Szavazás

Milyen virtualizációt használsz?

Online felhasználók

Jelenleg 0 felhasználó van a webhelyen

Új felhasználók

  • Morello
  • gyo
  • jbaksa
  • tomassy
  • Kalacska13

Ajánlott böngészők

Google Chrome

Jelenlegi hely

Címlap

biztonsagos webserver

h, 2007-04-23 15:09 - kukukk

Udv.

Mirol lenne szo. Egyszeru :} Egy webserver beizzitasa viszonylag biztonsagosan.

Nehany osszealltunk egy muszakis portalt mukodtetni. Egy tagunk rendszergazda es egyenlore azon a szerveren fut a dolog. De kitudja hogy s mint alakulnak a dolgok, es a biztonsag kedveert szeretnek egy mirror oldalt csinalni neki. Persze ez nem holnapra kellene (Egyenlore meg nincs netem sem otthon :}). Maga az oldal drupal alapu, tehat amire szukseg lenne: webserver+php+mysql+smtp+ftp+dns.

Tehat egy ilyen kombinacioju szervert szeretnek idovel osszehozni, ami desktop gep is lenne, tehat nem csak server progik kellenek majd ra. A biztonsag egyenlore nem problema, iptables tilt minden szamomra nemtetszo porton bejovo kapcsolatot (kivetel ftp, ssh (csak 1 ip-rol a munkahelyemrol), web, smtp, dns). De idovel ha tenyleg be lesz love mirror-kent akkor jol fogna ha nem kellene azert aggodnom, hogy valami kobor script osszekutyulja nekem a dolgaim.

Meg nem tudom biztosan, hogy Slackware vagy Zenwalk lesz. Mivel baratnom is hasznalja a gepet (sot, igazabol csak o hasznalja, ugyanis nekem melo utan mar nem sok kedvem van szamitogep ele ulni :}), ezert nem artana egy "baratsagosabb" felulet. Ezert gondoltam esetleg Zenwalk-ra is.

Indulashoz a kovetkezo, hirtelen felotlott, kerdeseim lennenek:
- Itt is olvastam, es mashol is lattam (Zenserver kernele is meg van patchelve) egy grsec nevu patch-et. Olvastam a future-jeit az oldalon, de kezdokent nem sok mindent mond nekem. Kerdez az lenne, hogy ez mi ellen ved? Erdemes-e/mikor erdemes ezzel foglalkozni?
- Webserver milyet erdemes? apache vagy ligthttpd?
- Ftp server-t mit javasolnatok? PureFTP, VsFTPd, ProFTPd? Es jo lenne ha nem kellene usert csinalni hozza, hanem mondjuk adatbazisbol venne a usereket. Vagy shell nelkuli usert neki.
- Mail server? Igazabol csak sendmail-rol hallottam. Egyenlore csak kuldeni kell a mail (drupal miatt), es csak localhostrol, ugyhogy lehet nem is fogom engedelyezni firewall-ban ezt a portot kivulrol. (Vagy szukseg van hozza a cel smtp server visszajelzesehez?)
- DNS server? Hat itt kicsit bajban vagyok, mert hallottam dns serverrol is meg nameserverrol is. A ketto kozott mi a kulonbseg, vagy ugyanaz a ketto? DNS servernel tudom hogy van forward meg slave es master. Ezt beloni kell a bind? Vagy van esetleg mas progi is ra? Slackware-ben mintha lenne dnsforward nevu progi, de ez nekem nem jo, mert en hostolni is akarom. Tehat nekem master kell?
- Mysql-el nagyon nincs mit kerdeznem. Csatlakozni csak localhostrol, adatbazist meg drupal leirasbol megcsinalom. Az oldalt adatbazisat naponta beckup-olom ezzel a scriptel:
#!/bin/sh
filenev=/home/techportal/mysql_backup/szmt_backup_`date +"%F"`.sql
mysqldump --opt techportal > $filenev
Meg nem probaltam, de remelem ebbol sikerul vissza is allitani :}

Tehat ezekre lenne szuksegem. Eloszor is, hogy milyen csomagot valasszak. Aztan majd nekilatok doksit bujni a konfiguralashoz. (Persze biztos ott is lesz majd kerdesem boven :}})

Meg egy dolog lenne. Hallottam olyanrol, hogy chroot-olt kornyezetben lehet futtatni bizonyos progikat. Ez annyibol all, hogy csinalok mondjuk egy /chroot konyvtarat (esetleg kulon particiot mountolok oda) es eleve oda installalom a progikat es onnan futtatom? Es aztan be lesznek "zarva" abba a kornyvtarba es onnan nem tudnak "kijonni"? Vagy azert ennel bonyolultabb? Esetleg kell legyen az adott programnak ilyen "future"-je?

Ha valakinek lenne ideje es kedve ezekben segiteni azt nagyon szepen megkoszonnem :}}

Mondom megegyszer, ezt olyan 1-2 honap alatt szeretnem osszehozni, tehat szantam idot dokumentacio olvasara :}. De azert jo lenne egybol jo dokumentaciot olvasni :}}

Elore is koszonom.

----------------------------------------------
Sic Transit Gloria Mundi

Fórumok: 
Biztonság
»

Submitted by viktor on h, 2007-04-23 21:28.

"Tehat egy ilyen kombinacioju szervert szeretnek idovel osszehozni, ami desktop gep is lenne, tehat nem csak server progik kellenek majd ra."

ez így nem fog menni

»

Submitted by kukukk on k, 2007-04-24 07:29.

Miert?

Mondom, nem menne elesben, csak biztos ami biztos legyen egy mirrorja az oldalnak. Nem az a fo celom, hogy otthonrol sajat geprol hostoljam majd az oldalt, hanem inkabb tanulni, hogy ha valami miatt hirtelen koltoztetni kell az oldalt, ne akkor kelljen egesz nap azzal bajlodni, hogy hogyan is kell viszonylag biztonsagosan beallitani egy servert (Es itt nem az apache konfiguralasara gondolok, hogy menjen vele a php, vagy hogy miert nem indul el a mysql amig be nem allitod). Ugyanakkor hogy ideiglenesen (par nap) elerheto legyen az oldal amig talalunk mas megoldast. (Ugyanis egyenlore nincs akkora latogatottsaga az oldalnak, hogy erdemes legyen fizetos hostingot venni).

Apache+Php+Mysql+Ftp+SSH parositast Slackware 10.2 alatt sokat hasznaltam mikor elkezdtuk az oldalt csinalni. Az otthoni gepemen futott a teszt drupal, es melobol allitgattam, mikozben a baratnom otthon messengerezett uagyanazon a gepen. Most ezt szeretnem kiboviteni egy bind-al es sendmail-el (Vagy esetleg valami alternativaval), figyelve a biztonsagra is. Iptables-el elboldogulok. (De ha igy gond, akkor tekintsunk el attol, hogy van x, xfce, stb is a gepen. Es induljunk el onnan, hogy webservert szeretnek. Nekem ugy is megfelel, hogy semmi desktop dolog, se x, amig sikerul osszehozni. A beallitasokat, config file-okat es amiket csinalok majd ugyis lejegyzem valahova, ne kelljen majd ujra irni/keresni mindent.)

Meg annyit tennek hozza, hogy egy bash (vagy valami mas nyelv) script cron-al minden ejjel lefutna, leszedne ftp-n az eredeti oldalrol az uj file-okat es a mysql backup-ot es frissiteni a mirrort. De ez mar mas topic :}}

Amire szuksegem lenne, az az hogy megertsem hogyan is mukodik a chroot, erdemes-e valami biztonsagi patch-et hozzatenni a kernelhez, es hogy nehany tanacsot kapjak csomagok teren (melyiket es miert azt, mivel tud tobbet/kevesebbet mint a masik) olyanoktol akik mar csinaltak ilyet es van tapasztalatuk. Nem kerem, hogy helyettem googlizzon senki. De amig nem ertem hogyan mukodik valami, addig a dokumentaciot is hiaba olvasom. En igy mukodom :}}

-----------------------------------
Sic Transit Gloria Mundi

»

Submitted by viktor on k, 2007-04-24 11:59.

ahha. áht te tudod, de ugyebár minél több szolgáltatás fut egy gépen, annál több sebezhetőség van (lehet).

de ha te nagyon akarod, akkor pl. kernelhez grsec patch ajánlott. chroot az jóságos, pl httpd nem fog mást látni a fájlrendszerből, csak a /var/www-t pl. de persze ez minden rendszeren más lehet, nem egységes, te adod meg. php-hez meg hardenep-php vagy suhosin, vagy akármi. webszervernek apache szerintem, én próbálgattam más webszervert, de elég nyűgös. vagy keveset tudnak, vagy nehéz normálisan összehegeszteni, főleg chroot-tal.

egyébként én szervernek openbsd-t szeretek használni, de az desktop-ra nem feltétlen jó választás. megy-megy, de eléggé lassúcska. nekem.

»

Submitted by Forresty on cs, 2007-04-26 13:35.

Hi!

Ftp-hez szerintem Vsftpd frankó. Könnyű konfigolni és a slackware része, szóval nem kell utólag telepítgetni.
Annyi gond van vele, hogy nem igazán tudtam elérni, hogy ssl-el autentikáljon. -> ez ugye biztonság szempontjából alapvető lenne.
A támogatást bele kell fordítani, de lehet, hogy a slackware-rel érkező native nem támogatja!? Nem tudom, lehet hogy csak én vagyok láma.
Egyébként a usereket az /etc/passwd-ből veszi, ott meg be tudod állítani, hogy az egyes felhasználók ne kaphassanak shell-t. Ezt én is így oldottam meg.

Üdv.: Forr

Ui.: Proftpd-ről is nagyon jókat hallottam, de olyat még nem használtam.

»

Submitted by Zool on cs, 2007-04-26 15:55.

Mi ezt a parost hasznaljuk, eleg jol konfigolhato joforman nincs olyan dolog ami ne lehetne benne szabalyozni ul/dl, chroot stb. csak ajanlani tudom.:)

-------------------------------------
"Nekem káosz kell, nem bírom a rendet
Zaj kell, ami megöli a csendet
Élet kell és szabadság
nem valami ostoba hazugság"

»

Submitted by kris on szo, 2007-04-28 12:41.

Udv kukukk!

Mostanaban nincs idom forumozni. Neha azert benezek, lattam a kerdesedet, de nem volt idom valaszolni, most is csak roviden:

Minden bizonnyal rengeteg megoldas van serverekre (jobbnal jobbak) es persze az az optimalis, ha egy server-gepen nincsen desktop is (egyebkent valoszinuleg mindent fel lehet torni, ha nagyon akarjak).

Sajat tapasztalat: 2005 elejen inditottam el a sajat servert, csak azokat a server-programokat hasznaltam amiket a Slackware telepito CD-ken talaltam. (apache, PHP, washington imap, pop, proftpd MySQL stb.) semmi mast. Soha nem volt gondom, pedig ugye megy 24 oraban es emellett meg Desktop is (paromat azert nem engedem ra, neki egy kulon Desktop gep megy a belso halon XP-vel).
Drupal is volt kb. egy evig, ezt aztan az erdeklodes hianya miatt a Slackware 11.0 ugrade-kor mar nem migraltam, egyebkent azzal sem volt gond.

Persze lehet probalgatni sok mas softvert is, de azert szvsz a Slackware nem annyira "gagyi-modra" lett osszeallitva, hogy feltetlenul muszaj lenne benne mintent lecserelgetni.

Sok sikert!

kris *_^O^_*

Aurora
slackware 11.0 kernel 2.4.33.3

»

Submitted by irak on szo, 2007-04-28 15:33.

Szevasztok!

Én is egyet értek elöttem szólóval teljesen.
Fél éve használom lassan, a szekrény tetején levő slack alapú szerveremet.
Csak úgy router helyett először.

Amit külön tettem rá, az a qpopper, ctorrent, postfix (valahogy nem jön be a sendmail).
Semmi gondom vele...
Most már a desktop gépem használja mint dhcp (nem kelljen mindíg konfigolni a háló eszközöket), dns (cache miatt főleg)/ smtp(át van irányítva rá a gmail-em) /pop (hogy a thunderbird le tudja szedni a leveleimet)/http (a kedvenceimnek csináltam 1 lapot) szervert, a torrentek NFS-el vannak csatolva az asztalira..tűzfal..no-ip-s domaint is regiztem rá.

A lényeg az hogy atomstabil (pentium 1, 200Mhz, 64Mbyte ram !).

Ha jól ismered a slakware-t, és elég ami van rajta, akkor felesleges mást nézegetni szerintem.

»

Submitted by Fiber on v, 2007-04-29 09:03.

Huhúú, úgy látom nem csak én fogtam be a régi gépet routerkedni :))
cpu MHz : 200.474 MemTotal: 45188 kB.
Postfix belső levelezésre, dhcp, dns, samba mint fájlszerver és win-névszerver, lighttpd, mysql teamspeak irc, sorolhatnám. Nagyon sokáig a 10.2 futott rajta, kívülről blokkolva (majdnem) minden elérés, semmi probléma nem volt vele, atomstabilan megy. (már upgradeltem slack 11-re)

root@slacki:~# uptime
08:59:28 up 27 days, 19:52, 1 user, load average: 0.00, 0.00, 0.00

Uptime általában e-ontól függ nem a szervertől :)). 4-en használjuk, (1-2 linux 2-3 win) hála a kis dögnek routing téren semmi probléma a hálózattal :).
Fiber

»

Submitted by viktor on v, 2007-04-29 10:11.

http://viktor.podzone.net:8080/

uptime jelenleg 99 nap, jó kis gép

»

Belépés

Friss hozzászólások