Хостерам. Аудит безопасности.

S
На сайте с 07.11.2008
Offline
152
#111
Himiko:
Если используется nginx, то уже так не получится сделать. Ему нужен доступ к тем же статическим файлам, а работает он от одного юзера.

Согласен 700 nginx уже не прочтет, но 710 с группой chown user:nginx уже прочтет.

Romka_Kharkov
На сайте с 08.04.2009
Offline
485
#112
Nanotik:
Последняя фраза - в точку. Иногда просто не замечаешь, что есть потенциальная уязвимость, сделанная своими же руками. А так - взгляд со стороны показал если не все, то многие недостатки.

Это все класно, но все познается в сравнении, представьте себе что вы пришли в магазин, че-то купили и забыли забрать сдачу, кто виноват? вы . Чья оплошность? ваша..... вы наймете человека который научит вас "не забывать сдачу"? я думаю это мало вероятно. Другое дело если вас в магазине "грамотно развели" и продали колбасу за 200$ которая 25$ стоит... вот тут можно нанять человека который скажет сколько и какая колбаса реально стоит. По этому если данный топик подразумевал проверку системы, было бы хорошо..... а вот проверку "оплошностей" заказывать не хочется, лучше еще раз пройтись самому и посмотреть на все внимательно :)

Пример не совсем удачный к нашему случаю тут , но в целом описывает концепцию правильно. Пока мы сами не организуемся и не начнем понимать, что есть пароль на SQL который может быть пустой или храниться там же где все остальное и самое ценное - ни кто не поможет... НИ КТО!!!!

Вот например, посею чуток паники, где собственно доказательства того, что ТС например не украл коммерческие данные с тех ISP которые 3 из 3х ? Да, он мог не делать там rf -rf / , да он ничего не ломал и после сообщил владельцам, но это те случаи когда система уже скомпрометирована, по этому можно мило делать проверки официальные, а данные будут уплывать..... Конечно ничего не мешает делать их как бы просто так для себя и воровать информацию тихо, но так же алиби реальное есть :0 Мол заказали проверку, заходил... проверял....

Есть около 15.000 ipv4 !!! (http://onyx.net.ua/price.php#ipv4) Качественный хостинг с 2005 года - лучшее клиентам! (http://onyx.net.ua/)
Himiko
На сайте с 28.08.2008
Offline
560
#113
Romka_Kharkov:
Вот например, посею чуток паники, где собственно доказательства того, что ТС например не украл коммерческие данные с тех ISP которые 3 из 3х ? Да, он мог не делать там rf -rf / , да он ничего не ломал и после сообщил владельцам, но это те случаи когда система уже скомпрометирована, по этому можно мило делать проверки официальные, а данные будут уплывать..... Конечно ничего не мешает делать их как бы просто так для себя и воровать информацию тихо, но так же алиби реальное есть :0 Мол заказали проверку, заходил... проверял....

У вас уже не в первый раз подобные мысли возникают)

Если вдруг какие-то данные уплывут, то вспомнят меня в первую очередь, имхо. В данном случае глупо считать это "алиби".

Тут комментировать нечего в общем...

Профессиональное администрирование серверов (https://systemintegra.ru). Круглосуточно. Отзывы (/ru/forum/834230) Лицензии (http://clck.ru/Qhf5) ISPManager,VDSManager,Billmanager e.t.c. по низким ценам.
S
На сайте с 07.11.2008
Offline
152
#114

Посмотрел, и правда дырень. В директадмине по-умолчанию точно есть, особенно с apache_public_html=0. С ней все файлы у соседа читаются.

А с =1 через дефолтовый апач.

Ох..нно разрабы панели лоханулись. 😮

esetnod
На сайте с 16.07.2009
Offline
134
#115

Причем тут разработчики? Как настроено, так и работает.

Или разработчики ОС тоже лоханулись, что некоторые на все файлы 777 ставят?

Быстрый хостинг на SSD от $0.99 (http://just-hosting.ru/) | OpenVZ (http://just-hosting.ru/vds.html) и KVM (http://just-hosting.ru/vds-kvm.html) VDS от $7.95
Nanotik
На сайте с 20.11.2010
Offline
27
#116
Romka_Kharkov:
... По этому если данный топик подразумевал проверку системы, было бы хорошо..... а вот проверку "оплошностей" заказывать не хочется, лучше еще раз пройтись самому и посмотреть на все внимательно :) ...

А чем по вашему является проверка системы? Ну вот принципиально от поиска "оплошностей" чем отличается? Посмотреть на версии ПО, и сказать, что надо обновить то и то? Или еще какие-то моменты?

Romka_Kharkov:

Вот например, посею чуток паники, где собственно доказательства того, что ТС например не украл коммерческие данные с тех ISP которые 3 из 3х ? Да, он мог не делать там rf -rf / , да он ничего не ломал и после сообщил владельцам, но это те случаи когда система уже скомпрометирована, по этому можно мило делать проверки официальные, а данные будут уплывать..... Конечно ничего не мешает делать их как бы просто так для себя и воровать информацию тихо, но так же алиби реальное есть :0 Мол заказали проверку, заходил... проверял....

Ну если включить режим паранойи, то тогда можно предположить, что половина хостеров на самом деле уже поломана, просто еще не узнала об этом :-)

bugsmoran
На сайте с 18.02.2010
Offline
223
#117
esetnod:
Причем тут разработчики? Как настроено, так и работает.
Или разработчики ОС тоже лоханулись, что некоторые на все файлы 777 ставят?

При том, что Вы похоже вообще не знаете тему разговора :) Это косяк разработчиков панели, причем нескольких панелей одновременно.

Romka_Kharkov
На сайте с 08.04.2009
Offline
485
#118
Nanotik:
А чем по вашему является проверка системы? Ну вот принципиально от поиска "оплошностей" чем отличается? Посмотреть на версии ПО, и сказать, что надо обновить то и то? Или еще какие-то моменты?

Версии это версии, но вы поймите, есть люди которые ежедневно поддают куче проверок те же демоны системы, разыскивая в них новые и новые дыры, я склоняюсь к таким проверкам. А проверка дырявых скриптов моих пользователей мне как хостеру ничего не дает, в принципе.

Nanotik:

Ну если включить режим паранойи, то тогда можно предположить, что половина хостеров на самом деле уже поломана, просто еще не узнала об этом :-)

А вы что его выключаете? В 21 веке однако живем....

Himiko
На сайте с 28.08.2008
Offline
560
#119
Romka_Kharkov:
А проверка дырявых скриптов моих пользователей мне как хостеру ничего не дает, в принципе.

В данном случае - это не проверка "дырявых скриптов пользователей". Они при данном варианте почти все будут "дырявыми".

D
На сайте с 02.05.2009
Offline
68
#120
bugsmoran:

Да, он давно в этой сфере. Думаю, раз в 10 дольше, чем я. Но наметанный глаз - не достаточное условие, чтобы решить проблему безопасности. Здесь нужен другой уровень видения вопроса.

Другой уровень видения вопроса нужен безусловно, только нужен Вам для оценки ситуации с позиции хостинг-провайдера. Вы оцениваете ее с позиции офисного fulltime-сотрудника, а не бизнесмена - не анализируя выгоды и риски, а выдавая на-гора шаблоны и предрассудки (вплоть до националистических) и голословные утверждения (например о том, что частное предпринимательство (а выполнение разовых заказов в данном случае оно и есть) как-то влияет на "уровень" специалиста и автоматически ставит его ниже fulltime работников по квалификации).

О информационной безопасности в ее нетехнической части Вы тоже имеете довольно странное представление (например отказываетесь признавать факт, что разовый найм сотрудника с контролем и лишением доступа после выполнения задания (либо вообще до появления на сервере важной информации) во многих, очень многих случаях гораздо более безопасен, чем постоянный доступ слабоконтролируемого сотрудника к этой информации. И его месячный зароботок к этому имеет очень косвенное отношение.).

Вкупе с тем, что Вы неоднократно выказывали неуважение к собеседнику и собственную завышенную самооценку, дискуссия с вами мне кажется бесперспективной.

По теме топика: Из любопытства, получить информацию о уязвимости и методах, которыми она была найдена в индивидуальном порядке возможно?

http://www.differentlocal.ru (http://www.differentlocal.ru) http://differentlocal.habrahabr.ru (http://differentlocal.habrahabr.ru)

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий