Bezpečnosť Dockeru, KeePass a OSS obecne

[Miroslav Šilhavý]

1) povedzme ze neverim, ze je Tomcat (ktory bezi u mna na lokale/devel stanici) bezpecny.
2) vytvorim uzivatela ferko a nastavim iptables tak ako popisujem hore
3) ked spustim tomcat resp. catalina.sh (tusim tak sa ten script vola, nechce sa mi to hladat/overovat) pod userom ferko, tak mozem s tomcatom komunikovat z localhostu ale Tomcat ziadnu moju java classu neposle do sveta.

suhlas? za tomcat si mozno dosadit mysqld/svnserve/keepassx/python whatever......

Mám pocit, že si nerozumíme. Navrhované řešení řeší NOVÁ spojení ze serveru do světa. Nevyřeší se tím to, aby se zablokovaly přístupy zvenčí (to se zase řeší jinak, ale to jsme tu nediskutovali). Možná si pletete pojem "odeslat data" (nějaký script aktivně něco odešle) a "odpovědět na požadavek" (což je nejběžnější činnost, co dělá http server).

Každopádně, pokud jde o Tomcata, toho bych nikdy nespouštěl na přímo, ale vždy zřetězený až za reverzní proxy. Jako reverzní proxy může sloužit nginx, haproxy, apache. Na proxy pak můžete nejlépe ovládat kdo smí přistupovat k službě.

(Zbytek naší diskuse výše se týká situace "odeslat data").

[Reklama]

[luvar]

Pre "zabezpečenie" jednej aplikácie sa na linuxe dá použiť aj niečo ako firejail https://firejail.wordpress.com/ Osobne som párkrát použil, ale nepamätám si viac.

Moja osobná skúsenosť so SoapUI, čo ma kus prekvapila, bolo, že daná aplikácia vo free verzii robí pri odoslaní testovacieho http requestu, asi 3 requesty na google analitics... Zistil som to pri nahrávaní traficu cez http proxy korektne nastavené v aplikácii...

nápad: Pri dočasnom poriešení problému je možné požiť aj "ifconfig down eth0" prístup

PS: Doterajšie prístupy sa zameriavali na sieťovú bezpečnosť (a imho sú potrebné), ale treba myslieť i na to, že aplikácia vie vygenerovať napríklad aj html súbor, ktorý pri generovaní náhľadu inou aplikáciou môže spraviť traffic...

[kvas]

Mám pocit, že si nerozumíme. Navrhované řešení řeší NOVÁ spojení ze serveru do světa. Nevyřeší se tím to, aby se zablokovaly přístupy zvenčí (to se zase řeší jinak, ale to jsme tu nediskutovali). Možná si pletete pojem "odeslat data" (nějaký script aktivně něco odešle) a "odpovědět na požadavek" (což je nejběžnější činnost, co dělá http server).

Každopádně, pokud jde o Tomcata, toho bych nikdy nespouštěl na přímo, ale vždy zřetězený až za reverzní proxy. Jako reverzní proxy může sloužit nginx, haproxy, apache. Na proxy pak můžete nejlépe ovládat kdo smí přistupovat k službě.

(Zbytek naší diskuse výše se týká situace "odeslat data").

urcite si rozumieme. Ja tu neriesim pripad komunikcie "odpovode na pozadavek z venku". stale sa bavime o desktope a nie serveri, ktory je na internete. tam by samozrejme tomcat nebezal napriamo ale za apachom, kdezto na devel stanici na to nevidim dovod (ak odhliadnem od testovania) z pohladu bezpecnosti. ta "nebezpecna aplikacia" je bindovana iba na localhost, takze z vonku nedostupna.

[oss]

Vo vseobecnosti OSS nie je bezpecnjesie ako proprietarny softver.

Co sa taka webovych aplikacii tak odporucam sa zbavit interpretovanych zrudnosti a CGI skriptov.
Dany server odpoj od siete uplne, do infrastruktury si daj proxy, na ktorej povolis len konkretne endpointy a len vybrane programy (nie pouzivatelov) smeruj na danu proxy.

[Miroslav Šilhavý]

urcite si rozumieme. Ja tu neriesim pripad komunikcie "odpovode na pozadavek z venku". stale sa bavime o desktope a nie serveri, ktory je na internete. tam by samozrejme tomcat nebezal napriamo ale za apachom, kdezto na devel stanici na to nevidim dovod (ak odhliadnem od testovania) z pohladu bezpecnosti. ta "nebezpecna aplikacia" je bindovana iba na localhost, takze z vonku nedostupna.

Na devel stanici bych udělal něco hodně podobného.
1. Firewall output => reject (kvůli timeoutům je to vhodnější než drop)
2. Firewall output user=[můj pracovní účet] => accept (osobně bych preferoval i pro svého usera proxy)
3. Aplikaci povolit přístup ven jen přes (dopřednou) proxy (a toto bych měl i na produkci)

[Reklama]

[kvas]

Na devel stanici bych udělal něco hodně podobného.
1. Firewall output => reject (kvůli timeoutům je to vhodnější než drop)
2. Firewall output user=[můj pracovní účet] => accept (osobně bych preferoval i pro svého usera proxy)
3. Aplikaci povolit přístup ven jen přes (dopřednou) proxy (a toto bych měl i na produkci)

ano, to by asi bolo idealne ale priznam sa, ze takto dokladne to nakonfigurovane nemam. Ja sa vo vacsine pripadov spolieham na to, ze cely "standardny" Ubuntu desktop stack je "jakz-tak" bezpecny.

Ale k otazke zo zaciatku tohoto vlakna: tak trochu som predpokladal, ze to dopadne presne ako to dopadlo. Ani jeden clovek tu nenapisal, ze si preveril aspon jednu OSS aplikaciu a s kludnym svedomim moze spavat:) - jasne, ked je spravne nakonfigurovany firewall, riziko je blizke nule ale minimalne podla tohoto vlakna zistujem, ze pocit bezpecia z OSS (typu "musi to byt bezpecne, ved je to OSS a urcite sa niekto nasiel, kto ten kod overil") je len fatamorgana - aj ked pocet citatelov vlakna asi nebude dostatocna reprezentativna vzorka.

BTW: a co ked je bezpecnostna diera v spominanom firewalle? sme tam, kde sme boli - ale to nie je otazka do plena, len take odlahcenie od temy na zaver.

[Miroslav Šilhavý]

Ale k otazke zo zaciatku tohoto vlakna: tak trochu som predpokladal, ze to dopadne presne ako to dopadlo. Ani jeden clovek tu nenapisal, ze si preveril aspon jednu OSS aplikaciu a s kludnym svedomim moze spavat:) - jasne, ked je spravne nakonfigurovany firewall, riziko je blizke nule ale minimalne podla tohoto vlakna zistujem, ze pocit bezpecia z OSS (typu "musi to byt bezpecne, ved je to OSS a urcite sa niekto nasiel, kto ten kod overil") je len fatamorgana - aj ked pocet citatelov vlakna asi nebude dostatocna reprezentativna vzorka.

Fata morgana . Moje zjištění v této oblasti je, že existuje víc typů příznivců OSS. Jedni mají na OSS střízlivý náhled. Chápou jeho výhody a vidí i nevýhody. Ti dost často sahají i ke komerčním produktům, protože si spočítají, že někde se vyplatí víc. Pak jsou druzí, kteří v komerčním SW vidí zkázu lidstva a raději budou vždy podporovat OSS před ním. Takový přístup je taky v pořádku, jen někdy mi vadí, že mám pocit, že to platí někdo jiný - např. zaměstnavatel. A třetí skupina jsou laikové, či začátečníci, kteří se čistě pocitově přikloní k OSS - neb jeho ideje vypadají v magazínech vzletně. Do toho se přidávají další dva fenomény: zkratkovité rozhodnutí "je to zdarma" = "je to levnější" a taky to, že o komerčním SW se tolik nepíše (není proč o něm psát a nebudí takové kontroverze).

Moje zkušenost je, že když spočítáte TCO u komečního SW a u OSS, tak velmi často vyjde líp komerční SW. Výjimek není mnoho, ale existují. Např. Apache web server, Nginx, Tomcat, některé distribuce Linuxu a FreeBSD, které jsou už tak masově používané, že jejich správa a zabezpečení je reálná relativně levně. (Najde se jich samozřejmě víc, to jen pro příklad).

Docker je kapitola sama pro sebe. Je to koncept, který od počátku popřel po dekády budovaný bezpečnostní koncept. Distribuce intenzivně řeší bezpečnost, (zmíněné) projekty taky. A pak přijde nějaký jouda, zabalí to do kontejneru a masy to začnou používat v produkci. Když přijde na otázku bezpečnosti, tak se většinou neřeší, protože se zjistí, že veškerá výhoda Dockeru je fuč, pokud se má udržovat aktuální a bezpečný.

A děravý firewall? Nojo, to se samozřejmě děje, dokonce některé "díry" jsou by design, např. při použití NATU a aplikačních helperů. Vysvětlujte ale lidem, že (jeden) firewall != bezpečnostní řešení.

[oss]

Na devel stanici bych udělal něco hodně podobného.
1. Firewall output => reject (kvůli timeoutům je to vhodnější než drop)
2. Firewall output user=[můj pracovní účet] => accept (osobně bych preferoval i pro svého usera proxy)
3. Aplikaci povolit přístup ven jen přes (dopřednou) proxy (a toto bych měl i na produkci)

ano, to by asi bolo idealne ale priznam sa, ze takto dokladne to nakonfigurovane nemam. Ja sa vo vacsine pripadov spolieham na to, ze cely "standardny" Ubuntu desktop stack je "jakz-tak" bezpecny.

Ale k otazke zo zaciatku tohoto vlakna: tak trochu som predpokladal, ze to dopadne presne ako to dopadlo. Ani jeden clovek tu nenapisal, ze si preveril aspon jednu OSS aplikaciu a s kludnym svedomim moze spavat:) - jasne, ked je spravne nakonfigurovany firewall, riziko je blizke nule ale minimalne podla tohoto vlakna zistujem, ze pocit bezpecia z OSS (typu "musi to byt bezpecne, ved je to OSS a urcite sa niekto nasiel, kto ten kod overil") je len fatamorgana - aj ked pocet citatelov vlakna asi nebude dostatocna reprezentativna vzorka.

BTW: a co ked je bezpecnostna diera v spominanom firewalle? sme tam, kde sme boli - ale to nie je otazka do plena, len take odlahcenie od temy na zaver.

Samozrejme, ze bezpecnost OSS takmer nik neriesi, kazdy sa spolieha na to, ze to uz vyriesil niekto iny. Predsa je to otvorene.