Archiwa tagu: bezpieczeństwo

Instalacja i konfiguracja OpenVPN na CentOS 6 z autoryzacją kluczem

Ikona OpenVPN

Jedno podejście do instalacji i konfiguracji OpenVPN na CentOS 6 już miałem. Jednakże, jak zauważył jeden z czytelników – wykorzystałem autoryzację PAM zamiast skorzystać z logowania za pomocą kluczy.

Przyznam, że miałem z tym trochę problemów, a zmobilizował mnie do tego Rafał we wpisie openvpn debian – nie dawało mi spokoju, że można to zrobić prościej i szybciej. Dać dostęp innym osobom bez tworzenia zbędnego użytkownika w systemie i podawani innym haseł.

Ok, do rzeczy.


Instalacja i konfiguracja OpenVPN na serwerze VPS z CentOS 6

Ikona OpenVPN

Dwa dni zajęło mi uruchomienie OpenVPN z możliwością tunelowania na VPSie z CentOSem. Było to jednak dość ciekawe doświadczenie :). Wiedząc jednak, że nie prędko będę miał przyjemność zrobić to ponownie – napiszę o przebiegu instalacji. Może komuś poza mną się to jeszcze kiedyś przyda.

O tym, co daje nam tunelowanie i jakie profity za sobą niesie poczytacie w sieci. Największą zaletą jest korzystanie z tunelowania w otwartych sieciach (Hotspoty, otwarte wifi). W skrócie: połączenie jest szyfrowane do naszego serwera, i komunikujemy się z internetem tak jakby za jego pomocą a nie naszego urządzenia. Zakręcone, wiem.

Przygotowanie

Z rzeczy, które potrzebujemy na sam początek, to:

  1. Serwer z CentOSem w wersji 6 (na niej instalowałem program);
  2. Zainstalowane repozytoria Epel oraz RPMForge (opis tutaj).
Do prawidłowego działania na serwerze musi być uruchomiony moduł TUN/TAP. W celu jego włączenia skontaktuj się z dostawcą, albo zrób to za pomocą odpowiedniej opcji w panelu zarządzania.

httpd-itk – zastępca suPHP

Od samego początku na serwerze korzystałem z suPHP, by skrypty wykonywały się z uprawnieniami danego użytkownika. Dla przykładu WordPress bez zastosowania odpowiednich rozwiązań, takich jak: suPHP, fcgi, suexec nie poradzi sobie z zapisywaniem plików na przestrzeni dyskowej. Pojawi się błąd zapisu.

Ja ze względu na prostotę instalacji (wtedy) wybrałem suPHP. Dziś przypadkowo natknąłem się na mpm-itk i zainteresowałem się nieco tematem. Generalnie jakoś nie miałem większej potrzeby zmieniania czegokolwiek. Jedynie ze względu na skrypt Tiny Tiny RSS poszukiwałem innego rozwiązania – skrypt ten nie działa z włączonym suPHP.


Antywirus na Androida – mus, czy przesada?

Od kilku dni krąży po mojej głowie pewne pytanie: czy instalować antywirus na telefonie? Zacząłem się poważnie zastanawiać nad tym – biorąc pod uwagę zarówno wady, jak i zalety. Nadal jednak nie wiem, czy jest to pozycja „must to have” w przypadku smartfona z Androidem. Z jednej strony zwiększy moje bezpieczeństwo, z drugiej zaś niepotrzebnie (prawdopodobnie) obciąży urządzenie. Co tu począć?

Sporządziłem więc krótka listę „za” i „przeciw”, by mieć ogólny zarys.


Konfiguracja fail2ban na serwerze z CentOS/httpd

Osoby posiadające swoje własne serwery pewnie nie raz zwróciły uwagę na plik error_log serwera www (apache, httpd) oraz informacje w nim zawarte, jak np.:

[Sun Oct 09 14:19:27 2011] [error] [client PEWNE_IP] File does not exist: /PEWIEN_KATALOG/phpMyadmin
[Sun Oct 09 14:19:28 2011] [error] [client PEWNE_IP] File does not exist: /PEWIEN_KATALOG/phpMyAdmin
[Sun Oct 09 14:19:28 2011] [error] [client PEWNE_IP] File does not exist: /PEWIEN_KATALOG/phpmyAdmin
[Sun Oct 09 14:19:28 2011] [error] [client PEWNE_IP] File does not exist: /PEWIEN_KATALOG/phpmyadmin2
[Sun Oct 09 14:19:28 2011] [error] [client PEWNE_IP] File does not exist: /PEWIEN_KATALOG/2phpmyadmin
[Sun Oct 09 14:19:29 2011] [error] [client PEWNE_IP] File does not exist: /PEWIEN_KATALOG/phpmy
[Sun Oct 09 14:19:29 2011] [error] [client PEWNE_IP] File does not exist: /PEWIEN_KATALOG/phppma
[Sun Oct 09 14:19:29 2011] [error] [client PEWNE_IP] File does not exist: /PEWIEN_KATALOG/myadmin
[Sun Oct 09 14:19:29 2011] [error] [client PEWNE_IP] File does not exist: /PEWIEN_KATALOG/MyAdmin
[Sun Oct 09 14:19:30 2011] [error] [client PEWNE_IP] File does not exist: /PEWIEN_KATALOG/program

Z powyższych informacji można wywnioskować iż ktoś z PEWNEGO_IP próbował uzyskać dostęp do plików/katalogów, których nie ma na serwerze. Przeważnie są to jakieś boty, które przeszukują nasz serwer pod kątem panelu zarządzania bazą danych.

Dla zainteresowanych powiem, że powyższy wycinek z logów, który zamieściłem to tylko część. W danym dniu z jednego adresu IP w ciągu niemal 2 minut wywołanych zostało aż 154 odwołań do nieistniejących plików/katalogów.

Jak zatem bronić się przed tego typu atakami na nasz serwer i jego zasoby? Logicznym rozwiązaniem wydaje się dodanie reguły do zapory systemowej i zablokowanie delikwenta. Jednakże nie jesteśmy zalogowani 24/h na naszym serwerze i nie monitorujemy ciągle logów. Wypadałoby zatem w jakiś sposób zautomatyzować tę czynność.