc. Jeg har lyst til å åpne port 80 i min ruter. Er dette dumt? Med tanke på datakriminalitet. Dette gjelder vel en Windows-server like så godt! Men jeg har altså Linux. Er det lett for at noen bryter seg inn? Lenke til kommentar
Djn Skrevet 19. desember 2014 Del Skrevet 19. desember 2014 (endret) Det kommer helt an på hva du kjører, egentlig. En oppdatert apache er i seg selv ingen stor risiko (men husk å holde den oppdatert!), men det hjelper lite om du installerer wordpress og glemmer å oppdatere den, eller bruker en mod_php fra 2009. Hvis du bare skal ha statiske filer, er det kanskje bedre å bruke en av de "mindre" serverne, som nginx; de gjør mindre enn apache, men jeg har inntrykk av at det også er litt lettere å holde dem sikret. Hvis du er bekymret, kan du eventuelt sette opp en brannmur mellom serveren og resten av det interne nettet, som f.eks. bare tillater ssh inn til serveren. I praksis er nok ikke det nødvendig, men det skader ikke og kan være litt interessant å sette opp. Du kan også bruke en annen port enn 80, så vil omtrent alle verktøy som scanner etter kjente sårbarheter ignorere deg. Ulempen er at du må ha med portnummer i addressen (e.g. http://minserver.dyndns.org:1080/blog/ ). Jeg tror også noen nettleverandører i norge blokkerer servere på port 80, så det kan hende du må. Endret 19. desember 2014 av Djn 1 Lenke til kommentar
Harry Barry Skrevet 19. desember 2014 Forfatter Del Skrevet 19. desember 2014 Apache: blir nok PHP også. Ang. brannmur. Er det noe jeg setter opp på servern, da? Har hørt noe snakk om "ip tables", men har ikke satt meg inn i det... Hvis jeg bruker en annen port enn 80, hvorfor vil verktøyene ignorere meg? Fordi de ikke scanner alle portene, eller bare de som har "standarder" knyttet til seg? Takker. Lenke til kommentar
Djn Skrevet 19. desember 2014 Del Skrevet 19. desember 2014 (endret) Riktig - som sagt, så lenge du faktisk passer på å holde både apache og php (og eventuelle php-programmer) oppdaterte, skal det gå bra. På linux er iptables den vanlige brannmuren, ja. For det jeg tenkte på hjelper det ikke så mye med en brannmur på serveren: Se for deg at noen klarer å ta over serveren din. Hvis de har kontroll over den, kan de skru av brannmuren på den - så for å sperre de ute fra resten av nettverket må brannmuren være på en separat maskin. Det kan hende du kan sette det opp på routeren din (hvis den lar deg sette separate regler for en DMZ-port, f.eks.), eller eventuelt få tak i en superbillig maskin med to nettverkskort og sette den i mellom, type "pensjonert laptop med et ekstra USB-nettverkskort". Anyway, ikke stress alt for mye med dette. Sannsynligheten for at noen faktisk tar over en greit oppdatert server er ganske lav; og om det så går galt er de fleste angrepene av typen "legg til popups som laster ned malware" og "bruk maskinen til å sende ut spam" - ikke bra, men det lar resten av maskinene dine i fred. Det sagt; det er aldri galt å kjøre en brannmur på serveren som blokkerer alt unntatt det du konkret vil slippe inn. Hvis du f.eks. gjør noe galt på routeren og slipper inn flere porter enn du mente, har du et ekstra lag beskyttelse. (Og paranoid bruk av brannmurer er en god vane å ha.) En annen mulighet er å kjøre apache i en virtuell maskin på serveren; da kan du sette opp brannmur på maskinen "rundt" for å sperre den inne. Det er mer mekk å sette opp, men er nyttig å kunne litt om ... men jeg ville kanskje ikke kastet meg ut på så dypt vann med en gang om jeg var deg. Åja, og det skader ikke å sjekke brannmurene på resten av PCene. Hvis de er windows 7/8 er den vel på som standard, og vil stoppe mye rart om det først går galt. Ja, akkurat. Det er enormt mange mulige porter, og de aller fleste bruker 80, så hvorfor bruke veldig mye mer tid på å plukke opp de siste prosentene? Endret 19. desember 2014 av Djn Lenke til kommentar
Harry Barry Skrevet 19. desember 2014 Forfatter Del Skrevet 19. desember 2014 Min ISP blokkerer ikke 80 ser jeg. Men får lese dokumentasjonen for apache og sette opp en annen port. Lenke til kommentar
Harry Barry Skrevet 19. desember 2014 Forfatter Del Skrevet 19. desember 2014 Kan jo lage en et script som oppdaterer maskinen hver dag automatisk... Da ser jeg sikkert på brannmur-løsninger siden, men regner med at det ikke er noen hast. Ser at de selger "brannmur" på komplett.no - er dette noe som brukes til det du skisserte, med en "maskin" i mellom server og resten av lokalnettet? Skal nok bruke dynamisk dns uansett, så spiller jo ingen rolle om man må angi port... Lenke til kommentar
Djn Skrevet 19. desember 2014 Del Skrevet 19. desember 2014 (endret) F.eks noe sånt, bare sjekk det for hånd en gang i blant. Som sagt, sett gjerne opp en brannmur på serveren også; det er aldri galt, er en ekstra sikring mot teite feil, og det er kjekt å kunne. Men ja, hvis du i utgangspunktet bare slipper inn én port gjennom routeren er det i teorien ikke nødvendig. De brannmurene de selger kan sikkert brukes til noe sånt, ja. Jeg vet ikke hvor lette de er å sette opp, men det bør gå an å finne ut av. Tanken er å gjøre noe som dette: Brannmuren er den røde boksen. Det er et par forskjellige måter du kan sette reglene på. Det enkleste er vel å blokkere alle utgående tilkoblinger fra serveren til lokale maskiner (lilla pil), men tillate den å svare på innkommende tilkoblinger, både fra nettet (blå) og lokale (ikke vist - men nødvendig hvis du vil se på nettsidene dine hjemmefra). Den bør også få koble til eksterne maskiner, så den kan hente oppdateringer og slå opp DNS og sånt. Dynamisk DNS gir deg bare IPen, ikke portnummeret; det er forskjell på "http://side.dyndns.org" (som alltid vil prøve port 80) og "http://side.dyndns.org:1080" . Endret 19. desember 2014 av Djn Lenke til kommentar
Harry Barry Skrevet 19. desember 2014 Forfatter Del Skrevet 19. desember 2014 Må sjekke ut ip tables da. (Men først skal jeg finne et kult dyn dns domene... ) For å lage en slik brannmur, trenger jeg altså 2 nettverkskort i en maskin. Bør la seg gjøre å kjøpe noe gammelt rask for en billig penge - trenger jo ikke grafikk. (Har allerede ganske god brannmur på "bruksmaskinen", men tror det er verre med mobilen (tilkoblet wifi)...) Nei sikkert ingen som er interessert i meg, igrunn. De hacker jo med et formål... Lenke til kommentar
stigfjel Skrevet 20. desember 2014 Del Skrevet 20. desember 2014 Nei sikkert ingen som er interessert i meg, igrunn. De hacker jo med et formål... Der tar du feil. Hackere er alltid interesserte i maskiner de kan bruke som slaver, f.eks. i DDoS-angrep. Så sørg for å holde maskinen oppdatert. Lenke til kommentar
Harry Barry Skrevet 21. desember 2014 Forfatter Del Skrevet 21. desember 2014 Der tar du feil. Hackere er alltid interesserte i maskiner de kan bruke som slaver, f.eks. i DDoS-angrep. Så sørg for å holde maskinen oppdatert. Ja det er jo sant, men da går det kanskje på mer automatiserte angrep? Nei jeg har ikke greie på dette jeg, men jeg vet jo at det er veldig mange maskiner involvert i slike "botnet". Hvis det er noen som virkelig vil bryte seg inn klarer de vel det... Lenke til kommentar
Harry Barry Skrevet 21. desember 2014 Forfatter Del Skrevet 21. desember 2014 Som sagt, sett gjerne opp en brannmur på serveren også; det er aldri galt, er en ekstra sikring mot teite feil, og det er kjekt å kunne. Men ja, hvis du i utgangspunktet bare slipper inn én port gjennom routeren er det i teorien ikke nødvendig. Nå syns jeg linux'en var en fin bruksmaskin også... er kanskje hakket dummere å kjøre http-server da...? Lenke til kommentar
stigfjel Skrevet 21. desember 2014 Del Skrevet 21. desember 2014 Ja det er jo sant, men da går det kanskje på mer automatiserte angrep? Nei jeg har ikke greie på dette jeg, men jeg vet jo at det er veldig mange maskiner involvert i slike "botnet". Hvis det er noen som virkelig vil bryte seg inn klarer de vel det... Ved å være bevisst på patching, og å lage gode brannmurregler samt passe på å konfigurere tjenesten riktig gjør du jobben ganske mye vanskeligere enn å bare gi blanke. Forresten, Wordpress og Joomla! er pr. def. defekt hva angår sikkerhet. Lenke til kommentar
Aeyoun Skrevet 21. desember 2014 Del Skrevet 21. desember 2014 Kjemperaskt brannmuroppsett for Debian/Ubuntu (kjører som root/sudo): 1. apt-get install ufw 2. ufw allow 80/tcp 3. ufw enable 4. service ufw enable Da blokkeres alt som ikke er port 80. Trenger du flere porter (for eksempel SSH for fjerntilgang) bruker du `ufw limit 22/tcp`. `limit` setter en tilkoblingsgrense på 6 per halve minutt per eksterne IP. Reduserer hastigheten serverensom tenester kan brute-fources på. 1 Lenke til kommentar
Aeyoun Skrevet 21. desember 2014 Del Skrevet 21. desember 2014 Det viktigste for sikkerhet er at du må oppdatere serveren regelmessig. Sett en påminnelse i kalenderen på telefonen om å oppdatere annenhver uke. Det kan ikke bare stå og surre alene for seg selv. Du bør også bli komfortabel med og lese serverens logger. For å se etter aggressiv trafikk, forsøk på og logge seg inn, og hvilke IPer som har klart og logge seg inn (noen i loggen som ikke er deg selv?). Dette er praktiske ting som du blir mer komfortabel med når du har gjort det et par ganger. 1 Lenke til kommentar
Aeyoun Skrevet 21. desember 2014 Del Skrevet 21. desember 2014 Oppsette mitt for UFW-brannmur blokkerer bare innkommende trafikk. Du kan også se på og blokkere utgående trafikk. (Litt vanskeligere da det er mye trafikk du vil slippe igjennom.) Da kan du begrense skaden som gjøres om noen greier og bryte seg inn med automatiserte verktøy. For eksempel kan det forhindre at skadevaren får kontakt med et kontrollnettverk, lastet opp filene dine, eller sendt ut søppelpost. 1 Lenke til kommentar
Harry Barry Skrevet 21. desember 2014 Forfatter Del Skrevet 21. desember 2014 @Aeyoun Takk for super info! Det ser ganske kjappvindt ut med UFW. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå