Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
Общие черты построения системы безопасности на базе Win2003 |
19.11.2006, 19:55
|
|
Новичок
Регистрация: 01.08.2005
Сообщений: 25
Провел на форуме:
48628
Репутация:
17
|
|
Общие черты построения системы безопасности на базе Win2003
Доброго времени суток.
Ситуация собственно следующая. Есть сервер, который крутится на платформе win2003. На нём подняты MSSQL, FTP (Serv-U), Apache и игровой сервер Lineage. Моя цель - сделать его как можно более защищённым. У меня есть кое-какие мысли и я бы хотел ими с вами поделится. Я буду премного благодарен, если вы предложите решения на некоторые вопросы. Собсно, начнём =).
На компьютере на данный момент есть 2 пользователя - администратор (A) и юзер (U). Оба они входят в группу Remote Desktop Users, т.е. имеют удалённый доступ к серверу. Вопрос номер один. Что бы вы посоветовали, использовать стандартное подключение к удалённому рабочему столу, или установить средства удалённого урпавления, типа радмин? Идём дальше. Игровой сервер на данный момент запускается из-под привелегий А. Сама же серверная часть игры тесно сотрудничает с базой данных MSSQl. MSSQL делает ежечасный бэкап бд на другой логический диск. Столкнусь ли я с какими-либо проблемами, если запрещу U доступ ко всем папкам, кроме папки игрового сервера, и буду запускать сервер игры и сервис MSSQl от имени U? Немного на счёт повышения безопасности MSSQL. Пользователь sa удалён, остался только тот, который напрямую работает с игровой бд. Про бэкапы я уже рассказал. Удалённое подключение к бд разрешено (иначе никак). Если есть какие-либо решения, которые могут теоретически и практически повысить уровень секьюрности, я готов их выслушать. На машине параллельно крутится фтп-сервер. Его баннеры я изменил. Что я ещё могу сказать.... Крутится NOD с запланированными обновлениями и сканами. Было желание установить Outpost, но что-то руки никак не дошли =). Какие плагины посоветуете для него? Или вообще его не стоит ставить? Стоит ли в данном случае придерживаться правила "всё что не разрешено - запрещено"? Если нет, то какие порты прикрыть наглухо и какие открыть? Следющий вопрос на счёт аудита событий\логов. Есть ли более удобный фишки, чем то, что по дефолту стоит в винде? Интересуют фичи как отправка потенциально опасных на email, и т.д.. На повестке ещё один - стоит ли поднимать на сервере ханейпоты? Если мне не изменяет память, honeyd есть и под винду. Или под винду накодили уже более извращённые ханейпоты =))? Так же есть желание жестоко разграничить права доступа, т.е. фтп сервер запускать из-под пользователя ftp, апач из под apache и т.д.. Но опять траблы - фтп не хочет работать даже из под Powered User. Так же на сервере стоит монитор, который проверяет доступность фтп и апача и при надобности перезапускает эти сервисы.
ну в общем-то всё, ситуация описана, вопросы заданы.
Если у вас есть что сказать, дополнить, предложить - я буду только рад.
Заранее спасибо.
ПС
В HKLM\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA у параметра restrictanonymous стоит значение 0. Стоит его изменить на 1?
|
|
|
19.11.2006, 20:16
|
|
Участник форума
Регистрация: 06.04.2006
Сообщений: 257
Провел на форуме:
367179
Репутация:
76
|
|
Столкнусь ли я с какими-либо проблемами, если запрещу U доступ ко всем папкам, кроме папки игрового сервера, и буду запускать сервер игры и сервис MSSQl от имени U?
Наверное, нужно разрешить запись в раздел куда будут бэкапиться MSSQL.
Насчет файрвола. ИМХО, нужно разграничить доступ к твоим сетевым ресурсам. Допустим, чтобы к фтп-верверу могли подключиться только из локалки.
На повестке ещё один - стоит ли поднимать на сервере ханейпоты?
Ханейпоты ставятся, чтобы ловить скрипткидиссов. В твоем случае не стоит ставить его.
|
|
|
|
19.11.2006, 22:38
|
|
Заведующий всем
Регистрация: 17.04.2005
Сообщений: 1,062
Провел на форуме:
5957900
Репутация:
561
|
|
На компьютере на данный момент есть 2 пользователя - администратор (A) и юзер (U). Оба они входят в группу Remote Desktop Users, т.е. имеют удалённый доступ к серверу. Вопрос номер один. Что бы вы посоветовали, использовать стандартное подключение к удалённому рабочему столу, или установить средства удалённого урпавления, типа радмин?
Насчёт удалённого десктопа (понятия не имею как работает лайэйдж и зачем УД юзеру) поменял бы первым делом порты.
Игровой сервер на данный момент запускается из-под привелегий А. Сама же серверная часть игры тесно сотрудничает с базой данных MSSQl. MSSQL делает ежечасный бэкап бд на другой логический диск. Столкнусь ли я с какими-либо проблемами, если запрещу U доступ ко всем папкам, кроме папки игрового сервера, и буду запускать сервер игры и сервис MSSQl от имени U?
Столкнёшся, потому что любой юзер имеет право делать с базой всё что угодно. Юзер должен иметь доступ только туда - куда ему необходимо, все остальные задачи для этого юзера поидее должны выполнять другие юзеры. Так , юзер mssql запускает базу и заботиться чтобы она работала для конкретного игрока (его ведь ты назвал User?). Иначе бреха полная.
Было желание установить Outpost, но что-то руки никак не дошли =).
Это вобще-то делается сразу после установки системы, а то у другого кого-нибудь руки дойдут. ))
"всё что не разрешено - запрещено"
Я бы сказал - всё что не нужно - запрещено.
А вобще обычно ставят перед основным сервером - экранирующие.
Кстати вот статейка, там про IIS, но интересно http://www.osp.ru/text/302/380020/_p2.html
Последний раз редактировалось Azazel; 19.11.2006 в 23:07..
|
|
|
|
20.11.2006, 02:18
|
|
Новичок
Регистрация: 01.08.2005
Сообщений: 25
Провел на форуме:
48628
Репутация:
17
|
|
Спасибо за советы или предложения.
Насчет файрвола. ИМХО, нужно разграничить доступ к твоим сетевым ресурсам. Допустим, чтобы к фтп-верверу могли подключиться только из локалки.
Что подразумевается под сетевыми ресурсами? А настроить возможные подключения к фтп я могу и в конфигах самого демона.
Ханейпоты ставятся, чтобы ловить скрипткидиссов. В твоем случае не стоит ставить его.
Посмотрел на этт вопрос с другой стороны и дейсвительно понял, что ханейпот тут нахрен на нужен =)). Лучше поставлю какую-нить скриптовую IDS...
Столкнёшся, потому что любой юзер имеет право делать с базой всё что угодно.
Не совсем верное утверждение.
Сервер игры взаимодействует с бд через SQL auth, а не через Win. Т.е. в мссиквеле есть юзер, у которого фул акцесс на бд игры. В конфигах игры просто и банально прописаны имя и пасс этого пользователя. Настройки GP в данном случае имеют роль только для запуска службы MSSQL.
Это вобще-то делается сразу после установки системы, а то у другого кого-нибудь руки дойдут. ))
Аутпост это ИМХО не серверное решение, поэтому руки и не доходили. Я склонялся к исе, но т.к. сервер игры жрет немерно ресурсов, этот вариант канул в Лету (иса тоже довольно требовательная зараза).
А вобще обычно ставят перед основным сервером - экранирующие.
Я бы сказал не обычно, а иногда =). В данной реализации это, к сожалению, не возможно.
ПиСи
За доки по иису отдельное спасибо. Почитаем для общего развития. |
|
|
|
20.11.2006, 13:14
|
|
Участник форума
Регистрация: 06.04.2006
Сообщений: 257
Провел на форуме:
367179
Репутация:
76
|
|
В HKLM\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA у параметра restrictanonymous стоит значение 0. Стоит его изменить на 1?
Установи, если не хочешь, чтобы анонимные пользователи просматривали удаленно учетные записи и расшаренные ресурсы.
Что подразумевается под сетевыми ресурсами?
FTP, MSSQL, игровой сервер, Apache, удаленный доступ к серверу и т.д.
Лучше поставлю какую-нить скриптовую IDS...
Наверное, лучшее решение - Snort.
|
|
|
|
25.11.2006, 01:08
|
|
Новичок
Регистрация: 01.08.2005
Сообщений: 25
Провел на форуме:
48628
Репутация:
17
|
|
Установи, если не хочешь, чтобы анонимные пользователи просматривали удаленно учетные записи и расшаренные ресурсы.
Респект. Где-где, но в реестре я полный нуль =)).
Были проведены тех работы. Нынешнее положение - разграниченны права и уровни доступа к бд. Был поставлен фаер. Но блиа по счастливому стечению обстоятельств рулесы у него слетели после 3-го ребута (хз, то ли мистика, то ли что). В итоге был потерян акцесс к серверу (пришлось юзать KWM доступ =)). От фаера решили отказаться до того момента как не найдется стабильное серверное решение.
Разгарничение уровней доступа для запуска различного серверного ПО провести не удалось. Ну не запускаются демоны и все =(. Пробовал прочекать ПО, которое не запускается, FileMonitor`oм, не добился ничего. Ошибок нет, ровно как и нет работающего сервиса.
Про замену стандартного виндового евент вьювера никто ничего не посоветовал =(.
В общем если есть у кого какие добавления я буду рад выслушать.
|
|
|
|
25.11.2006, 10:20
|
|
Участник форума
Регистрация: 06.04.2006
Сообщений: 257
Провел на форуме:
367179
Репутация:
76
|
|
Разгарничение уровней доступа для запуска различного серверного ПО провести не удалось. Ну не запускаются демоны и все =(. Пробовал прочекать ПО, которое не запускается, FileMonitor`oм, не добился ничего. Ошибок нет, ровно как и нет работающего сервиса.
Попробуй еще и RegMon от sysinternals.com. Может проблема в реестре. Некоторые софтины работают только из-под аккаунта администратора. Решением может быть создание аккаунта с праванми админа для этого демона с последующем запрещением доступа к тем папкам и ключам реестра, которые ему не нужны. Например, создаем аккаунт для FTP-демона и запрещаем ему доступ к папке backup (запретительная политика > чем разрешительная, т.е. группе админов доступ к папке разрешен, а ftp-демону нет).
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
