Безопасность серверов веб-приложений
Ғылым және технология
Надежный хостинг FirstVDS! Переходи по ссылке и получай скидку 25% на первый месяц на любой тариф firstvds.ru/s/k15sd
Интенрен это всемирная сеть объединяющая множество машин. Что бы в этом вашем интернете клиент или потребитель контента получил доступ к вашей информации необходим веб-сервер. А так как с популяризацией интернета появились нехорошие люди который по каким-то причинам всем вредят нам необходимо думать о таком понятии как Безопасность web-серверов. Я расскажу основы о которых должны задумываться DevOps инженеры, системные администраторы и даже программисты.
ДОПОЛНИТЕЛЬНЫЕ МАТЕРИАЛЫ
Для большей безопасности вашего приложения настройти https • HTTPS + NGINX + DOCKER...
Позаботьтесь чтобы браузер пользователя не запрашивал данные с недоверяных вашему сайту доменов с помощью CORS • Что такое CORS и зачем...
Если не знаете как обновляться то посмотрите это видео • Как правильно обновлять?
Не забывайте о бэкапах • Backup. Резервное копи...
ХОТИТЕ ПОМОЧЬ РАЗВИТИЮ КАНАЛА?
★ BITCOIN: 3DkeRMFu4jsZCvRj8Bxn8iQCkgxfeVaxg8
★ Boosty (подписка донаты) boosty.to/pavlenkoat
★ Яндекс.Деньги: money.yandex.ru/to/4100124083...
★ www.donationalerts.com/r/pavl...
★ www.tinkoff.ru/rm/pavlenko.an...
КОНТАКТЫ:
✦ Канал в TELEGRAM: t.me/worlditech (worlditech)
✦ Чат в TELEGRAM: t.me/linux_witпростых примерах
✦ Группа в VK: worlditech
✦ INSTAGRAM: / pavlenko.at
✦ DISCORD: / discord
Еще контакты:
✧ t.me/pavlenko_at
✧ atpavlenko
✧ / anton.pavlenko.94
Пікірлер: 67
Скорейшего вам выздоровления!
Круто, за попытку систематизации подходов к защите - лайк!
Отличное видео!)) Выздоравливай, дружище)))
Очень интересно, спасибо за видео. Можно рассмотреть информацию про защиту микротов. Там сейчас экий, некий ботнет на 200к устройств. Что нибудь про firewall и ip tables.
Углубляйся во все места, всё интересно. Выздоравливай.
Лайк сразу не глядя!
когда Вы рассказывали о том, что в прошлом можно было зайти через открытый порт и положить в него самый простой скрипт - было бы очень наглядно показать эту уязвимость на примере какой нибудь ОС постарее(поуязвимее) через Виртуальную машину. Хотя позже, под конец ролика об этом рассказали на пальцах. Наверное лучше не демонстрировать такой навык, подливая таким образом топлива в огонь нехороший людей. Спасибо за опыт.
@feeler.2k
2 жыл бұрын
ютуб налагает свои санкции на подобные видео
За самоотверженность при съемке видео с больным горлом - жирный лайк и коммент.
@pavlenkoat
2 жыл бұрын
Спасибо большое. Так как сегодня уехал с дочкой на соревновения я в этот день снимал 2 видео с больным горлом. Это было ппц)))
Антон спасибо за видео. я бы послушал бы курс по безопасности с примерами от Антона Павленко, думаю эта тема была бы интересна многим
Вот вроде и тема интересная, а что конкретно по ней хотелось бы узнать - хз. Наверное то, как следует следить за системой или каким образом она должна уведомлять о проблемах. Ведь часто так бывает что какая-то программа где-то в фоне ругается, матюки в логи пишет, а пользователь/администратор этого просто не замечает, пока всё не рухнет. Кстати, когда-то давно я определил наличие вируса по периодически загорающемуся светодиоду на флоповоде))
Хорошее видео, земляк! Привет из Нальчика.
@pavlenkoat
2 жыл бұрын
Привет. Надеюсь в феврале посещу Нальчик
Интересно про вебшелл, повышение привилегий, рейнбоу тейблз, анализ/аудит ОС на наличие эксплойтов, подмененных бинарников. С примерами бы.
@patrickbateman6498
2 жыл бұрын
Кстати интересно про аудит линукса на наличие заражения системы, кроме пожилого rkhunter даже что-то ничего и не вспоминается.
хотелось бы псомотреть видео по Nginx hardening (наверное лучше будет отдельно по антиддос, отдельно по хайлоаду ? )
@user-go3hm8pc7k
2 жыл бұрын
Поддерживаю, интересно про ддос и средства защиты (кроме как cloudflare)
Безопасность - это миф. Про каждого из нас знают всё. Все контакты, все видео, что ты смотрел, все ссылки, по которым ты заходил, все комментарии что ты писал, все товары, которые ты покупал.
@feeler.2k
2 жыл бұрын
все знаю всё кроме тебя
Даёшь углубление! Думаю, ещё стоило сказать о поисковиках, которые парсят сайты. Они ,зачастую, залезают туда куда не нужно,после чего внутреннее устройство сайта сможет увидеть каждый.
@pavlenkoat
2 жыл бұрын
Да вот узнал, что за углубление могут забанить
@codein4280
2 жыл бұрын
@@pavlenkoat (((
@Hamik71
2 жыл бұрын
@@pavlenkoat А я то голову ломаю, почему не могу найти нужной информации, не могли бы подсказать, где почитать, или посмотреть про то, как настроить localhost, что бы обезопасить компьютер от незваных гостей?
Антон привет. В своей компании продаем сервис WAF на основе реверс прокси. Под капотом nginx. Принцип работы нода балансировки - нода фильтрации трафика и соответственно работает по написанным правилам nginx. Написал чисто для идеи. Может будет интересно.
Спасибо
Давайте рассмотрим правильные права директорий в которых запущено PHP приложение под Nginx и плагин Web Security от OWASP для Nginx. Так же вы не сказали что самое важное это сбор логов с веб серверов, тоже интересный вопрос, когда у тебя 10+ сайтов
CIS Benchmark как для самой ОС, так и для вэбсервиса, поможет улучшить безопасность вашего сервера. Читаем, думаем, выполняем рекомендации.
А если порт будет открыт без дела, то это будет уязвимостью или нет? Ведь взламывается не сам порт, а служба стоящая за ним….
Вот типичный осмысленный комментарий не менее чем из шести слов)
А ты сам SponsorBlock на видео настраиваешь? Работает как часы на всех твоих видео.
Вот с одной стороны, мой домашний сервак находится за NAT и 22-й порт на него не проброшен. С другой - я не уверен что прошивка дешманского роутера будет сильно сопротивляться попаданию чьих-то шаловливых ручек в мою внутреннюю сеть...
SQL injection, загрузка файлов должна проверять mime type, в основном через загрузку картинок, или через SQL вытаскивается пароль админа. А потом брутится, если захеширован
Поддерживаю. Максимально все закрыть. Если есть тестовые среды, убрать их из общедоступных сетей. Пусть будут доступны в vpn. Не забывать выключить режим debug для серверов.
тема весьма интересная, и от вас, как эксперта в devops, очень хотелось бы дальше ее исследовать. Как закрываются порты, как настроить лимиты и пр. Или, например, как использовать разные конфиги php для клиентского сайта и для админки, без разнесения их на отдельные серверы, на одном сервере
Не согласен про порт 22. Вообще никогда его не открывайте. Если нужен ssh (а он обычно нужен) просто сконфигурьте его на свободный порт. Например 6622.
@pavlenkoat
2 жыл бұрын
Это не спасёт. Просканировать весь диапазон портов и узнать протокол это не сложно
@polark1677
2 жыл бұрын
И Fail2Ban к нему в комплекте
@user-ti3lu8tu6m
2 жыл бұрын
@@pavlenkoat да, но есть много сканеров которые смотрят целые диапазоны адресов, обычно они сканят до сотки самых ходовых портов. Порты 22 и 5900-5905 всегда в первую очередь сканят. И если вы не закрыли фаерволом от всех кроме вайтлиста вас будут брутить постоянно по дефолту сотни непонятных ботнетов) Можете протестить, просто откройте порт 22 и соберите лог за сутки. А потом перекиньте ссш на порт 5522 например и тоже соберите лог. И сравните
@user-mw4ep2tp7j
2 жыл бұрын
Это спасёт от армии китайских ботов, которые сканируют конкретно 22й порт. Используйте порткнок.
@user-ti3lu8tu6m
2 жыл бұрын
@@user-mw4ep2tp7j фейл2бан и фаервола хватает. Я предпочитаю сменить порт ссш и авторизацию по ключу со своей VPN открывать, а на 22 вешаю ханипотик свой, который использовать китайские боты брутить мне в моих интересах 😅
Хостер с рекламы может и хороший, но юзать старый ISP - просто вырви глаз
Ну и закончим КОНЦОМ. 😁
Первый!
Опять комментарии пропадают. Пытаешься дописать, развернуть, а он исчезает.
Видео было бы более информативное при наличии живых примеров. Для джунов нужно больше пояснений, для мидла - вода водой.
@yevhenbaidiuk8695
2 жыл бұрын
Мидл отключи виебони
@feeler.2k
2 жыл бұрын
@@yevhenbaidiuk8695 sudo systemctl stop viebonyd
Ну, т.е. взламывать это всегда плохо? Вот было бы счастье(нет) жить в мире, где никто ничего не взламывает и все целуются при встрече.
актуалочка
Водка 🧽🧽🧽😂😂
Как огурчик!
Права на файлы. Запрет исполнять файлы если они попали из вне, а не через амдинку хостинга.
@pavlenkoat
2 жыл бұрын
Так об этом в видео сказанл
@motchanyy
2 жыл бұрын
@@pavlenkoat Я не в плане через форму загрузили файл. Чтобы вообще закрыть исполнение файлов.
когда нет технически примеров и автор просто говорит, я ставлю на громкое и занимаюсь параллельно (смысл смотреть на лицо?) а видео тихое для этого, поэтому смотрю данный канал редко
@feeler.2k
2 жыл бұрын
попробуй расширение Sound Booster
@luisvelasco2392
2 жыл бұрын
@@feeler.2k в смысле скачиваю и смотрю видео в авто, за городом где нет инета, скачиваю все на автомате как типо музыку в авто и если какоето видео тихо я думаю прослушать когда получится потом, но потом тупо стираю и записываю новые
@feeler.2k
2 жыл бұрын
@@luisvelasco2392 ну тогда включай через VLC и там меняй скорость. Если прям через магнитолу, ну тогда кайфуй просто. :)
Шаловливые ручки😂😂😂😂😂
В конце весны перестал смотреть видео и отписался, выскочило это видео решил глянуть, ну в общем я всё правильно сделал, всё так же "провинциально" . про мою токсичность можете не писать я все знаю заранее...
@pavlenkoat
2 жыл бұрын
Удачного дня.