Fórum Root.cz

Hlavní témata => Server => Téma založeno: Aleš Krejčí 13. 10. 2010, 17:57:49

Název: Web server na desktopu a bezpečnost
Přispěvatel: Aleš Krejčí 13. 10. 2010, 17:57:49

Dobrý den,
 
chtěl bych provozovat na desktopu pokud bude zapnutý web.
Tedy php, mysql, apache. OS linux (ubuntu).

Pokud by se někomu povedl hack. Jsou ohrožena všechna data? Nebo pouze v adresářích které jsem určil pro webovkou prezentaci? (DocumentRoot /cokoli)

Děkuji  :)

Název: Re: Web server na desktopu a bezpečnost
Přispěvatel: Petr Krčmář 13. 10. 2010, 18:11:45

Pokud to poběží opravdu v jednom systému, tak je tu samozřejmě riziko, že při úspěšném napadení se útočník projde po celém systému. Nevím k čemu to bude sloužit, ale pokud to bude jen na nějaké občasné akce (což při běhu webserveru na desktopu předpokládám), tak bych použil virtualizaci. Dojde tak k naprostému oddělení systémů (pokud to tak bude nastaveno) a útočník může server uvnitř celý rozbít, ale do hostitele se nedostane.

Název: Re: Web server na desktopu a bezpečnost
Přispěvatel: Aleš Krejčí 13. 10. 2010, 18:18:13

(ano, jen na občasné akce)

S tou virtualizací mě to ani moc nenapadlo  :D Velice dobrý nápad, díky

Název: Re: Web server na desktopu a bezpečnost
Přispěvatel: Petr Krčmář 13. 10. 2010, 18:46:44

Výbornou výhodou navíc je, že do té virtualizace vůbec nemusíš dávat Ubuntu, ale klidně si tam dáš cokoliv od Debianu přes Gentoo až třeba po OpenBSD.

Název: Re: Web server na desktopu a bezpečnost
Přispěvatel: Aleš Krejčí 13. 10. 2010, 23:54:41

To je pravda. Pro mě budu asi nejlepší zvolit nějakou serverovou verzi, aby to mělo co nejmenší nároky na výkon  :)

A zřejmě nasadit XEN, popřípadě Virtualbox s kterým mám už trošku zkušenosti.

Název: Re: Web server na desktopu a bezpečnost
Přispěvatel: Woky 26. 10. 2010, 19:51:45

Ahoj,
   bezpecnosti bych se obaval zejmena asi u Apache, nicmene jeho chrootnuti do vlastniho jailu by mohlo byt dostacujici....
http://www.linux.com/archive/feed/36331

Taky by Ti mohlo pomoct tohle
http://www.seaoffire.net/fcgi-faq.html

Virtualizace je samozrejme take bezpecnou variantou, ale osobne nejsem moc jejim zastancem.

Stan

Název: Re: Web server na desktopu a bezpečnost
Přispěvatel: Aleš Krejčí 26. 10. 2010, 21:23:01

Díky, prostuduji   ;)

Název: Re: Web server na desktopu a bezpečnost
Přispěvatel: Petr Krčmář 26. 10. 2010, 22:08:16

Já bych chroot rozhodně nedoporučoval jako jediný bezpečnostní prvek. Pokud v něm uživatel (útočník) získá přes nějakou díru roota, tak se může mnoha různými způsoby dostat do zbytku systému. Samozřejmě rozšíření jádra jako SELinux nebo AppArmor umožňují výrazně chroot vylepšit, ale proti plnému oddělení ve virtualizaci je to pořád jen hračka.

Název: Re: Web server na desktopu a bezpečnost
Přispěvatel: PCnity 26. 10. 2010, 23:10:55

Pokial ide len o obcasny testing, VirtualBox... A nemas problem.

Název: Re: Web server na desktopu a bezpečnost
Přispěvatel: pepazdepa 27. 10. 2010, 08:47:16

Citace: Aleš Krejčí  13. 10. 2010, 17:57:49

Dobrý den,
 
chtěl bych provozovat na desktopu pokud bude zapnutý web.
Tedy php, mysql, apache. OS linux (ubuntu).

Pokud by se někomu povedl hack. Jsou ohrožena všechna data? Nebo pouze v adresářích které jsem určil pro webovkou prezentaci? (DocumentRoot /cokoli)

Děkuji  :)

autor hlavne nerekl, jestli to dava k mani celemu internetu nebo ne... pokud ne, tak si daemony nabinduj na localhost ;) pokud jen pro par lidi na internetu (tvy kamosi, kliosi), tak si to nabinduje na localhost a vyzaduj po nic napr. ssh socks tunnel nebo ssh port forwarding. pokud mas openbsd - man authpf ;)

Název: Re: Web server na desktopu a bezpečnost
Přispěvatel: Mordae 27. 10. 2010, 10:00:40

Presne jak rekl muj predrecnik. A pokud to potrebujes zdilet jen vramci par stroju, neni problem odfiltrovat jine pristupy pres netfilter (iptables + ip6tables).