Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 72
>>всего лишь около 1 дня
Согласитесь, день это не так уж и мало…
А вообще интересно, но часто провайдер сам по себе (да, знаю что за ОС, какой PHP и прочее, но о фаирволлах обычно не уведомляют)
Согласитесь, день это не так уж и мало…
А вообще интересно, но часто провайдер сам по себе (да, знаю что за ОС, какой PHP и прочее, но о фаирволлах обычно не уведомляют)
«фаервол» по-русски правильно пишется «брандмауэр»
Не нравиться мне это название. Поменял на firewall.
«брандмауэр» это не по-русски, а по-немецки, сударь.
По-русски — «межсетевой экран»
По-русски — «межсетевой экран»
Самое главное — это чтобы все поняли
Это точно, а еще, чтобы не резало слух. Файрвол — вполне себе прижившееся слово, хоть и неофициальное, потому придираться к его использованию мягко говоря нехорошо, я считаю
Почти десяток вариантов написания — это не «прижившееся слово», ты вчитайся — вы с автором о разном говорите. Как не придраться к терминологии, есть в статье «виновник торжества» ни разу не упоминался ни в оригинальном написании, ни в словарном варианте перевода. Как вообще кто-то потом сможет найти статью? Жаргонизмы хороши в меру, и когда они однозначны.
Терминология это все таки важно. Тут нежно все намекают, что если ошибку в одной букве google пропустит, то вот как вы найдете по «брандмауэр» эту статью — большой вопрос.
Кхм, правда уже нет, мы его уже раза три употребили: ) Ребята, просто пишите в комментариях альтернативные названия для поисковиков: )
Кхм, правда уже нет, мы его уже раза три употребили: ) Ребята, просто пишите в комментариях альтернативные названия для поисковиков: )
Это противопожарная стена.
ага, но тогда топик «зачем нужна противопожарная стена в веб-проектах» должен быть про что-нибудь типа обустройства серверной или датацентра )
Скорее наоборот — это огненная стена. :)
fire — огонь, wall — стена и никаких «противо» тут нет. Просто «стена огня» или «огненная стена».
fire — огонь, wall — стена и никаких «противо» тут нет. Просто «стена огня» или «огненная стена».
Он про брандмауер
firewall переводится на русский как брандмауер
lingvo.yandex.ru/en?text=firewall&st_translate=on
lingvo.yandex.ru/en?text=firewall&st_translate=on
садись, два — пишется через «э»
как бы его ни ругали, копипаст — великая вещь!
как бы его ни ругали, копипаст — великая вещь!
это не меняет того факта что слово «брандмауэр» немецкого происхождения. ну забрело оно из забугорья, к нему привыкли и вписали его в словарь как «заимствованное» слово. что с того? пройдет несколько лет и то же произойдет со словом «фаервол» и очень надеюсь с другими словами вроде «роутир», «свитч» и т.д. очень раздражает назойлевая потуга «переводить» терминологию «русскими» словами, которые на самом деле нефига не русские: один из примеров роутир — маршрутизатор, последнее производное от слова маршрут, которое заимствовано опять же у немцев — Marschroute.
вобщем в этом плане «граммар-наци» не в ту степь воят.
вобщем в этом плане «граммар-наци» не в ту степь воят.
Я вдруг понял, что меня ностальгически замучало при прочтении этого коммента. Аллоды. Заклинание огненная стена:)) Ээээх, детство…
обычно такие сочетания слов означают что-то вроде «стена ОТ огня». Перевод «в лоб» не канает…
немцы кириллицей обычно не пишут, не находите? ;-)
Похоже большинство так не считают.
habrahabr.ru/blogs/infosecurity/69446/
habrahabr.ru/blogs/infosecurity/69446/
>Делал это я для того, чтобы что-то сломать
Опечатка? :)
Опечатка? :)
Кроме фаервола, такие вещи как апач, мемкеш, БД и другое, что используется только с одного сервера, стоит просто биндить либо на 127.0.0.1 либо на локальный сокет.
Многие хостеры также предоставляют локалку (vlan-изированную) на свободной сетевой карте (в серверах часто их две. Одна, таким образом, смотрит наружу, вторая — внутрь). Т.е. если нужен memcached больше чем на одном сервере, он вешается только на внутреннюю сеть.
Всё дело в волшебных пузырьках в директиве listen, фаервол тут не при чём.
Всё дело в волшебных пузырьках в директиве listen, фаервол тут не при чём.
Взял себе ВДС, настроил слегка фаервол. Через день глянул логи — 200-300 попыток соединится к smtp в час! И это на новом ИП. После этого закрыл на все доступ из вне кроме своего статик ИП и сплю спокойно :)
Есть такая штука, fail2ban называется. И спасает от попыток брутфорса, и от ДДоСа, и от того, что поменяв свой статический адрес, невозможно будет админить сервак.
Я замечал, что некоторые почтовые сервера пытаются при получении письма соединиться с отправляющим хостом, и если там нет smtp — отказываются принимать письмо.
Некоторые админы вместо фаервола вешают все на нестандартные порты
Некоторые хакеры, которым нужно сломать конкретный хост, не леняться просканировать все порты и проверить ответы по ним…
некоторые хакеры и попробовать сбрутфорсить knockd не поленятся.
простите, но сколько времени необходимо на перебор knock последовательности хотя бы из 3 портов?
65535 ^ 3 = 281462092005375 вариантов.
при условии, что на сканирование хоста с drop правилом по умолчанию может уходить в среднем 2-3 минуты.
итого: ~1071012526 лет на перебор всех возможных вариантов упомянутой выше knock последовательности.
65535 ^ 3 = 281462092005375 вариантов.
при условии, что на сканирование хоста с drop правилом по умолчанию может уходить в среднем 2-3 минуты.
итого: ~1071012526 лет на перебор всех возможных вариантов упомянутой выше knock последовательности.
Это спасёт от скрпит кидди, возрастом до 13 лет.
Кто минуснул видимо считает что таких админов нет в природе.
Это только верхушка айсберга. Я занимаюсь профессиональной защитой серверов и могу сказать, что программисту лучше тратить время на написание программ, а сисадмину — на настройку сервера.
Каждому свое.
Каждому свое.
Понятно, что эта сфера требует более глубого изучения и полностью согласен с тем, что каждый должен заниматься своим делом, но можно для себя написать 1 скрипт настройки firewall и использовать его на всех проектах.
Вы тоже считаете что «закрывать порты» надо на тех серверах, на которых ничего лишнего не слушает внешний адрес? ) Или все-таки согласитесь, что при настройке этого сервера «квалифицированным админом FreeBSD» были допущены и другие ошибки?
А ещё не надо вешать внутренние сервисы на внешний ip, memcached, apache — всё должно быть на 127.0.0.1 (или интерфейсе внутренней сети).
Меня, кстати, удивил дефолтный конфиг memcached в последнем дебиане. Там он зачем-то слушает все интерфейсы. И если вовремя это не заметить — ты попался.
«Обычно apache перевешивают на порт 8080.»
нет, не «обычно». хотя бы потому что если кому то больное воображение подсказало свешать десяток вебсерверов на один сервер, то хотя бы вешать их на лупбак, а не на все интерфейсы подряд. и никаких фаерволов не надо.
скажу больше, правильно сконфигурированый апач со всем справился бы сам и не было надобности ни в nginx'е ни в фаерволе.
наглядный пример когда «мозг» важнее софта. «крутой одмин» это вовсе не тот кто может высрать рекордный по количеству буков конфиг. :(
нет, не «обычно». хотя бы потому что если кому то больное воображение подсказало свешать десяток вебсерверов на один сервер, то хотя бы вешать их на лупбак, а не на все интерфейсы подряд. и никаких фаерволов не надо.
скажу больше, правильно сконфигурированый апач со всем справился бы сам и не было надобности ни в nginx'е ни в фаерволе.
наглядный пример когда «мозг» важнее софта. «крутой одмин» это вовсе не тот кто может высрать рекордный по количеству буков конфиг. :(
Смелое утверждение.
Видимо, что мы на своих проектах (где сервера с nginx и 200.000 коннектов держат), и яндексы с рамблерами и прочими — просто не умеем настраивать apache :D
Видимо, что мы на своих проектах (где сервера с nginx и 200.000 коннектов держат), и яндексы с рамблерами и прочими — просто не умеем настраивать apache :D
а причем здесь ваши коннекты и яндыксы? я про это ничего не говорил. речь о том что фаерволлы в контексте топика совсем не причем и уж тем более целый день для их настроек. что решает голова, а не количество используемого софта. а вы увидели в тексте «не было надобности в nginx'е» и завели заученную шарманку.
к слову, о шарманках, нет ничего глуппее apache'а, как баккенда для nginx'а, и уж тем более все это на одном хосте. :(
к слову, о шарманках, нет ничего глуппее apache'а, как баккенда для nginx'а, и уж тем более все это на одном хосте. :(
Полсотни комментариев и никого уже не смущает «безопасТность».
Автор> Я понимаю, что это было «удачное» стечение обстоятельств, но просто закрытие портов уже бы помогло.
Не обязательно firewall'ом. У memcached должны быть свои средства запрета общения с чужими IP или просто возможность биндиться только к локальным интерфейсам. Т.е. если прикладной сервер сам по себе настроен правильно, то ставить «сверху» firewall — это только зря нагружать машину (и добавлять ей глюков).
Не обязательно firewall'ом. У memcached должны быть свои средства запрета общения с чужими IP или просто возможность биндиться только к локальным интерфейсам. Т.е. если прикладной сервер сам по себе настроен правильно, то ставить «сверху» firewall — это только зря нагружать машину (и добавлять ей глюков).
одна из моих личных Best practice — если машина стоит более чем в метре от вашего раб. места, то файрволл лучше настроить заранее, чтобы потом не пришлось удаленно что-то настраивать рискуя обрубить себе возможность удаленного доступа :)
Даже если кажется, что файрволл не нужен на начальном этапе — он может понадобится в любой момент, а при ПЕРЕнастройке отследить ошибку проще, чем при начальной конфигурации.
Даже если кажется, что файрволл не нужен на начальном этапе — он может понадобится в любой момент, а при ПЕРЕнастройке отследить ошибку проще, чем при начальной конфигурации.
Моё мнение такое: лучше на любую машину сразу настраивать firewall по принципу что не разрешено, то запрещено. Если экспериментируете, то можно в крон добавить команду iptables -F, или в начало правил вставить полный доступ с вашего ip.
В первый раз придётся самому писать или собирать из различных источников все правила, а уже потом пользоваться своей «болванкой».
В первый раз придётся самому писать или собирать из различных источников все правила, а уже потом пользоваться своей «болванкой».
а в mysql на 3306 ты не тыкался?
Там должно быть еще интересней :)
А вообще о безопасности должны знать и помнить все, а заниматься отдельные люди…
Там должно быть еще интересней :)
А вообще о безопасности должны знать и помнить все, а заниматься отдельные люди…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Зачем нужен firewall на веб-проектах