Kaikkea palvelimen ylläpitoon liittyvää.

34 posts, 2 pages, 9,047 views

Avatar
#1 • • GoA Guest
Eli topicin ideana on toimia keskustelualueena niille jotka ylläpitävät palvelimia, joka omaa tai yrityksen tai haluaisivat itse tuollaisen rakentaa.

Itse olen tällä hetkellä asentanut koneelle Windows Server 2003 ohjelmiston. Tuon ohjelman trial-version voi jokainen imuroida Microsoftin sivuilta. Tuon mukana tulee monenmonta erilaista mahdollisuutta ylläpitää palvelinta joista IIS nimistä palvelua käytetään internetsivuston ylläpitoon. Juuri tuo on itsellänikin käytössä.

Tällä hetkellä mietityttää juuri oman palvelimen tietoturva. Jotta tuo oma internetsivusto toimisi täytyy palomuurista avata tiettyjä portteja koska muulloin ulkopuoliset eivät pääse hakemaan tietoja palvelimelta. Mutta millainen tietoturvariski nuo avoimet portit ovat? Entä mitä voisi tehdä parantaakseen tietoturvaa? Ja tiedän että RTFM täytyy soveltaa, Kotona odottaa tällä hetkellä muutama iso pdf-dokumentti servun ylläpidosta.

Tuon serverin kanssa on myös mahdollista lisätä ulkopuoliselle käyttäjille tunnuksia joiden kautta käyttäjä' pääsee loggautumaan sisään tietokoneelle ja hallitsemaan sitä ulkopuolelta. Osaaville kavereille voin määritellä noita oikeuksia jolloin hekin pääsevät muokkaamaan minun palvelinta sekä nettisivua. Millaiset tietoturvariskit muodostaa tuo salasanan kysely?

Enempää ei tule nyt mieleen, lisäillään tarvittaessa ja katotaan tuleeko tästä edes keskustelua. :)
akir0

Posts: 2,554

#2 • • akir0 idleRPG champion 2009

GoA:
Itse olen tällä hetkellä asentanut koneelle Windows Server 2003 ohjelmiston. Tuon ohjelman trial-version voi jokainen imuroida Microsoftin sivuilta. Tuon mukana tulee monenmonta erilaista mahdollisuutta ylläpitää palvelinta joista IIS nimistä palvelua käytetään internetsivuston ylläpitoon. Juuri tuo on itsellänikin käytössä.

Tällä hetkellä mietityttää juuri oman palvelimen tietoturva. Jotta tuo oma internetsivusto toimisi täytyy palomuurista avata tiettyjä portteja koska muulloin ulkopuoliset eivät pääse hakemaan tietoja palvelimelta. Mutta millainen tietoturvariski nuo avoimet portit ovat? Entä mitä voisi tehdä parantaakseen tietoturvaa? Ja tiedän että RTFM täytyy soveltaa, Kotona odottaa tällä hetkellä muutama iso pdf-dokumentti servun ylläpidosta.



Tietoturvaa voisit lisätä ainakin vaihtamalla IIS:n vaikka Apacheen :)

En nyt tiedä oikein millaiseen käyttöön olet ko. purkkia laittamassa, mutta oikeat palomuurithan ovat rautaa tai eivät ainakaan pyöri samalla koneella, kuin itse internet-palvelut.

Avoimet portit eivät sinällään ole tietoturvariski, kunhan niiden lävitse kulkee vain haluttua tietoa.

Toki tietoturvaan liittyy pitkälti sekin, että millaisia (esim. webbisovelluksia) siellä ajetaan. Reikäisten php-versioiden tms. ajelu tekee parhaatkin palomuurit hyödyttömiksi.
styrOx

Posts: 485

#3 • • styrOx Hardcore Hooligan!!!
meinaan jos rauta niin yleensä weba serverit laitetaan DMZ porttiin(joka ei ole varsinaisesti yhteydessä sisäverkkkoon) palomuurissa
ja silloin tietenkin avataan vain tarvittavat portit.

yleensä kaikki etä ylläpito muodostaa tietoturva riskin, mutta tietenkin salattu yhteys auttaa asiaa.

tietenkin kaikki päivitykset mitä löytyy kannattaa ajaa servoon.

oiskohan ollu halvimmat rautapalomuureja saa jostain 300 ylöspäin.

[muokattu 29.4.2004 09:40]

--
Distort a 909 bassdrum, go extreme with the volume, reach your limit, feel the power, destroy the dancefloor, refuse to loose, party 'till you die... I stick to my style!

Avatar
#4 • • GoA Guest

akir0:

Tietoturvaa voisit lisätä ainakin vaihtamalla IIS:n vaikka Apacheen :)

En nyt tiedä oikein millaiseen käyttöön olet ko. purkkia laittamassa, mutta oikeat palomuurithan ovat rautaa tai eivät ainakaan pyöri samalla koneella, kuin itse internet-palvelut.

Avoimet portit eivät sinällään ole tietoturvariski, kunhan niiden lävitse kulkee vain haluttua tietoa.

Toki tietoturvaan liittyy pitkälti sekin, että millaisia (esim. webbisovelluksia) siellä ajetaan. Reikäisten php-versioiden tms. ajelu tekee parhaatkin palomuurit hyödyttömiksi.



Palvelin ei ole kokoaikaa päällä ja tällä hetkellä IIS on aloittelu käytössä joten heti en sitä pois vaihda. =) Ja tottakai rautapalomuuri olisi parempi mutta en koe sen olevan tärkeä vielä minun käytölle, palvelin on meinaa päällä vain silloin kun minä sitä säädän. Ja tällä hetkellä ei mitään php/sql-osaamista ole joten sivuille on vielä vain teksti toimiiko ja kokeilu linkki tiedoston imurointiin. *nauru* Täytyisi myös perehtyä enemmän eri protokolliin, portteihin ja itnernet hommiin ennen kuin asentaisin rautapalomuurin joka sitten pitäisi konffata oikein. :)

Eli softa muuri on siis käytössä ja tietenkin kaikki päivitykset on ajettu. Myös viruksia vastaan taistellaan ja IE:tä ei todellakaan käytetä.

[muokattu 29.4.2004 09:29]
Apo

Posts: 1,574

#5 • • Apo Asiallisen Profeetallinen Oppinut
Palvelimen asetuksissa kannattaa kiinnittää huomiota tietoturvan suhteen:
0. softan pitämiseen ajan tasalla
- päivitykset
1. mahdollisiin murtautumisreittihin
- palomuurissa aukiolevat julkiset palvelut sekä niiden omat asetukset
- voiko murto tapahtua epäsuorasti, ts. kiertää useamman palvelun kautta
2. siihen mitä mahdollinen murtautuja voi tehdä
- käyttöoikeusasetukset
- prosessien ajaminen omalla rajatulla käyttäjätunnuksella
3. seurantaan
- ilman seurantaa mahdotonta huomata mahdollinen hyökkäys
4. jälkihoitoon
- VARMENNUS (ts. backup)
- palvelimen palautus jos jotain ikävää pääsee kaikesta huolimatta tapahtumaan: pitäisi olla helppoa ja nopeaa, mutta yleensä ei ole kumpaakaan

Esimerkki siitä miten monimutkaisella tavalla voi tunkeutua palvelimelle useamman tietoturva-aukon kautta:
1. MsSql:n perusasennuksessa asentui (ainakin aikaisemmin) sp_exec (yms) stored procedure jolla pystyi ajamaan minkä tahansa käyttöjärjestelmän komennon (.exe)
2. Jos verkkosovelluksessa käytetään command objektin sijasta merkkijonojen yhdistämistä sql-lauseiden muodostukseen, voidaan verkkosovelluksen muodostama sql-lause myrkyttää ja muokata se muotoon jolla käynnistetään vaikkapa IE hakemaan hyökkääjän määrittämästä urlista sivu.
3. Jotakin IE:n tietoturva-aukkoa hyväksikäyttäen sivu voisi ajaa palvelimella mitä tahansa, esim etähallintasoftan asennuspaketin

Esimerkin toteutumisen voisi estää ainakin seuraavilla tempuilla:
1. Softan päivitys, jolloin IE:llä ei ole tietoturva-aukkoa jota voisi käyttää hyväksi.
2. MsSql:n asetusten läpikäyminen, ylimääräisten stored proceduren poisto, monirivisten sql-lauseiden käytön esto, yms yms.
3. Käyttäjätunnuksen, jolla MsSql ajetaan, tiedostotason oikeuksien rajaaminen tarpeeksi tiukasti, ts. käyttäjätunnuksella ei voisi esim käynnistää mitään ajettavia ohjelmia jolloin vaikka hyökkääjä pääsisi sp_exec stored procedureen käsiksi, siitä ei olisi hyötyä.
4. Verkkosovelluksen koodaaminen oikein jolloin sql:ää ei pääsee myrkyttämään.

Linkkejä:

Microsoft Baseline Security Analyzer - tarkistaa että perusasetukset ovat kunnossa ja ehdottaa parannuksia jos löytää mahdollisia ongelmapaikkoja

Windows Server 2003 Security Guide - hieman lisälukemista

10 Steps to Help Secure (Microsoft) SQL Server 2000 - linkki kusee, klubitus laittaa välilyöntejä

[muokattu 3.5.2004 17:29]
toni

Posts: 912

#6 • • toni

styrOX:
oiskohan ollu halvimmat rautapalomuureja saa jostain 300? ylöspäin.


D-Link DI-604 irtoaa alle viidelläkympillä..

GoA:
Ja tottakai rautapalomuuri olisi parempi...


No ei se välttämättä joka tilanteessa ole paras ratkaisu. Asiaa puidaan esim. täällä
nomic

Posts: 4,120

#7 • • nomic Finrg / Hybridize / Paine / Nu-Energy / Kreatix
itse aloin ainaskin leikkimään apachella josta löytyy opas täältä:
http://www.ohjelmointiputka.net/oppaat.php <---tuolta löytyy jotain melko hyödyllistä jos ei ole esim minkään näköistä osaamist php:sta tj...

ihan kätevää, mutta tietoturvasta en pahemmin tiedä mitään jne... ja palomuurina softaa koska en yleisestikään pidää servua pystyssä niin turha hankkia rautaa jne... :)
Avatar
#8 • • GoA Guest
Palomuuri tuottaa täällä päänvaivaa. Nykyään kun jotenkin trendinä on tehdä palomuureista hienoja karkkeja jotka sitten ovat raskaita ja täynnä jotain ei tarpeellisia ominaisuuksia. Nyt kun vielä server 2003 on vähän kranttu noiden suhteen niin pikkuisella meneekin sormi suuhun. :)

Nämä olen testannut: Norton firewall 2003, raskas, huonot konffausmahollisuudet, tuntuu helposti tekevän jotain automaattisesti josta en tykkää.

Tiny Personal 5.0. Kamalan näköinen, parhaillaan koneella, lähtee heti vittuun kuhan keksis jonkun toisen.

Kerio Personal ei asennu.

Zonealarm - ei asennu.

Joku vanha tiny tai kerio voisi oplla hyvä, noitapa ei meinaa vaan löytää kun ne uudet karkkiversiot on julkaistu.

Entäs onko kellään tietoa mistään hyvästä sivustosta jossa olisi tietoa eli palomuurien porttien tarkoituksesta. www.grc.om on pieni selostus mutta siitä ei juuri hyötyä minulle ainakaan ollut.
vaavu

Posts: 1,324

#9 • • vaavu vara-vana

GoA:
Kerio Personal ei asennu.
Zonealarm - ei asennu.



Mikäs näissä on vikana, kun eivät kumpikaan asennu? *täh*
domi

Posts: 7,069

#10 • • domi Työn sankari.
Debian+samba+apache+mysql+php. Toimii :) Ja palomuurin virkaa hoitaa iptables.
toni

Posts: 912

#11 • • toni

GoA:
Palomuuri tuottaa täällä päänvaivaa. Nykyään kun jotenkin trendinä on tehdä palomuureista hienoja karkkeja jotka sitten ovat raskaita ja täynnä jotain ei tarpeellisia ominaisuuksia. Nyt kun vielä server 2003 on vähän kranttu noiden suhteen niin pikkuisella meneekin sormi suuhun. :)

Nämä olen testannut: Norton firewall 2003, raskas, huonot konffausmahollisuudet, tuntuu helposti tekevän jotain automaattisesti josta en tykkää.



Jos et tarvitse karkkeja ja automatiikkaa, niin olisiko kenties syytä kokeilla käyttöjärjestelmään itseensä integroitua palomuuria? Sen konffaus ei liene vaikeata.
toni

Posts: 912

#12 • • toni

DominikH:
Debian+samba+apache+mysql+php. Toimii :) Ja palomuurin virkaa hoitaa iptables.



Debianin asennus ja käyttö on yllättävänkin helppoa. Apt-getillä saa kaikki ennalta paketoidut sovellukset asennettua todella nopeasti ja kätevästi. Ja niitä on paljon.

Erittäin suositeltava vaihtoehto tuon windows 2003 server-trialin tilalle :)
vaavu

Posts: 1,324

#13 • • vaavu vara-vana
Debian on tietysti ehkä vähän liian pelkistetty distro ensimmäiseksi Linuxiksi. Jos haluaa vähän win-tyyppisempää toimintaa, voinee aloittaa vaikka Mandrakesta tai Fedorasta.
toni

Posts: 912

#14 • • toni
Helppoa asennusta kaipaaville voin suositella Red Hattiä. CD:t sisään ja puolen tunnin päästä kone on käyttövalmis.
Avatar
#16 • • GoA Guest
käyttiksen oma palomuuri on surkea. Onhan se vähän parantunut XP ajoista mutta siltikään en siihen luottaisi.

Ja kyseiset palomuurit eivät asennu koska eivät ole serveri versioita. Kerio ilmoiotti että tarvii server-version ja zone ettei windows ole tukenut tuota vähään aikaan.
Apo

Posts: 1,574

#17 • • Apo Asiallisen Profeetallinen Oppinut
Kehityskäyttössä graafinen käyttöliittymä on hyvä ja tarpeellinen, mutta palvelinkäyttöön en kyllä lähtisi asentamaan linuxista versiota jossa tulee X ja muut ikkunointikilkkeet mukana.

offtopikkina oman koti-(j2ee)-kehitysympäristön tärkeimmät osat:
Windows XP
Apache Tomcat 5.x - j2ee-palvelin
Hibernate - olio/relaatiokanta-rajapinta joka tukee yleisimpiä tietokantoja
Intellij Idea 4.x - tästä ei IDE parane

...

vielä kun jaksaisi töiden jälkeen tehdä jotain kotona

[muokattu 3.5.2004 20:12]
vaavu

Posts: 1,324

#18 • • vaavu vara-vana

toni:
Helppoa asennusta kaipaaville voin suositella Red Hattiä. CD:t sisään ja puolen tunnin päästä kone on käyttövalmis.



Sitä paitsi toikin on vähän suhteellista. Mun ensimmäinen Linux-asennus ei mennyt ihan noin kivuttomasti. Kyseessä oli läppäri, johon yritin saada rinnakkain win2000:n kanssa redhatin 6.x -versiota. Se rinnakkaisuuden asentaminen meni vielä ilman että wintoosan master boot record olisi kärsinyt, tosin siihenkin piti hieman käyttää pähkäilyä. Kun asennus oli ohi, kävi ilmi, että ko. redhatin versio ei tukenut kaikkea rautaa mitä läppärissä oli. Olisi pitänyt ruveta etsimään erillisiä ajureita video- ja verkkokorteille ja kääntää ne sorsista asti - erityisen kivaa puuhaa kun sekä verkkoyhteys että graafinen käyttis olivat poissa pelistä.

Sen jälkeen kun redhatin versio 7.0 tuki kaikkea läppärin sisältämää rautaa suoraan, oli asennus kuin lastenleikkiä entiseen verrattuna.
toni

Posts: 912

#19 • • toni

vaavu:
Paitsi että Redhattia ei enää ole, vaan on Red Hat Enterprise ja Fedora. Red Hat Enterprise maksaa, joten vaihtoehto lienee silloin Fedora.



Oho. Oon ollut pimennossa...

Mutta kumpikohan sitten on kalliimpi Red Hat Enterprise vai Windows 2003 Server? ;)
Apo

Posts: 1,574

#20 • • Apo Asiallisen Profeetallinen Oppinut

GoA:
käyttiksen oma palomuuri on surkea. Onhan se vähän parantunut XP ajoista mutta siltikään en siihen luottaisi.



Puhutko nyt käytettävyydestä vai luotettavuudesta?