Ako spojazdnit file server???
- Toman
- VIP
- Príspevky: 7733
- Dátum registrácie: St 06. Júl, 2005, 20:00
- Bydlisko: Engerau/Dreamland (Bratislava/Senec) (22)
Re: Ako spojazdnit file server?
- ja mam server za routrom
- mam tak zarucene otvorene (presmerovane) len 4 porty o ktorich viem... a spoliehat sa na nejaky pravidelne dravy softwerovy FW sa nechcem
- co som si pozeral nejake logy tak dennne mi skusa do PC tak 10 odlisnich utocnikou a to mam OBZVLAST nezaujmavi server s obzvlast nezaujmavou adresou.......
- takze asi tak....
T.
- mam tak zarucene otvorene (presmerovane) len 4 porty o ktorich viem... a spoliehat sa na nejaky pravidelne dravy softwerovy FW sa nechcem
- co som si pozeral nejake logy tak dennne mi skusa do PC tak 10 odlisnich utocnikou a to mam OBZVLAST nezaujmavi server s obzvlast nezaujmavou adresou.......
- takze asi tak....
T.
AMD 7600X, B650M, 32Gb 6400, RTX 3070TI, Fractal Torrent
Re: Ako spojazdnit file server?
aky mas router? staci mi aj bezny AirLive WT-2000R? Firewall ma.Toman napísal:- ja mam server za routrom
- mam tak zarucene otvorene (presmerovane) len 4 porty o ktorich viem... a spoliehat sa na nejaky pravidelne dravy softwerovy FW sa nechcem
- co som si pozeral nejake logy tak dennne mi skusa do PC tak 10 odlisnich utocnikou a to mam OBZVLAST nezaujmavi server s obzvlast nezaujmavou adresou.......
- takze asi tak....
T.
- Toman
- VIP
- Príspevky: 7733
- Dátum registrácie: St 06. Júl, 2005, 20:00
- Bydlisko: Engerau/Dreamland (Bratislava/Senec) (22)
Re: Ako spojazdnit file server?
na domace pouzitie je to jedno, staci hocijaky router.
AMD 7600X, B650M, 32Gb 6400, RTX 3070TI, Fractal Torrent
- kajfun
- Používateľ
- Príspevky: 1269
- Dátum registrácie: So 30. Dec, 2006, 02:00
- Bydlisko: Bratislava, Petrzalka
Re: Ako spojazdnit file server?
mam windows servery vycapene s direkt verejnou IPckou bez akehokolvek firewallu [hw alebo sw] a bez akehokolvek routra a podobnych veci. Preco by mal byt server za firewallom bezpecnejsi ako server bez firewallu? Pretoze firewall prepusti port 80 dovnutra uplne rovnako ako by isiel traffic napriamo? Aky je v tom rozdiel...?
Server je bezpecny tak, ako su bezpecne sluzby na nom beziace. Pokial zavriem vsetky procesy, sluzby atd ktore maju otvorene porty a pocuvaju na nich a zostane mi jedine webovy server na porte 80, je tento server uplne rovnako bezpecny ako keby bol za styrmi firewallmi ktore prepustaju port 80.
Server je bezpecny tak, ako su bezpecne sluzby na nom beziace. Pokial zavriem vsetky procesy, sluzby atd ktore maju otvorene porty a pocuvaju na nich a zostane mi jedine webovy server na porte 80, je tento server uplne rovnako bezpecny ako keby bol za styrmi firewallmi ktore prepustaju port 80.
- Toman
- VIP
- Príspevky: 7733
- Dátum registrácie: St 06. Júl, 2005, 20:00
- Bydlisko: Engerau/Dreamland (Bratislava/Senec) (22)
Re: Ako spojazdnit file server?
HW Firevall pusti port 80 donutra, to iste sa stane aj pri SW firevalle
ale: (jeden z mnoha scenarou..., jedno nahodne vysvetlenie, ale urcite sa vie najst aj lepsi priklad.... nejaky bezpecnostny technik by to vysvetlil urcite lepsie, skratka Firewall by malo byt vzdy samostatne zariadenie - router/PC, cim klupejsie tym lepsie = tym blbuvzdornejsie)
- predpokladajme ze v serveri OS Windows, ktory obsahuje hipoteticku nezaplatanu bezpecnostnu chybu napriklad procesu terminal.exe ktory pocuva na porte 584 a je standardne otvoreny a je povoleny vestkymi SW firevalmi (ma oznacenie bezpecny)
- dajme tomu ze utocnim ma exploit ktory dokaze povedat procesu terminal.exe na 584 aby vykonal dodany kod
- tym padom ak posle utocnik prislusny packet na 584 ktory mu umoznuje spustenie lubololneho kodu, a naslednemu ovladnutiu servera
- ak mas HW fireval (router) tak mu natvrdo nastavis ktore porty su forwandnute (ostatne ta tym padom nezaujmaju) a staras sa aby boli zabespecene len tie ktore si otvoril
- kopa SW firevalou je derava... co sa pametam na kauzu s Northon Internet Security tak tam mali jednu dieru skoro pol roka
ale: (jeden z mnoha scenarou..., jedno nahodne vysvetlenie, ale urcite sa vie najst aj lepsi priklad.... nejaky bezpecnostny technik by to vysvetlil urcite lepsie, skratka Firewall by malo byt vzdy samostatne zariadenie - router/PC, cim klupejsie tym lepsie = tym blbuvzdornejsie)
- predpokladajme ze v serveri OS Windows, ktory obsahuje hipoteticku nezaplatanu bezpecnostnu chybu napriklad procesu terminal.exe ktory pocuva na porte 584 a je standardne otvoreny a je povoleny vestkymi SW firevalmi (ma oznacenie bezpecny)
- dajme tomu ze utocnim ma exploit ktory dokaze povedat procesu terminal.exe na 584 aby vykonal dodany kod
- tym padom ak posle utocnik prislusny packet na 584 ktory mu umoznuje spustenie lubololneho kodu, a naslednemu ovladnutiu servera
- ak mas HW fireval (router) tak mu natvrdo nastavis ktore porty su forwandnute (ostatne ta tym padom nezaujmaju) a staras sa aby boli zabespecene len tie ktore si otvoril
- kopa SW firevalou je derava... co sa pametam na kauzu s Northon Internet Security tak tam mali jednu dieru skoro pol roka
AMD 7600X, B650M, 32Gb 6400, RTX 3070TI, Fractal Torrent
-
- Moderátor
- Príspevky: 15054
- Dátum registrácie: Ut 26. Feb, 2008, 14:00
- Bydlisko: Bratislava/Štúrovo
Re: Ako spojazdnit file server?
kajfun, daj vystup prikazu "netstat -ao" a daj sem iba tie, ktore maju stav "LISTEN" (v CZ verzii "Naslouchani"). Neverim, ze si osekal tvoj server iba na port 80, plus ak sa ti to aj podarilo, tak spravovat server iba fyzicky je dost neprakticke.
- kajfun
- Používateľ
- Príspevky: 1269
- Dátum registrácie: So 30. Dec, 2006, 02:00
- Bydlisko: Bratislava, Petrzalka
Re: Ako spojazdnit file server?
> (jeden z mnoha scenarou..., jedno nahodne vysvetlenie, ale urcite sa vie najst aj lepsi priklad.... nejaky bezpecnostny technik by to
> vysvetlil urcite lepsie, skratka Firewall by malo byt vzdy samostatne zariadenie - router/PC, cim klupejsie tym lepsie = tym
> blbuvzdornejsie)
ani nie. Potrebujes funkcionalitu, flexibilitu. V ziadnom pripade nie je jednoduchy=hlupejsi vzdy lepsi. Tak ako vsade, to plati...
> predpokladajme ze v serveri OS Windows, ktory obsahuje hipoteticku nezaplatanu bezpecnostnu chybu napriklad procesu
> terminal.exe ktory pocuva na porte 584 a je standardne otvoreny a je povoleny vestkymi SW firevalmi (ma oznacenie bezpecny)
> dajme tomu ze utocnim ma exploit ktory dokaze povedat procesu terminal.exe na 584 aby vykonal dodany kod
> tym padom ak posle utocnik prislusny packet na 584 ktory mu umoznuje spustenie lubololneho kodu a naslednemu ovladnutiu servera
> ak mas HW fireval (router) tak mu natvrdo nastavis ktore porty su forwandnute (ostatne ta tym padom nezaujmaju) a staras sa
> aby boli zabespecene len tie ktore si otvoril
no a v com je problem? Bud mas port zavrety na firewalle teda sa na neho nedostanes a je ti UPLNE ZBYTOCNY vratane sluzby co na nom bezi lebo ta sluzba je NEDOSTUPNA, alebo tu sluzbu zastavis, zakazes, pripadne paranoidne ako ja pre istotu aj premenujes exe fajlik aby sa ani potencialne nedala zneuzit. V com je rozdiel? Ze ja s mojim pristupom bez firewallu to mam BEZPECNEJSIE ako ty s firewallom lebo u mna ani potencialne NEMOZE prist k zneuzitiu (nic nebezi, nie je co riesit) !! Tebe ta sluzba sice bezi chranena firewallom, ale bezi - mne vobec nebezi. Co je TEORETICKY bezpecnejsie ??
Faugusztin: nemam sem ako pastovat output, servery sa na dialku kontroluju cez KVM switche (keyboard/video/mouse) a screenshot nespravim z pochopitelnych dovodov. Pokial potrebujes poradit s tvojim konkretnym pripadom, hod sem tvoj output spolu s identifikaciou procesov (task manager alebo lepsie process explorer) a kukneme sa co a ako zavret. Ja mam otvorene len porty 80 a pripadne nejaky iny co potrebujem (napriklad ftp). Zo sietovej karty odmapuj client for microsoft networks, samozrejme ziadne file and print sharing, proste na kazdej sietovke nechaj VYLUCNE IBA tcp/ip protokol, nic ine na serveri nepotrebujes. Zakaz sluzby Server + workstation, zakaz microsoft messanger, a si daleko bezpecnejsi ako predtym. Staraj sa o to aby si mal poslednu fixovanu verziu softu co je dostupny vzdialene (web server, ftp servery atd)...
fakt, velmi rad ti poradim. Security ma strasne bavi a zerem to. Najhorsi problem je viete co? Application security. Davno uz nie su security utoky cez diery v softe, to uz je prudko vychytane. Ano, diery sa objavuju kazdy mesiac ale v principe neexistuje in-the-wild exploit ktory to dokaze zneuzit dostatocne v predstihu pred vydanim patchu. A ked sa taky exploit rozsiri, uz si mal byt tri dni opatchovany... takze je to sama voda, akurat na neprofesionalnych domacich userov. A tam to funguje vo velkom!
DAleko narocnejsie je sledovat snahy o buffer overflow a taketo zhodenia aplikacie : malformed requesty na web server atd, atd.
> vysvetlil urcite lepsie, skratka Firewall by malo byt vzdy samostatne zariadenie - router/PC, cim klupejsie tym lepsie = tym
> blbuvzdornejsie)
ani nie. Potrebujes funkcionalitu, flexibilitu. V ziadnom pripade nie je jednoduchy=hlupejsi vzdy lepsi. Tak ako vsade, to plati...
> predpokladajme ze v serveri OS Windows, ktory obsahuje hipoteticku nezaplatanu bezpecnostnu chybu napriklad procesu
> terminal.exe ktory pocuva na porte 584 a je standardne otvoreny a je povoleny vestkymi SW firevalmi (ma oznacenie bezpecny)
> dajme tomu ze utocnim ma exploit ktory dokaze povedat procesu terminal.exe na 584 aby vykonal dodany kod
> tym padom ak posle utocnik prislusny packet na 584 ktory mu umoznuje spustenie lubololneho kodu a naslednemu ovladnutiu servera
> ak mas HW fireval (router) tak mu natvrdo nastavis ktore porty su forwandnute (ostatne ta tym padom nezaujmaju) a staras sa
> aby boli zabespecene len tie ktore si otvoril
no a v com je problem? Bud mas port zavrety na firewalle teda sa na neho nedostanes a je ti UPLNE ZBYTOCNY vratane sluzby co na nom bezi lebo ta sluzba je NEDOSTUPNA, alebo tu sluzbu zastavis, zakazes, pripadne paranoidne ako ja pre istotu aj premenujes exe fajlik aby sa ani potencialne nedala zneuzit. V com je rozdiel? Ze ja s mojim pristupom bez firewallu to mam BEZPECNEJSIE ako ty s firewallom lebo u mna ani potencialne NEMOZE prist k zneuzitiu (nic nebezi, nie je co riesit) !! Tebe ta sluzba sice bezi chranena firewallom, ale bezi - mne vobec nebezi. Co je TEORETICKY bezpecnejsie ??
Faugusztin: nemam sem ako pastovat output, servery sa na dialku kontroluju cez KVM switche (keyboard/video/mouse) a screenshot nespravim z pochopitelnych dovodov. Pokial potrebujes poradit s tvojim konkretnym pripadom, hod sem tvoj output spolu s identifikaciou procesov (task manager alebo lepsie process explorer) a kukneme sa co a ako zavret. Ja mam otvorene len porty 80 a pripadne nejaky iny co potrebujem (napriklad ftp). Zo sietovej karty odmapuj client for microsoft networks, samozrejme ziadne file and print sharing, proste na kazdej sietovke nechaj VYLUCNE IBA tcp/ip protokol, nic ine na serveri nepotrebujes. Zakaz sluzby Server + workstation, zakaz microsoft messanger, a si daleko bezpecnejsi ako predtym. Staraj sa o to aby si mal poslednu fixovanu verziu softu co je dostupny vzdialene (web server, ftp servery atd)...
fakt, velmi rad ti poradim. Security ma strasne bavi a zerem to. Najhorsi problem je viete co? Application security. Davno uz nie su security utoky cez diery v softe, to uz je prudko vychytane. Ano, diery sa objavuju kazdy mesiac ale v principe neexistuje in-the-wild exploit ktory to dokaze zneuzit dostatocne v predstihu pred vydanim patchu. A ked sa taky exploit rozsiri, uz si mal byt tri dni opatchovany... takze je to sama voda, akurat na neprofesionalnych domacich userov. A tam to funguje vo velkom!
DAleko narocnejsie je sledovat snahy o buffer overflow a taketo zhodenia aplikacie : malformed requesty na web server atd, atd.
- kajfun
- Používateľ
- Príspevky: 1269
- Dátum registrácie: So 30. Dec, 2006, 02:00
- Bydlisko: Bratislava, Petrzalka
Re: Ako spojazdnit file server?
jaj ano, napadla mna jedna vec : microsoft sharing porty, 135 a 443, uvidis v netstat vypise vzdy. Aj ked sluzby nebezia, aj ked NEMAS namapovane zdielanie a ani microsoft klienta na sietove karty! Samozrejme ich nenascannujes zvonku cez port scanner, ale vo vypise netstat sa objavia
holt microsoft, no. Totalna drzost.
holt microsoft, no. Totalna drzost.
-
- Moderátor
- Príspevky: 15054
- Dátum registrácie: Ut 26. Feb, 2008, 14:00
- Bydlisko: Bratislava/Štúrovo
Re: Ako spojazdnit file server?
Ja chvalabohu Windowsy na net nestrkam, na to mam Linux. Len jednoducho neverim, ze mas na nete Windowsovy stroj bez firewallu, na ktorom ti bezi IIS iba na porte 80. Inac doveruje vobec niekto IIS ?
Re: Ako spojazdnit file server?
trochu odbocim, ale nechcem kvoli tomu zakladat novu temu.
ak mam HW RAID1, ako skopirujem data z disku 0 na disk 1, ak poskodeny HDD nahradim novym? dakujem
a doplnam dalsiu otazku: mozem mat na jednu verejnu IP viac DNS serverov?
a este jednu co sakra je DMZ?
ak mam HW RAID1, ako skopirujem data z disku 0 na disk 1, ak poskodeny HDD nahradim novym? dakujem
a doplnam dalsiu otazku: mozem mat na jednu verejnu IP viac DNS serverov?
a este jednu co sakra je DMZ?
-
- Moderátor
- Príspevky: 15054
- Dátum registrácie: Ut 26. Feb, 2008, 14:00
- Bydlisko: Bratislava/Štúrovo
Re: Ako spojazdnit file server?
Cez RAID BIOS alebo aplikaciu (podla typu RAID-u) pridas disk do pola, a to sa nasledne zosynchronizuje.
DMZ = Demilitarizovana zona - http://en.wikipedia.org/wiki/Demilitarized_zone_(computing" onclick="window.open(this.href);return false;)
V kratkosti ide o druhu siet, kde su sluzby dostupne z internetu, pricom tato siet je oddelena od internej siete.
DMZ = Demilitarizovana zona - http://en.wikipedia.org/wiki/Demilitarized_zone_(computing" onclick="window.open(this.href);return false;)
V kratkosti ide o druhu siet, kde su sluzby dostupne z internetu, pricom tato siet je oddelena od internej siete.
- kajfun
- Používateľ
- Príspevky: 1269
- Dátum registrácie: So 30. Dec, 2006, 02:00
- Bydlisko: Bratislava, Petrzalka
Re: Ako spojazdnit file server?
> ak mam HW RAID1, ako skopirujem data z disku 0 na disk 1, ak poskodeny HDD nahradim novym? dakujem
nijako - ak sa ti poskodi nejaky disk a ty ho vymenis, rekonstrukcia dat na kazdom slusnom radici prebehne automaticky. Pokial nie, das len v nejakom obsluznom programe ze "vymenil som disk, sprav s datami to co musis".
> a doplnam dalsiu otazku: mozem mat na jednu verejnu IP viac DNS serverov?
to myslis aby http://www.1.sk" onclick="window.open(this.href);return false;, http://www.2.sk" onclick="window.open(this.href);return false; a http://www.3.sk" onclick="window.open(this.href);return false; ukazovalo na jednu a tu istu IP adresu? To sa da.
nijako - ak sa ti poskodi nejaky disk a ty ho vymenis, rekonstrukcia dat na kazdom slusnom radici prebehne automaticky. Pokial nie, das len v nejakom obsluznom programe ze "vymenil som disk, sprav s datami to co musis".
> a doplnam dalsiu otazku: mozem mat na jednu verejnu IP viac DNS serverov?
to myslis aby http://www.1.sk" onclick="window.open(this.href);return false;, http://www.2.sk" onclick="window.open(this.href);return false; a http://www.3.sk" onclick="window.open(this.href);return false; ukazovalo na jednu a tu istu IP adresu? To sa da.
Re: Ako spojazdnit file server?
> to myslis aby http://www.1.sk" onclick="window.open(this.href);return false;, http://www.2.sk" onclick="window.open(this.href);return false; a http://www.3.sk" onclick="window.open(this.href);return false; ukazovalo na jednu a tu istu IP adresu? To sa da.
presne to som myslel, ale tak, aby http://www.1.sk" onclick="window.open(this.href);return false; natahovalo z folder 1, http://www.2.sk" onclick="window.open(this.href);return false; z folder 2, atd. resp aby som nemusel mat pre viac domen aj viac serverov.
dalsia moja senzacna otazka: ako pridam do PHP scripty?
dakujem vsetkym ktory mi pomahaju. nemam sa od koho ucit a pre vas to nemusi byt moc prijemne, ak vam viac-menej amater lezie do kapusty.
presne to som myslel, ale tak, aby http://www.1.sk" onclick="window.open(this.href);return false; natahovalo z folder 1, http://www.2.sk" onclick="window.open(this.href);return false; z folder 2, atd. resp aby som nemusel mat pre viac domen aj viac serverov.
dalsia moja senzacna otazka: ako pridam do PHP scripty?
dakujem vsetkym ktory mi pomahaju. nemam sa od koho ucit a pre vas to nemusi byt moc prijemne, ak vam viac-menej amater lezie do kapusty.
- kajfun
- Používateľ
- Príspevky: 1269
- Dátum registrácie: So 30. Dec, 2006, 02:00
- Bydlisko: Bratislava, Petrzalka
Re: Ako spojazdnit file server?
to 1, 2, 3 v rozlicnych adresaroch samozrejme funguje, tak je to vymyslene. Napriklad v apache web serveri sa to robi takto v konfiguracnom subore httpd.conf:
DocumentRoot "d:/web"
NameVirtualHost *:80
<VirtualHost *:80>
ServerName http://www.1.sk" onclick="window.open(this.href);return false;
DocumentRoot "d:/web/www.1.sk"
</VirtualHost>
<VirtualHost *:80>
ServerName http://www.2.sk" onclick="window.open(this.href);return false;
DocumentRoot "d:/web/www.2.sk"
</VirtualHost>
<VirtualHost *:80>
ServerName http://www.3.sk" onclick="window.open(this.href);return false;
DocumentRoot "d:/web/www.3.sk"
</VirtualHost>
no a v adresari d:\web musis mat adresare s nazvami http://www.1.sk" onclick="window.open(this.href);return false; http://www.2.sk" onclick="window.open(this.href);return false; a http://www.3.sk" onclick="window.open(this.href);return false; (cize cele www aj s domenou sk je MENO adresara). Chodi to jak vino, su bezne servery s tisickami takychto virtualnych serverov.
co sa tyka php tak to ti neporadim lebo ja nerobim webove veci, ja mam na starosti platformu a bohuzial PHPcka neovladam.
DocumentRoot "d:/web"
NameVirtualHost *:80
<VirtualHost *:80>
ServerName http://www.1.sk" onclick="window.open(this.href);return false;
DocumentRoot "d:/web/www.1.sk"
</VirtualHost>
<VirtualHost *:80>
ServerName http://www.2.sk" onclick="window.open(this.href);return false;
DocumentRoot "d:/web/www.2.sk"
</VirtualHost>
<VirtualHost *:80>
ServerName http://www.3.sk" onclick="window.open(this.href);return false;
DocumentRoot "d:/web/www.3.sk"
</VirtualHost>
no a v adresari d:\web musis mat adresare s nazvami http://www.1.sk" onclick="window.open(this.href);return false; http://www.2.sk" onclick="window.open(this.href);return false; a http://www.3.sk" onclick="window.open(this.href);return false; (cize cele www aj s domenou sk je MENO adresara). Chodi to jak vino, su bezne servery s tisickami takychto virtualnych serverov.
co sa tyka php tak to ti neporadim lebo ja nerobim webove veci, ja mam na starosti platformu a bohuzial PHPcka neovladam.
- kajfun
- Používateľ
- Príspevky: 1269
- Dátum registrácie: So 30. Dec, 2006, 02:00
- Bydlisko: Bratislava, Petrzalka
Re: Ako spojazdnit file server?
doprcic, forum mi orezalo tagy z toho konfiguracneho suboru co som pastoval. Skusim to nejako obicyklovat...