Zabezpieczeniaserwerów internetowych JakubTomaszewski ZespółBezpieczeństwa PoznańskieCentrumSuperkomputerowo Sieciowe
PCSS PoznańskieCentrum Superkomputerowo Sieciowe: 15lat OperatorsieciPIONIER(siećdla edukacjiinauki)orazpozman Uczestnikprojektównaukowo badawczych Główneobszaryzainteresowań Gridy,siecinowejgeneracji, portale Bezpieczeństwosiecii systemów http://www.pcss.pl
ZespółBezpieczeństwaPCSS Dedykowany zespół istnieje od 1996r. Podstawowy zakres prac Zespołu Zabezpieczanie infrastruktury PCSS Zadania bezpieczeństwa w projektach naukowo badawczych Szkolenia i transfer wiedzy Badania własne Audyty i doradztwo w zakresie bezpieczeństwa IT Niektóre badania z ostatnich lat Raport o bezpieczeństwie bankowości elektronicznej (2006) Bezpieczeństwo serwerów WWW Apache i MS IIS (2007) Bezpieczeństwo sklepów internetowych (2008) http://security.psnc.pl
Planprezentacji Modelserwera, Kimjestagresor? System, Serwerwww, Interpreter, Podsumowanie
ModelSerweraLAMP Linux Apache MySQL PHP
Budowasystemu Aplikacja Apache PHP SO MySQL
Agresor analizamożliwości Osoba,którawykupujehostingnanaszymserwerze, Ma pełną dowolnośćumieszczaniakodunaswojejstronie, Jegocele:inneserwisylubsamserwer, Agresornieświadomy(?),
System LinuxSecurityforBeginners http://www.linuxtopia.org/linuxsecurity/index.html LinuxAdministrator'sSecurityGuide http://www.linuxtopia.org/online_books/linux_administrators_security_guide/index.html LinuxSecurityHOWTO http://www.linuxtopia.org/linux_security_howto/index.html RedHatLinuxEnterprise4SecurityGuide http://www.linuxtopia.org/online_books/redhat_linux_security_guide/ SecuringDebianManual http://www.debian.org/doc/manuals/securing debian howto SlackwareLinuxEssentials Security http://www.slackbook.org/html/security.html SuSELinuxEnterpriseServer http://ltp.sourceforge.net/docs/sles security guide.pdf UbuntuSecurity http://ubuntuforums.org/showthread.php?t=510812
Apache wyciekinformacji
Apache szukamyi... Apache2.2.8mod_sslVulnerability, Apache2.2.8mod_proxy_ftpglobbingXSS Apache2.2.8mod_proxy_balancerCSRF Apache2.2.8mod_proxy_httpDoS
Apache obrona Zmianawplikukonfiguracyjnymapache ErrorDocument404.errors/my_error_page404.htm Aktualizacjawersjioprogramowania(!)
PHP phpinfo()
PHP teżmożemyposzukać... PHP4.4.8MultipleBufferOverflowVulnerabilities PHP4.4.7/5.2.3MySQL/MySQLiSafeModeBypassVulnerability
PHP phpinfo() obrona disable_functions=phpinfo
PHP c99.txt,r57.txt
PHP obrona disable_functions=exec,fopen,popen,passthru,readfile,file,system Ograniczenieprawdostępuużytkownika, Amożemaszynavirtualna?
PHP informacjeobłędach
PHP obrona Zmianawplikuphp.ini: display_errors=off log_errors=on error_log=/var/log/php/error.log
PHP listowaniekatalogów
PHP obrona Zmianawplikuhttpd.conf: Options Indexes Definiowanieplikugłównego: DirectoryIndexindex.php
PHP niedozwoloneścieżki Acojeślimogęwywołaćtotak: http://www.jakisadresserwera.pl/index.php?v=list&p=/../../ katalog_innego_usera/plik_konfiguracyjny_innego_usera
PHP niedozwoloneścieżki Albotak: http://www.jakisadresserwera.pl/index.php? v=list&p=../../../../../../../../../../etc/passwd
Obronatrochędokładniej(1) PHPSafeMode(php.ini): safe_modeon Kataloggłównyaplikacji(php.ini) open_basedir=/home/www/htdocs/any_dir Kataloggłównyaplikacji(httpd.conf) <Directory"./htdocs/any_dir"> php_admin_valueopen_basedir"./htdocs/any_dir" </Directory>
Obronatrochędokładniej(2) Wyłączenieniebezpiecznychfunkcji(php.ini): disable_functions=phpinfo Wyświetlaniebłędów(php.ini) display_errors=off Wyciekinformacji(php.ini) expose_php=off
Obronatrochędokładniej(3) Ograniczaniedostępu(httpd.conf): <Directory"./Apache/Apache2/htdocs"> OrderAllow,Deny Allowfrom192.168.1.0/24 Denyfromall </Directory> Sygnaturaserwera(httpd.conf) ServerSignatureOff
Obronatrochędokładniej(4) Wyłączenieniebezpiecznychskryptów(httpd.conf): CGI(CommonGatewayInterface) SSI(ServerSideIncludes) Ukrywanie.htaccess(httpd.conf) <Files.htaccess> orderallow,deny denyfromall </Files>
Jaksiębronić? Atakowaćswojąstronęmożliwieczęsto=D Skanery:nikto,wikto,AppScan,... Firewallewartstwy7i8, Czytać,słuchać,AKTUALIZOWAĆ, CzytaćLOGI, Wykonywaćaudyty,
Informacjekontaktowe Autorprezentacji bluerose@man.poznan.pl PCSS http://www.pcss.pl http://www.man.poznan.pl ZespółBezpieczeństwaPCSS http://security.psnc.pl security@man.poznan.pl
Pytaniaidyskusja,propozycje??! Dziękujęzauwagę!