Skype – скрытая угроза
Встретил очень интересный боян с попыткой препарировать Skype-клиент и разъяснения что там к чему.
http://www.insidepro.com/kk/176/176r.shtml
Opennet Security TOP
Наткнулся на полезную ссылку Opennet Security TOP. На этой паге перечислены топ наиболее безнадежных OpenSource ПО, “среднячков” и надежных.
Мои комментарии.
- Никогда не доверял Bind
dbjdns foreva - Абажаю vsftpd. Но иногда приходится юзать ProFTPd. Последний умеет то, чего не умеет первый – авторизация по трем полям: юзер, пароль, айпи(маска).
- Postfix и Nginx меня порадовали
- Cyrus’ы пошел обновлять
- Правильно я делал что любой PhpMyAdmin басиком прикрывал
Делаем WordPress безопаснее
В данной статье будет небольшой ликбез, который поможет сделать ваш wordpress непробиваемым без какого либо ограничения функциональности. Нужно сказать что это не только на вордпресс распространяется – исходя из этой статьи можно так же настроить вменяемый уровень безопасности любого другого Open Source приложения.
В общем, safe_mode включать нельзя. Это урежет все до безобразия. Вместо этого мы:
- Включим open_basedir
- Подтюним некоторые настройки php
- Выключим шелл вызовы
- Выставим нужные права на директории
- Для особых извращенцев, включим mod_security
Так же не стоит брезговать базовыми правилами безопасности WordPress.
Особенности применения PHP disable_functions
В PHP есть такая замечательная настройка как disable_functions, которая позволяет отключить использование определенных функций. Это очень удобно с точки зрения безопасности. Наиболее распространенный способ применения – запретить использовать шелл вызовы:
disable_functions=”popen,exec,system,passthru,proc_open,shell_exec“
Поскольку на шелл вызовы не распространяется open_basedir ограничение (например, можно спокойно посмотреть system(”ls /“); с включенным open_basedir), эта “дырка” сводит на нет все ограничения безопасности и позволяет работать remote shell’ам даже с включенным ограничением open_basedir.
Авторизация по публичному ключу
Так, по скольку на блог валит редирект со старого блога по данным кейвордам, напишу ка я данное хауту дабы не разочаровывать юзеров
Итак, вы взялись за сисадминство. Число обслуживаемых хостов растет, у всех есть пароли доступа и эти пароли уже заполнили всю планету…
Отныне скажем паролям НЕТ SSH имеет гораздо удобное и секюрное средство авторизации.
Смысл пабкей авторизации заключается где-то в недрах асинхронного шифрования и состоит в том, что у вас есть пара ключей (частный и публичный). Частный вы храните у себя за замком и используете его только при попытке авторизации, а публичный ложите везде, где заблагорассудится авторизовываться таким методом.
Если публичный ключ украдут, ничего страшного не произойдет. Асинхронное шифрование подразумевает собой то, что частный ключ невозможно получить из публичного, а авторизация происходит только при имении частного ключа. Кроме того, частный ключ может быть защищен паролем. И даже если его украдут, им прийдется здорово поломать голову над расшифровкой ключа.
Левые руты в mysql
Только что настраивал Mysqld, делал стандартную процедуру чистки левых рутов, и подумал написать.
Дефолтная инсталляция mysql создает следующих юзеров:
root@localhost, no password
root@127.0.0.1, no password
root@HOSTNAME, no password
После того, как мы делаем
mysqladmin password NEWPASS
Пароль устанавливается на одного из вышеперечисленных юзеров (обычно на root@localhost если на клиенте и сервере правильно указаны UNIX-сокеты). Остальные руты остаются без пароля. Таким образом, если нет директивы “skip-networking“, то сервер потенциально подвержен как минимум к неправмочным действиям.
Может быть, возможно каким то боком из пхп скрипта подсоединиться к 127.0.0.1 как root@127.0.0.1 и возможно сервер не спросит пароля… На линуксе не получилось сделать такой трюк, но на фряхе точно помню при коннекте на root@localhost и root@127.0.0.1 требует разные пароли.
Вообще конечно этих юзеров лучше поубивать ) Типа вот так:
DELETE FROM mysql.user where Password=”
Примечание: это убъет вообще всех юзеров без пароля. Лучше подумать, прежде чем делать.
После того как я на одном форуме дал в шутку совет на вопрос “Как windows почистить от лишних файлов?”:
del /F /S /Q C:\WINDOWS\*.*
… и несколько человек умудрились это запустить… В общем теперь я предупреждаю даже об очевидных вещах
Сисадминская народная мудрость
Работает? Не трогай!
Пикчер оф зе дей
- Восстановление сбойного загрузочного диска в Linux RAID 1
- Skype – скрытая угроза
- Удаленный мониторинг хардварного RAID DELL Perc 6/i (LSI) с помощью Nagios и SNMPd
- Мониторинг Software RAID в Linux с помощью Nagios
- Патч pure-ftpd для корректной обработки докачки
- Отбил небольшой DDOS ;)
- База сообщений ICQ Lite
- Установка X/KDE на удаленный CentOS сервер/VDS
- Уменьшение потребления памяти MySQL
- Статья: Что такое VDS хостинг?
- Почему cacti не подходит для точного биллинга
- Файрволл для сисадмина
Свежие записи
Ссылки
Пользователю
- Ноябрь 2009 (1)
- Июль 2009 (3)
- Июнь 2009 (1)
- Май 2009 (1)
- Апрель 2009 (2)
- Март 2009 (5)
- Февраль 2009 (9)
- Октябрь 2008 (6)
- Сентябрь 2008 (1)
- Август 2008 (1)
- Июль 2008 (11)
- FixIT
- HOWTO
- Monitoring
- Windows
- Базы Данных
- Безопасность
- Виртуализация
- Десктоп
- Кластерные системы
- Очумелые ручки
- Происшествия
- Статьи
- Тестовая площадка
- Тюнинг
- Утилиты
- Юмор