[Question] làm sao để bảo mật webserver khi có bug mà không fix được |
26/08/2011 09:24:19 (+0700) | #1 | 245922 |
khang0001
Member
|
0 |
|
|
Joined: 20/05/2011 07:22:25
Messages: 196
Location: Final Fantasy 8
Offline
|
|
nếu dùng các mã nguồn như joomla, pretanshop có bug nhưng trong lúc chờ bản vá thì làm sao để bảo mật được. mình xài vps , winserver có cách nào để chống dc không. giả sử kẻ gian có thể dùng bug đó để tấn công local.
- nếu bị bug phần mã nguồn thì có thể bị dẫn để chiếm quyền admin không ?
- nếu mình phần quyền ntfs kỹ thì có thể chống lại kẻ gian up shell lên, hack local không. trong khi mã nguồn mình bị bug, hoặc là có back door |
|
Mộ em hoa cỏ nào xanh, Rêu phong nào bám lòng anh càng buồn, Tử thần sao cướp mất em, Để mình anh lại bơ vơ chốn nầy, Em ra đi để mặc mình anh với đời, Hận mình nghèo không mua nổi tình em |
|
|
|
[Question] làm sao để bảo mật webserver khi có bug mà không fix được |
26/08/2011 09:53:26 (+0700) | #2 | 245927 |
|
angel_of_devil
Member
|
0 |
|
|
Joined: 23/10/2004 14:57:09
Messages: 154
Offline
|
|
Bạn triển khai web firewall, thiết lập các chính sách "tiêu cực" để hạn chế source IP có thể đụng chạm đến cấu hình, đồng thời yêu cầu nhà cung cấp hỗ trợ để siết chặt (vd: firewall cứng chỉ cho phép IP nào đc connect đến port nào, chỉ mở HTTP thôi) |
|
Ngoảnh nhìn lại cuộc đời như giấc mộng
Được mất bại thành bỗng chốc hoá hư không |
|
|
|
[Question] làm sao để bảo mật webserver khi có bug mà không fix được |
26/08/2011 11:51:46 (+0700) | #3 | 245934 |
mv1098
Member
|
0 |
|
|
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
|
|
bro angel_of_devil hình như thích fw cứng thì phải, giờ đặt vào trường hợp không thể có fw cứng thì bó tay hả ?
nên có giải pháp bảo mật cho những small plan chứ |
|
|
|
|
[Question] làm sao để bảo mật webserver khi có bug mà không fix được |
26/08/2011 12:11:37 (+0700) | #4 | 245936 |
khang0001
Member
|
0 |
|
|
Joined: 20/05/2011 07:22:25
Messages: 196
Location: Final Fantasy 8
Offline
|
|
angel_of_devil wrote:
Bạn triển khai web firewall, thiết lập các chính sách "tiêu cực" để hạn chế source IP có thể đụng chạm đến cấu hình, đồng thời yêu cầu nhà cung cấp hỗ trợ để siết chặt (vd: firewall cứng chỉ cho phép IP nào đc connect đến port nào, chỉ mở HTTP thôi)
cách cấu hình để qui định xem ip nào mới dc đụng đến cấu hình webserver thế nào cậu, mình dùng xampp chạy trên nền windows . không biết là xài mấy cái webserver như xampp có an toàn không nữa |
|
Mộ em hoa cỏ nào xanh, Rêu phong nào bám lòng anh càng buồn, Tử thần sao cướp mất em, Để mình anh lại bơ vơ chốn nầy, Em ra đi để mặc mình anh với đời, Hận mình nghèo không mua nổi tình em |
|
|
|
[Question] làm sao để bảo mật webserver khi có bug mà không fix được |
26/08/2011 12:50:56 (+0700) | #5 | 245943 |
|
angel_of_devil
Member
|
0 |
|
|
Joined: 23/10/2004 14:57:09
Messages: 154
Offline
|
|
@mv1098: mình đặt ra các ví dụ thôi mà, với cả nếu có thì vẫn hơn chứ, cho dù là small
@khang: việc triển khai website với source là PHP trên IIS là một điều ko nên, để secured sẽ phải chắp vá và kiến thức về hệ thống và PHP khá vững. Đơn giản nhất là windows fw để quy định các chính sách vào/ra web server. Tiếp đó là NTFS permission, web permission v.v... Cao cấp hơn bạn nghiên cứu IPSec để bảo mật máy chủ IIS tốt hơn. |
|
Ngoảnh nhìn lại cuộc đời như giấc mộng
Được mất bại thành bỗng chốc hoá hư không |
|
|
|
[Question] làm sao để bảo mật webserver khi có bug mà không fix được |
26/08/2011 17:59:43 (+0700) | #6 | 245966 |
khang0001
Member
|
0 |
|
|
Joined: 20/05/2011 07:22:25
Messages: 196
Location: Final Fantasy 8
Offline
|
|
angel_of_devil wrote:
@mv1098: mình đặt ra các ví dụ thôi mà, với cả nếu có thì vẫn hơn chứ, cho dù là small
@khang: việc triển khai website với source là PHP trên IIS là một điều ko nên, để secured sẽ phải chắp vá và kiến thức về hệ thống và PHP khá vững. Đơn giản nhất là windows fw để quy định các chính sách vào/ra web server. Tiếp đó là NTFS permission, web permission v.v... Cao cấp hơn bạn nghiên cứu IPSec để bảo mật máy chủ IIS tốt hơn.
mình triển khai php trên nền apache. webserver là xampp. ko phải iis. xampp có đủ bảo mật chưa, thấy nó load nhiều thứ quá, sợ có bug |
|
Mộ em hoa cỏ nào xanh, Rêu phong nào bám lòng anh càng buồn, Tử thần sao cướp mất em, Để mình anh lại bơ vơ chốn nầy, Em ra đi để mặc mình anh với đời, Hận mình nghèo không mua nổi tình em |
|
|
|
[Question] làm sao để bảo mật webserver khi có bug mà không fix được |
26/08/2011 20:46:22 (+0700) | #7 | 245977 |
|
angel_of_devil
Member
|
0 |
|
|
Joined: 23/10/2004 14:57:09
Messages: 154
Offline
|
|
Sợ thì cài riêng lẻ ra, có cơ hội tìm hiểu thêm như thế còn j. Máy chủ Apache thì bạn tìm hiểu về bảo mật site dựa vào .htaccess đi. |
|
Ngoảnh nhìn lại cuộc đời như giấc mộng
Được mất bại thành bỗng chốc hoá hư không |
|
|
|
[Question] làm sao để bảo mật webserver khi có bug mà không fix được |
26/08/2011 23:24:43 (+0700) | #8 | 245997 |
myquartz
Member
|
0 |
|
|
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
|
|
Cách mà khang0001 hỏi về việc bảo vệ cho 1 web server (hoặc quy chung là 1 hệ thống server trương mặt ra Internet), phòng khi nó có lỗi bảo mật (tiềm ẩn) nhưng chưa kịp vá hoặc bên cung cấp chưa kịp/chưa biết để cung cấp bản vá. 1 loại trong các lỗi kiểu như thế người ta thường gọi là zero day vulnerabilities (http://en.wikipedia.org/wiki/Zero-day_attack) và nó rất nguy hiểm.
Có nhiều cách chống/giảm tác hại của tình huống này. Tuy nhiên phải phối hợp nhiều biện pháp may ra mới bớt được và việc này tốn kém (tiền của + công sức), không dễ dàng lắm và phải làm liên tục.
Sau đây là mấy gợi ý cho trường hợp của bạn:
1. Về con người: dùng sản phẩm nào thì phải theo dõi nó thường xuyên thông tin lỗi về nó từ nhà sản xuất và các diễn đàn/trang tin tức bảo mật liên quan. Khi có bug được báo cáo nhưng chưa kịp vá, thường thì sẽ có chuyên gia đưa ra vài khuyến nghị để có thể tạm tắt, tạm sửa hoặc cách nào đó để vô hiệu hoá, chờ cho đến khi bản vá phát hành. Web chạy PHP thì khá dễ dàng để vá 1 lỗi bảo mật nào đó. Cái này hạn chế lỗi không phải là zero-day, nhưng với mã nguồn mở + sản phẩm rất phổ biến thì zero-day bug sống thường rất ngắn ngủi, ta hi vọng nó ko rơi rủi ro vào ta.
2. Về hệ thống máy chủ + phần mềm: nên tuân theo các hướng dẫn "hardening" hệ thống, làm triệt để (có nhiều hướng dẫn trên HVA lắm), hoặc lựa chọn các hệ thống nền tảng có khả năng an toàn và phù hợp hơn (Linux thay vì Win). Cái này để giảm rủi ro dù PHP có bị lỗi ở source thì tác hại cũng nhỏ, chỉ ảnh hưởng 1 chút chứ ko lây nhiễm toàn hệ thống. Ngoài việc hardenning với php.ini (rất nhiều hướng dẫn trên HVA), thì web server, OS cũng cần quan tâm. Với Win thì tớ ít thấy có cách nào bảo vệ tốt để chạy PHP, nhưng với Linux + Apache thì kha khá nhiều tài liệu có thể tìm thấy trên Internet. Ví dụ áp dụng SELinux, áp quyền directory/file nghiêm ngặt, áp dụng suexec cho cái phần web PHP + chạy php_cgi thay vì chạy mod... Hi sinh vài thứ để đạt được độ bảo mật cao hơn.
3. Về bảo vệ vòng ngoài (mạng): Firewall nó ít tác dụng vì nó hoạt động ở lớp 3,4. Cái bảo vệ vòng ngoài duy nhất giúp ích được ít nhiều trong trường hợp này là cái IPS (tất nhiên phải mua quyền cập nhật rule cho thiết bị). Đa số các nhà cung cấp IPS thường làm ra rất sớm rule nhận diện và chặn nguy cơ bảo mật dựa trên dấu hiệu tấn công của lỗi, khi mà bản vá lỗi đó còn chưa kịp phát hành. Tất nhiên là hên xui thôi, không phải lúc nào họ cũng nhanh hơn. Nhưng có thì tốt hơn, giảm rủi ro. Điều đáng buồn là chi phí IPS + update thường ko rẻ lắm so với 2 cách trên và chỉ là phương pháp bổ trợ cho 2 cách trên. Nếu chỉ dựa vào IPS thì có ngày ko chết bởi lỗi chưa có bản vá mà sẽ chết bởi lỗi đã có bản vá từ lâu rồi mà chủ server ko thèm áp dụng, IPS lại thiếu sót, hệ thống ko được harden...
4. Các biện pháp khác giảm thiệt hại (sau khi sự việc xảy ra): backup hàng ngày, theo dõi thường xuyên hoạt động hệ thống và log file phát hiện bất thường, vá bản vá nhanh nhất có thể (cho tất cả các thứ liên quan)...
Hi vọng nó không quá rối rắm. Lưu ý nó sẽ ko đảm bảo tuyệt đối 100%, nó chỉ giảm rủi ro đi thôi. Hãy luôn nghĩ đến giải pháp dự phòng (backup/restore) và có sự đầu tư con người, tiền của ... mới mong nó ít tác hại. Một số anh em làm bảo mật ăn tiền (lương) cao nhờ mấy cái công việc phòng chống cái lỗi tiềm ẩn trên đấy, ví dụ mấy tay bảo mật ngân hàng đấy, vì lỗi tiềm ẩn là không thể tránh khỏi và nếu xảy ra tác hại quá lớn nên ngân hàng thường bỏ nhiều tiền chỉ để làm giảm rủi ro.
Nếu chỗ bạn việc chết web 1 vài ngày ko thành vấn đề thì có thể ... bỏ qua. Nếu bạn chỉ muốn học cách, thì cứ tiếp tục ... đào xới kỹ thuật thêm 1 số năm nữa, cỡ chừng anh conmale thì may ra tự tin (cao thủ như anh conmale cũng có lần xảy chân nữa là, nên ko có gì là tuyệt đối cả nhé).
P/s: có thể bỏ qua các post của aod vì nó ít giá trị kiến thức. |
|
|
|
|
[Question] làm sao để bảo mật webserver khi có bug mà không fix được |
26/08/2011 23:34:21 (+0700) | #9 | 245998 |
|
vagabond9x
Member
|
0 |
|
|
Joined: 04/02/2009 23:39:02
Messages: 21
Location: KMAsecurity.Net
Offline
|
|
khang0001 wrote:
mình triển khai php trên nền apache. webserver là xampp. ko phải iis. xampp có đủ bảo mật chưa, thấy nó load nhiều thứ quá, sợ có bug
Hình như bạn này đang nhầm lẫn rất nhiều khái niệm. Và bạn cũng chưa hiểu thế nào là các thành phần như: webserver, database, php lib... Để có thể " bảo mật" trước hết bạn hãy tự tay cài các thành phần LAMP ( or win + AMP ) hoặc xem trong cái mớ hỗn đọn xampp có cái gì rồi hãy nghĩ đến các vấn đề bảo mật.
Trước khi bảo mật được hệ thống hãy hiểu rõ hệ thống đó đi đã. Đừng cuồng vĩ bản thân nữa. Haiz, 5 năm rồi mà vấn chưa biết bảo mật là cái giề?
|
|
Trai Nam Định . |
|
|
|
[Question] làm sao để bảo mật webserver khi có bug mà không fix được |
27/08/2011 09:48:34 (+0700) | #10 | 246017 |
khang0001
Member
|
0 |
|
|
Joined: 20/05/2011 07:22:25
Messages: 196
Location: Final Fantasy 8
Offline
|
|
myquartz wrote:
Cách mà khang0001 hỏi về việc bảo vệ cho 1 web server (hoặc quy chung là 1 hệ thống server trương mặt ra Internet), phòng khi nó có lỗi bảo mật (tiềm ẩn) nhưng chưa kịp vá hoặc bên cung cấp chưa kịp/chưa biết để cung cấp bản vá. 1 loại trong các lỗi kiểu như thế người ta thường gọi là zero day vulnerabilities http://en.wikipedia.org/wiki/Zero-day_attack) và nó rất nguy hiểm.
Có nhiều cách chống/giảm tác hại của tình huống này. Tuy nhiên phải phối hợp nhiều biện pháp may ra mới bớt được và việc này tốn kém (tiền của + công sức), không dễ dàng lắm và phải làm liên tục.
Sau đây là mấy gợi ý cho trường hợp của bạn:
1. Về con người: dùng sản phẩm nào thì phải theo dõi nó thường xuyên thông tin lỗi về nó từ nhà sản xuất và các diễn đàn/trang tin tức bảo mật liên quan. Khi có bug được báo cáo nhưng chưa kịp vá, thường thì sẽ có chuyên gia đưa ra vài khuyến nghị để có thể tạm tắt, tạm sửa hoặc cách nào đó để vô hiệu hoá, chờ cho đến khi bản vá phát hành. Web chạy PHP thì khá dễ dàng để vá 1 lỗi bảo mật nào đó. Cái này hạn chế lỗi không phải là zero-day, nhưng với mã nguồn mở + sản phẩm rất phổ biến thì zero-day bug sống thường rất ngắn ngủi, ta hi vọng nó ko rơi rủi ro vào ta.
2. Về hệ thống máy chủ + phần mềm: nên tuân theo các hướng dẫn "hardening" hệ thống, làm triệt để (có nhiều hướng dẫn trên HVA lắm), hoặc lựa chọn các hệ thống nền tảng có khả năng an toàn và phù hợp hơn (Linux thay vì Win). Cái này để giảm rủi ro dù PHP có bị lỗi ở source thì tác hại cũng nhỏ, chỉ ảnh hưởng 1 chút chứ ko lây nhiễm toàn hệ thống. Ngoài việc hardenning với php.ini (rất nhiều hướng dẫn trên HVA), thì web server, OS cũng cần quan tâm. Với Win thì tớ ít thấy có cách nào bảo vệ tốt để chạy PHP, nhưng với Linux + Apache thì kha khá nhiều tài liệu có thể tìm thấy trên Internet. Ví dụ áp dụng SELinux, áp quyền directory/file nghiêm ngặt, áp dụng suexec cho cái phần web PHP + chạy php_cgi thay vì chạy mod... Hi sinh vài thứ để đạt được độ bảo mật cao hơn.
3. Về bảo vệ vòng ngoài (mạng): Firewall nó ít tác dụng vì nó hoạt động ở lớp 3,4. Cái bảo vệ vòng ngoài duy nhất giúp ích được ít nhiều trong trường hợp này là cái IPS (tất nhiên phải mua quyền cập nhật rule cho thiết bị). Đa số các nhà cung cấp IPS thường làm ra rất sớm rule nhận diện và chặn nguy cơ bảo mật dựa trên dấu hiệu tấn công của lỗi, khi mà bản vá lỗi đó còn chưa kịp phát hành. Tất nhiên là hên xui thôi, không phải lúc nào họ cũng nhanh hơn. Nhưng có thì tốt hơn, giảm rủi ro. Điều đáng buồn là chi phí IPS + update thường ko rẻ lắm so với 2 cách trên và chỉ là phương pháp bổ trợ cho 2 cách trên. Nếu chỉ dựa vào IPS thì có ngày ko chết bởi lỗi chưa có bản vá mà sẽ chết bởi lỗi đã có bản vá từ lâu rồi mà chủ server ko thèm áp dụng, IPS lại thiếu sót, hệ thống ko được harden...
4. Các biện pháp khác giảm thiệt hại (sau khi sự việc xảy ra): backup hàng ngày, theo dõi thường xuyên hoạt động hệ thống và log file phát hiện bất thường, vá bản vá nhanh nhất có thể (cho tất cả các thứ liên quan)...
Hi vọng nó không quá rối rắm. Lưu ý nó sẽ ko đảm bảo tuyệt đối 100%, nó chỉ giảm rủi ro đi thôi. Hãy luôn nghĩ đến giải pháp dự phòng (backup/restore) và có sự đầu tư con người, tiền của ... mới mong nó ít tác hại. Một số anh em làm bảo mật ăn tiền (lương) cao nhờ mấy cái công việc phòng chống cái lỗi tiềm ẩn trên đấy, ví dụ mấy tay bảo mật ngân hàng đấy, vì lỗi tiềm ẩn là không thể tránh khỏi và nếu xảy ra tác hại quá lớn nên ngân hàng thường bỏ nhiều tiền chỉ để làm giảm rủi ro.
Nếu chỗ bạn việc chết web 1 vài ngày ko thành vấn đề thì có thể ... bỏ qua. Nếu bạn chỉ muốn học cách, thì cứ tiếp tục ... đào xới kỹ thuật thêm 1 số năm nữa, cỡ chừng anh conmale thì may ra tự tin (cao thủ như anh conmale cũng có lần xảy chân nữa là, nên ko có gì là tuyệt đối cả nhé).
P/s: có thể bỏ qua các post của aod vì nó ít giá trị kiến thức.
thanks cậu nhiều vì đã cho mình 1 từ khoá quan trọng là lỗi ngày zero. mình sẽ tìm hiểu thêm. website của bên mình thì đặc trưng là phải online 24/24. là mục tiêu của các hacker và ddos. nên mình đang nghiên cứu cách khắc phục.
- mình đang nghiên cứu xây dựng webserver trên nền linux. tự build các soft như apache, php, mysql, phpmyadmin. mình đang rất cần các vấn về về bảo mật như cậu nói "Ví dụ áp dụng SELinux, áp quyền directory/file nghiêm ngặt, áp dụng suexec cho cái phần web PHP + chạy php_cgi thay vì chạy mod." cậu có thể cho mình thêm vài biện pháp bảo mật nữa được khộng. mình đang nghiên cứu để bảo mật từ tầng thấp nhất là OS, rồi mới đến apache, mysql,php.
Hình như bạn này đang nhầm lẫn rất nhiều khái niệm. Và bạn cũng chưa hiểu thế nào là các thành phần như: webserver, database, php lib... Để có thể " bảo mật" trước hết bạn hãy tự tay cài các thành phần LAMP ( or win + AMP ) hoặc xem trong cái mớ hỗn đọn xampp có cái gì rồi hãy nghĩ đến các vấn đề bảo mật.
mình đang tiến hành tự build 1 con vps chạy centos, và tự build các soft như apache, mysql, php. thanks cậu đã nhắc nhở |
|
Mộ em hoa cỏ nào xanh, Rêu phong nào bám lòng anh càng buồn, Tử thần sao cướp mất em, Để mình anh lại bơ vơ chốn nầy, Em ra đi để mặc mình anh với đời, Hận mình nghèo không mua nổi tình em |
|
|
|
|
|
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|