| |
|
|
mình đang tiến hành biên dịch apache chạy trên centos, đến phần mod thì thấy có nhiều mod không biết công dụng là gì, nên mạo muội hỏi các bạn công dụng có nó. vì mình theo hướng càng ít mod càng dễ bảo mật.
Code:
mod_negotiation
mod_include
mod_env
mod_imagemap
mod_action
mod_asis
mod_dav
mod_cern_meta
mod_deflate
mod_ldap
mod_logio
mod_isapi
mod_so
mod_speling
mod_unique-id
mod_usertrack
mod_vhost-alias
các mod trên mình đọc tài liệu tiếng anh rồi, nhưng vẫn ko hiểu là nó dùng làm gì. nhờ các bạn giúp đỡ
webserver của mình dùng php và chạy thêm cả ssl nữa nên nhờ các bạn giúp đỡ là các mod nào cần thiết tối thiểu để chạy dc . càng ít càng tốt, ưu tiên bảo mật
|
 |
|
|
myquartz wrote:
Cách mà khang0001 hỏi về việc bảo vệ cho 1 web server (hoặc quy chung là 1 hệ thống server trương mặt ra Internet), phòng khi nó có lỗi bảo mật (tiềm ẩn) nhưng chưa kịp vá hoặc bên cung cấp chưa kịp/chưa biết để cung cấp bản vá. 1 loại trong các lỗi kiểu như thế người ta thường gọi là zero day vulnerabilities http://en.wikipedia.org/wiki/Zero-day_attack) và nó rất nguy hiểm.
Có nhiều cách chống/giảm tác hại của tình huống này. Tuy nhiên phải phối hợp nhiều biện pháp may ra mới bớt được và việc này tốn kém (tiền của + công sức), không dễ dàng lắm và phải làm liên tục.
Sau đây là mấy gợi ý cho trường hợp của bạn:
1. Về con người: dùng sản phẩm nào thì phải theo dõi nó thường xuyên thông tin lỗi về nó từ nhà sản xuất và các diễn đàn/trang tin tức bảo mật liên quan. Khi có bug được báo cáo nhưng chưa kịp vá, thường thì sẽ có chuyên gia đưa ra vài khuyến nghị để có thể tạm tắt, tạm sửa hoặc cách nào đó để vô hiệu hoá, chờ cho đến khi bản vá phát hành. Web chạy PHP thì khá dễ dàng để vá 1 lỗi bảo mật nào đó. Cái này hạn chế lỗi không phải là zero-day, nhưng với mã nguồn mở + sản phẩm rất phổ biến thì zero-day bug sống thường rất ngắn ngủi, ta hi vọng nó ko rơi rủi ro vào ta.
2. Về hệ thống máy chủ + phần mềm: nên tuân theo các hướng dẫn "hardening" hệ thống, làm triệt để (có nhiều hướng dẫn trên HVA lắm), hoặc lựa chọn các hệ thống nền tảng có khả năng an toàn và phù hợp hơn (Linux thay vì Win). Cái này để giảm rủi ro dù PHP có bị lỗi ở source thì tác hại cũng nhỏ, chỉ ảnh hưởng 1 chút chứ ko lây nhiễm toàn hệ thống. Ngoài việc hardenning với php.ini (rất nhiều hướng dẫn trên HVA), thì web server, OS cũng cần quan tâm. Với Win thì tớ ít thấy có cách nào bảo vệ tốt để chạy PHP, nhưng với Linux + Apache thì kha khá nhiều tài liệu có thể tìm thấy trên Internet. Ví dụ áp dụng SELinux, áp quyền directory/file nghiêm ngặt, áp dụng suexec cho cái phần web PHP + chạy php_cgi thay vì chạy mod... Hi sinh vài thứ để đạt được độ bảo mật cao hơn.
3. Về bảo vệ vòng ngoài (mạng): Firewall nó ít tác dụng vì nó hoạt động ở lớp 3,4. Cái bảo vệ vòng ngoài duy nhất giúp ích được ít nhiều trong trường hợp này là cái IPS (tất nhiên phải mua quyền cập nhật rule cho thiết bị). Đa số các nhà cung cấp IPS thường làm ra rất sớm rule nhận diện và chặn nguy cơ bảo mật dựa trên dấu hiệu tấn công của lỗi, khi mà bản vá lỗi đó còn chưa kịp phát hành. Tất nhiên là hên xui thôi, không phải lúc nào họ cũng nhanh hơn. Nhưng có thì tốt hơn, giảm rủi ro. Điều đáng buồn là chi phí IPS + update thường ko rẻ lắm so với 2 cách trên và chỉ là phương pháp bổ trợ cho 2 cách trên. Nếu chỉ dựa vào IPS thì có ngày ko chết bởi lỗi chưa có bản vá mà sẽ chết bởi lỗi đã có bản vá từ lâu rồi mà chủ server ko thèm áp dụng, IPS lại thiếu sót, hệ thống ko được harden...
4. Các biện pháp khác giảm thiệt hại (sau khi sự việc xảy ra): backup hàng ngày, theo dõi thường xuyên hoạt động hệ thống và log file phát hiện bất thường, vá bản vá nhanh nhất có thể (cho tất cả các thứ liên quan)...
Hi vọng nó không quá rối rắm. Lưu ý nó sẽ ko đảm bảo tuyệt đối 100%, nó chỉ giảm rủi ro đi thôi. Hãy luôn nghĩ đến giải pháp dự phòng (backup/restore) và có sự đầu tư con người, tiền của ... mới mong nó ít tác hại. Một số anh em làm bảo mật ăn tiền (lương) cao nhờ mấy cái công việc phòng chống cái lỗi tiềm ẩn trên đấy, ví dụ mấy tay bảo mật ngân hàng đấy, vì lỗi tiềm ẩn là không thể tránh khỏi và nếu xảy ra tác hại quá lớn nên ngân hàng thường bỏ nhiều tiền chỉ để làm giảm rủi ro.
Nếu chỗ bạn việc chết web 1 vài ngày ko thành vấn đề thì có thể ... bỏ qua. Nếu bạn chỉ muốn học cách, thì cứ tiếp tục ... đào xới kỹ thuật thêm 1 số năm nữa, cỡ chừng anh conmale thì may ra tự tin (cao thủ như anh conmale cũng có lần xảy chân nữa là, nên ko có gì là tuyệt đối cả nhé).
P/s: có thể bỏ qua các post của aod vì nó ít giá trị kiến thức.
thanks cậu nhiều vì đã cho mình 1 từ khoá quan trọng là lỗi ngày zero. mình sẽ tìm hiểu thêm. website của bên mình thì đặc trưng là phải online 24/24. là mục tiêu của các hacker và ddos. nên mình đang nghiên cứu cách khắc phục.
- mình đang nghiên cứu xây dựng webserver trên nền linux. tự build các soft như apache, php, mysql, phpmyadmin. mình đang rất cần các vấn về về bảo mật như cậu nói "Ví dụ áp dụng SELinux, áp quyền directory/file nghiêm ngặt, áp dụng suexec cho cái phần web PHP + chạy php_cgi thay vì chạy mod." cậu có thể cho mình thêm vài biện pháp bảo mật nữa được khộng. mình đang nghiên cứu để bảo mật từ tầng thấp nhất là OS, rồi mới đến apache, mysql,php.
Hình như bạn này đang nhầm lẫn rất nhiều khái niệm. Và bạn cũng chưa hiểu thế nào là các thành phần như: webserver, database, php lib... Để có thể " bảo mật" trước hết bạn hãy tự tay cài các thành phần LAMP ( or win + AMP ) hoặc xem trong cái mớ hỗn đọn xampp có cái gì rồi hãy nghĩ đến các vấn đề bảo mật.
mình đang tiến hành tự build 1 con vps chạy centos, và tự build các soft như apache, mysql, php. thanks cậu đã nhắc nhở
|
|
|
|
angel_of_devil wrote:
@mv1098: mình đặt ra các ví dụ thôi mà, với cả nếu có thì vẫn hơn chứ, cho dù là small 
@khang: việc triển khai website với source là PHP trên IIS là một điều ko nên, để secured sẽ phải chắp vá và kiến thức về hệ thống và PHP khá vững. Đơn giản nhất là windows fw để quy định các chính sách vào/ra web server. Tiếp đó là NTFS permission, web permission v.v... Cao cấp hơn bạn nghiên cứu IPSec để bảo mật máy chủ IIS tốt hơn.
mình triển khai php trên nền apache. webserver là xampp. ko phải iis. xampp có đủ bảo mật chưa, thấy nó load nhiều thứ quá, sợ có bug
|
|
|
|
angel_of_devil wrote:
Bạn triển khai web firewall, thiết lập các chính sách "tiêu cực" để hạn chế source IP có thể đụng chạm đến cấu hình, đồng thời yêu cầu nhà cung cấp hỗ trợ để siết chặt (vd: firewall cứng chỉ cho phép IP nào đc connect đến port nào, chỉ mở HTTP thôi)
cách cấu hình để qui định xem ip nào mới dc đụng đến cấu hình webserver thế nào cậu, mình dùng xampp chạy trên nền windows . không biết là xài mấy cái webserver như xampp có an toàn không nữa
|
|
|
|
nếu dùng các mã nguồn như joomla, pretanshop có bug nhưng trong lúc chờ bản vá thì làm sao để bảo mật được. mình xài vps , winserver có cách nào để chống dc không. giả sử kẻ gian có thể dùng bug đó để tấn công local.
- nếu bị bug phần mã nguồn thì có thể bị dẫn để chiếm quyền admin không ?
- nếu mình phần quyền ntfs kỹ thì có thể chống lại kẻ gian up shell lên, hack local không. trong khi mã nguồn mình bị bug, hoặc là có back door
|
|
|
|
|
cả win 2003 và 2008 mình điều xài dc như nhau. nên mới phân vân là không biết cái nào bảo mật tốt hơn. vì mình chỉ cấu hình bảo mật theo tài liệu thôi. nên sợ là có các bug thì khổ.
|
|
|
|
- cấu hình thì mình không lo. chỉ quan trọng phần bảo mật tránh bị hack và ddos. vậy thì 2008 tốt hơn 2003 à ?
- có thẻ tư vấn giúp mình 1 từong lửa nào mà chống dc ddos không. tài liệu tiếng anh hay việt điều được. cho mình hỏi thêm là nếu xét về vấn đề chống ddos thì win và linux cái nào chống tốt hơn.
|
|
|
|
mình sắp làm 1 webserver chạy trên nền win. nhưng đang phân vân giữa win 2003 và 2008. không biết là cái nào bảo mật hơn. vì theo mình nghĩ thì nếu có các bản vá đầy đủ thì 2003 chắc bảo mật không kém 2008 đâu nhỉ
mời các pác cho ý kiến
|
|
|
|
tình hình là mình đã có dc 2 file từ CA là abc.crt và abc.ca-bundle nhưng khi mình add vào file httpd-ssl.conf vào mục
DocumentRoot "C:/xampp/htdocs"
ServerName www.abc.com:443
ServerAdmin admin@abc.com
SSLCertificateFile conf/ssl.crt/abc.com.crt
SSLCertificateKeyFile conf/ssl.key/abc.com.key
sau đó mình restart lại apache thì apache ko khởi động được, mình đã thử restart lại máy tính nhưng không hiệu quả,có bạn nào có giải pháp nào có thế giúp mình được không
|
|
|
|
Nguồn bài viết: http://sinhvienit.net/@forum/threads/135360-website-ping-duoc-nhung-khong-truy-cap-duoc/
domain của mình là : daututuonglai.com, mua ở namecheap. sau khi thử dùng dịch vụ của afraid.org để chuyển nameserver thành dạng ns1.daututuonglai.com, ns2.daututuonglai.com. thì truy cập được khoảng 1 tuân lễ. nhưng sau đó thì ping được nhưng không thể truy cập được, vậy fix thế nào đây các pác
DOMAIN - Toàn quyền sử dụng tên miền
DOMAIN QUỐC TẾ - Giá rẻ & Toàn quyền sử dụng tên miền
DOMAIN VIỆT NAM - Giảm 30% từ đầu năm 2011
|
|
|
|
|
tình hình là mình đang tập cài ssl cho cái web của mình, có mua ssl lun rồi, nhưng sợ cài trật thì phí, nên tính xài free domain thư .tk hay co.cc để cài trước, nếu được rồi thì mới cài cái chính. các pác nào có kinh nghiệm thì tư vấn giúp mình liệu free domain có thể được chấp nhận cài ssl không, vì mình thấy 1 số trang có cho xài thử ssl trong vòng 1 tháng
|
|
|
|
Ar0 wrote:
Bạn đã học những gì về bảo mật mạng rồi?
Chuyên sâu là sâu đến như thế nào và mục đích là gì?
Bạn đã bao giờ dùng Linux chưa hay chỉ nghe nói?
Theo bạn hỗ trợ tốt về bảo mật mạng là sao?
Tại sao là Linux mà không phải một OS nào khác?
Hỏi và câu để mở rộng thảo luận thôi, nhưng bạn nên trả lời vì điều đó có thể mở ra những hướng thảo luận mới hay hơn và phong phú hơn, tốt cho bạn cả thôi 
Còn chọn một distro Linux để học "bảo mật mạng" thì tớ cứ phang Ubuntu thôi.
mình đang học mcsa, mún học về bảo mật cho server. để có thể trở thành 1 chuyên viên bảo mật
mình chưa bao h xài linux, chỉ nghe mọi người nói là bảo mật server thì linux sẽ tốt hơn window
hỗ trợ tốt về bảo mật là : chống dc các cuộc tấn công như ddos, chiếm quyền hệ thống, bảo mật tốt, không bị local
mình mún tìm hiểu sâu hơn về cơ chế xác thực user và lưu trữ password, 1 người bạn của mình tư vấn là nên học thử linux , nó sẽ giúp mình hiểu sâu hơn về cơ chế
|
|
|
|
|
tình hình mình đang mún học chuyên sâu về bảo mật mạng, nên cần phải học về linux, các bạn có thể tư vấn giúp mình 1 os linux hỗ trợ tốt về phần bảo mật mạng được không.
|
|
|
|
|
rất tiếc là không phải cái mình cần rồi hizhiz,
|
|
|
|
|
có thể giúp mình 1 tựa sách được không, nội dung về cơ chế xác thực user của window, cơ chế lưu trữ password
|
|
|
|
|
tình hình là mình mún tìm 1 vài tựa sách để nghiên cứu về cấu trúc hệ điều hành window, nhất là winxp và win2k3, các pác có thể giới thiệu mình vài tựa sách để nghiên cứu được không
|
|
|
|
|
|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
