Безопасность серверов веб-приложений
ฝัง
- เผยแพร่เมื่อ 13 ก.ย. 2021
- Надежный хостинг FirstVDS! Переходи по ссылке и получай скидку 25% на первый месяц на любой тариф firstvds.ru/s/k15sd
Интенрен это всемирная сеть объединяющая множество машин. Что бы в этом вашем интернете клиент или потребитель контента получил доступ к вашей информации необходим веб-сервер. А так как с популяризацией интернета появились нехорошие люди который по каким-то причинам всем вредят нам необходимо думать о таком понятии как Безопасность web-серверов. Я расскажу основы о которых должны задумываться DevOps инженеры, системные администраторы и даже программисты.
ДОПОЛНИТЕЛЬНЫЕ МАТЕРИАЛЫ
Для большей безопасности вашего приложения настройти https • HTTPS + NGINX + DOCKER...
Позаботьтесь чтобы браузер пользователя не запрашивал данные с недоверяных вашему сайту доменов с помощью CORS • Что такое CORS и зачем...
Если не знаете как обновляться то посмотрите это видео • Как правильно обновлять?
Не забывайте о бэкапах • Backup. Резервное копи...
ХОТИТЕ ПОМОЧЬ РАЗВИТИЮ КАНАЛА?
★ BITCOIN: 3DkeRMFu4jsZCvRj8Bxn8iQCkgxfeVaxg8
★ Boosty (подписка донаты) boosty.to/pavlenkoat
★ Яндекс.Деньги: money.yandex.ru/to/4100124083...
★ www.donationalerts.com/r/pavl...
★ www.tinkoff.ru/rm/pavlenko.an...
КОНТАКТЫ:
✦ Канал в TELEGRAM: t.me/worlditech (worlditech)
✦ Чат в TELEGRAM: t.me/linux_witпростых примерах
✦ Группа в VK: worlditech
✦ INSTAGRAM: / pavlenko.at
✦ DISCORD: / discord
Еще контакты:
✧ t.me/pavlenko_at
✧ atpavlenko
✧ / anton.pavlenko.94 - วิทยาศาสตร์และเทคโนโลยี
Скорейшего вам выздоровления!
Круто, за попытку систематизации подходов к защите - лайк!
Отличное видео!)) Выздоравливай, дружище)))
Углубляйся во все места, всё интересно. Выздоравливай.
Очень интересно, спасибо за видео. Можно рассмотреть информацию про защиту микротов. Там сейчас экий, некий ботнет на 200к устройств. Что нибудь про firewall и ip tables.
Лайк сразу не глядя!
Антон спасибо за видео. я бы послушал бы курс по безопасности с примерами от Антона Павленко, думаю эта тема была бы интересна многим
Хорошее видео, земляк! Привет из Нальчика.
Привет. Надеюсь в феврале посещу Нальчик
когда Вы рассказывали о том, что в прошлом можно было зайти через открытый порт и положить в него самый простой скрипт - было бы очень наглядно показать эту уязвимость на примере какой нибудь ОС постарее(поуязвимее) через Виртуальную машину. Хотя позже, под конец ролика об этом рассказали на пальцах. Наверное лучше не демонстрировать такой навык, подливая таким образом топлива в огонь нехороший людей. Спасибо за опыт.
ютуб налагает свои санкции на подобные видео
Вот вроде и тема интересная, а что конкретно по ней хотелось бы узнать - хз.
Наверное то, как следует следить за системой или каким образом она должна уведомлять о проблемах. Ведь часто так бывает что какая-то программа где-то в фоне ругается, матюки в логи пишет, а пользователь/администратор этого просто не замечает, пока всё не рухнет.
Кстати, когда-то давно я определил наличие вируса по периодически загорающемуся светодиоду на флоповоде))
Интересно про вебшелл, повышение привилегий, рейнбоу тейблз, анализ/аудит ОС на наличие эксплойтов, подмененных бинарников. С примерами бы.
Кстати интересно про аудит линукса на наличие заражения системы, кроме пожилого rkhunter даже что-то ничего и не вспоминается.
Спасибо
Антон привет. В своей компании продаем сервис WAF на основе реверс прокси. Под капотом nginx. Принцип работы нода балансировки - нода фильтрации трафика и соответственно работает по написанным правилам nginx. Написал чисто для идеи. Может будет интересно.
Даёшь углубление! Думаю, ещё стоило сказать о поисковиках, которые парсят сайты. Они ,зачастую, залезают туда куда не нужно,после чего внутреннее устройство сайта сможет увидеть каждый.
Да вот узнал, что за углубление могут забанить
@@pavlenkoat (((
@@pavlenkoat А я то голову ломаю, почему не могу найти нужной информации, не могли бы подсказать, где почитать, или посмотреть про то, как настроить localhost, что бы обезопасить компьютер от незваных гостей?
хотелось бы псомотреть видео по Nginx hardening (наверное лучше будет отдельно по антиддос, отдельно по хайлоаду ? )
Поддерживаю, интересно про ддос и средства защиты (кроме как cloudflare)
За самоотверженность при съемке видео с больным горлом - жирный лайк и коммент.
Спасибо большое. Так как сегодня уехал с дочкой на соревновения я в этот день снимал 2 видео с больным горлом. Это было ппц)))
CIS Benchmark как для самой ОС, так и для вэбсервиса, поможет улучшить безопасность вашего сервера. Читаем, думаем, выполняем рекомендации.
SQL injection, загрузка файлов должна проверять mime type, в основном через загрузку картинок, или через SQL вытаскивается пароль админа. А потом брутится, если захеширован
Безопасность - это миф. Про каждого из нас знают всё. Все контакты, все видео, что ты смотрел, все ссылки, по которым ты заходил, все комментарии что ты писал, все товары, которые ты покупал.
все знаю всё кроме тебя
Давайте рассмотрим правильные права директорий в которых запущено PHP приложение под Nginx и плагин Web Security от OWASP для Nginx. Так же вы не сказали что самое важное это сбор логов с веб серверов, тоже интересный вопрос, когда у тебя 10+ сайтов
Вот с одной стороны, мой домашний сервак находится за NAT и 22-й порт на него не проброшен. С другой - я не уверен что прошивка дешманского роутера будет сильно сопротивляться попаданию чьих-то шаловливых ручек в мою внутреннюю сеть...
А если порт будет открыт без дела, то это будет уязвимостью или нет? Ведь взламывается не сам порт, а служба стоящая за ним….
А ты сам SponsorBlock на видео настраиваешь? Работает как часы на всех твоих видео.
Поддерживаю. Максимально все закрыть. Если есть тестовые среды, убрать их из общедоступных сетей. Пусть будут доступны в vpn. Не забывать выключить режим debug для серверов.
тема весьма интересная, и от вас, как эксперта в devops, очень хотелось бы дальше ее исследовать. Как закрываются порты, как настроить лимиты и пр. Или, например, как использовать разные конфиги php для клиентского сайта и для админки, без разнесения их на отдельные серверы, на одном сервере
Вот типичный осмысленный комментарий не менее чем из шести слов)
Ну и закончим КОНЦОМ. 😁
Не согласен про порт 22. Вообще никогда его не открывайте. Если нужен ssh (а он обычно нужен) просто сконфигурьте его на свободный порт. Например 6622.
Это не спасёт. Просканировать весь диапазон портов и узнать протокол это не сложно
И Fail2Ban к нему в комплекте
@@pavlenkoat да, но есть много сканеров которые смотрят целые диапазоны адресов, обычно они сканят до сотки самых ходовых портов. Порты 22 и 5900-5905 всегда в первую очередь сканят. И если вы не закрыли фаерволом от всех кроме вайтлиста вас будут брутить постоянно по дефолту сотни непонятных ботнетов)
Можете протестить, просто откройте порт 22 и соберите лог за сутки. А потом перекиньте ссш на порт 5522 например и тоже соберите лог. И сравните
Это спасёт от армии китайских ботов, которые сканируют конкретно 22й порт.
Используйте порткнок.
@@user-mw4ep2tp7j фейл2бан и фаервола хватает. Я предпочитаю сменить порт ссш и авторизацию по ключу со своей VPN открывать, а на 22 вешаю ханипотик свой, который использовать китайские боты брутить мне в моих интересах 😅
Опять комментарии пропадают. Пытаешься дописать, развернуть, а он исчезает.
Хостер с рекламы может и хороший, но юзать старый ISP - просто вырви глаз
Первый!
актуалочка
Как огурчик!
Водка 🧽🧽🧽😂😂
Права на файлы. Запрет исполнять файлы если они попали из вне, а не через амдинку хостинга.
Так об этом в видео сказанл
@@pavlenkoat Я не в плане через форму загрузили файл. Чтобы вообще закрыть исполнение файлов.
Ну, т.е. взламывать это всегда плохо? Вот было бы счастье(нет) жить в мире, где никто ничего не взламывает и все целуются при встрече.
когда нет технически примеров и автор просто говорит, я ставлю на громкое и занимаюсь параллельно (смысл смотреть на лицо?) а видео тихое для этого, поэтому смотрю данный канал редко
попробуй расширение Sound Booster
@@feeler.2k в смысле скачиваю и смотрю видео в авто, за городом где нет инета, скачиваю все на автомате как типо музыку в авто и если какоето видео тихо я думаю прослушать когда получится потом, но потом тупо стираю и записываю новые
@@luisvelasco2392 ну тогда включай через VLC и там меняй скорость. Если прям через магнитолу, ну тогда кайфуй просто. :)
Видео было бы более информативное при наличии живых примеров. Для джунов нужно больше пояснений, для мидла - вода водой.
Мидл отключи виебони
@@yevhenbaidiuk8695 sudo systemctl stop viebonyd
Шаловливые ручки😂😂😂😂😂
В конце весны перестал смотреть видео и отписался, выскочило это видео решил глянуть, ну в общем я всё правильно сделал, всё так же "провинциально" . про мою токсичность можете не писать я все знаю заранее...
Удачного дня.