SlideShare ist ein Scribd-Unternehmen logo
1 von 21
Downloaden Sie, um offline zu lesen
Drupal для параноиков: безопасность сайта и системного окружения VPS и выделенных серверов А.Графов < [email_address] >
Проблемы ,[object Object],[object Object],[object Object]
Причины проблем ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Способы защиты ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Drupal: защита изнутри ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Drupal + HTTPS ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Фильтруем контент: технические средства ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Фильтруем контент: организационные методы ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Apache mod_security ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Установка PHP ,[object Object],[object Object],[object Object],[object Object]
Средства ОС ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Средства ОС ,[object Object],[object Object],[object Object],[object Object]
Блокировка перебора паролей ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Сетевой файрвол ,[object Object],[object Object],[object Object]
Последний рубеж ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Мониторинг работы ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Ссылки на самое вкусное ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
 
 
 
Презентация подготовлена в OpenOffice Использована иллюстрация из мультсериала Futurama Вопросы? А.Графов < [email_address] >

Weitere ähnliche Inhalte

Was ist angesagt?

Бекдоры в пхп. Остаться незамеченным или проникновение без боли
Бекдоры в пхп. Остаться незамеченным или проникновение без болиБекдоры в пхп. Остаться незамеченным или проникновение без боли
Бекдоры в пхп. Остаться незамеченным или проникновение без болиdefcon_kz
 
07 virtual hosts_ru
07 virtual hosts_ru07 virtual hosts_ru
07 virtual hosts_rumcroitor
 
Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....
Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....
Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....KazHackStan
 
Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...
Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...
Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...KazHackStan
 
еще один недостаток современных клиент серверных приложений
еще один недостаток современных клиент серверных приложенийеще один недостаток современных клиент серверных приложений
еще один недостаток современных клиент серверных приложенийsnowytoxa
 
06 php instalation_ru
06 php instalation_ru06 php instalation_ru
06 php instalation_rumcroitor
 
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...KazHackStan
 
Л8 Django. Дополнительные темы
Л8 Django. Дополнительные темыЛ8 Django. Дополнительные темы
Л8 Django. Дополнительные темыTechnosphere1
 
09 server mgmt_ii_ru
09 server mgmt_ii_ru09 server mgmt_ii_ru
09 server mgmt_ii_rumcroitor
 
Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)
Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)
Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)Positive Hack Days
 
08 server mgmt_ru
08 server mgmt_ru08 server mgmt_ru
08 server mgmt_rumcroitor
 
Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...
Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...
Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...KazHackStan
 
Аутентификация на маршрутизаторах CISCO по средствам протокола TACACS+
Аутентификация на маршрутизаторах CISCO по средствам протокола TACACS+Аутентификация на маршрутизаторах CISCO по средствам протокола TACACS+
Аутентификация на маршрутизаторах CISCO по средствам протокола TACACS+kzissu
 
сотни серверов, десятки компонент. автоматизация раскладки и конфигурирования...
сотни серверов, десятки компонент. автоматизация раскладки и конфигурирования...сотни серверов, десятки компонент. автоматизация раскладки и конфигурирования...
сотни серверов, десятки компонент. автоматизация раскладки и конфигурирования...rit2011
 
Татьяна Новикова (Казахстан), ЦАРКА. Как мы мониторим Казнет с помощью WebTotem
Татьяна Новикова (Казахстан), ЦАРКА. Как мы мониторим Казнет с помощью WebTotemТатьяна Новикова (Казахстан), ЦАРКА. Как мы мониторим Казнет с помощью WebTotem
Татьяна Новикова (Казахстан), ЦАРКА. Как мы мониторим Казнет с помощью WebTotemKazHackStan
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)Dmitry Evteev
 

Was ist angesagt? (19)

Бекдоры в пхп. Остаться незамеченным или проникновение без боли
Бекдоры в пхп. Остаться незамеченным или проникновение без болиБекдоры в пхп. Остаться незамеченным или проникновение без боли
Бекдоры в пхп. Остаться незамеченным или проникновение без боли
 
07 virtual hosts_ru
07 virtual hosts_ru07 virtual hosts_ru
07 virtual hosts_ru
 
Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....
Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....
Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....
 
Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...
Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...
Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...
 
еще один недостаток современных клиент серверных приложений
еще один недостаток современных клиент серверных приложенийеще один недостаток современных клиент серверных приложений
еще один недостаток современных клиент серверных приложений
 
06 php instalation_ru
06 php instalation_ru06 php instalation_ru
06 php instalation_ru
 
KazHackStan 2017 | Tracking
KazHackStan 2017 | TrackingKazHackStan 2017 | Tracking
KazHackStan 2017 | Tracking
 
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...
 
Л8 Django. Дополнительные темы
Л8 Django. Дополнительные темыЛ8 Django. Дополнительные темы
Л8 Django. Дополнительные темы
 
09 server mgmt_ii_ru
09 server mgmt_ii_ru09 server mgmt_ii_ru
09 server mgmt_ii_ru
 
Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)
Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)
Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)
 
Major mistakes in site moving
Major mistakes in site movingMajor mistakes in site moving
Major mistakes in site moving
 
Этичный хакинг
Этичный хакингЭтичный хакинг
Этичный хакинг
 
08 server mgmt_ru
08 server mgmt_ru08 server mgmt_ru
08 server mgmt_ru
 
Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...
Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...
Андрей Абакумов (Россия). Yandex.ru. Соавтор: Эльдар Заитов. Автоматизация ск...
 
Аутентификация на маршрутизаторах CISCO по средствам протокола TACACS+
Аутентификация на маршрутизаторах CISCO по средствам протокола TACACS+Аутентификация на маршрутизаторах CISCO по средствам протокола TACACS+
Аутентификация на маршрутизаторах CISCO по средствам протокола TACACS+
 
сотни серверов, десятки компонент. автоматизация раскладки и конфигурирования...
сотни серверов, десятки компонент. автоматизация раскладки и конфигурирования...сотни серверов, десятки компонент. автоматизация раскладки и конфигурирования...
сотни серверов, десятки компонент. автоматизация раскладки и конфигурирования...
 
Татьяна Новикова (Казахстан), ЦАРКА. Как мы мониторим Казнет с помощью WebTotem
Татьяна Новикова (Казахстан), ЦАРКА. Как мы мониторим Казнет с помощью WebTotemТатьяна Новикова (Казахстан), ЦАРКА. Как мы мониторим Казнет с помощью WebTotem
Татьяна Новикова (Казахстан), ЦАРКА. Как мы мониторим Казнет с помощью WebTotem
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)
 

Andere mochten auch

Drupal Camp2009 Asp.Net Vs Drupal
Drupal Camp2009 Asp.Net Vs DrupalDrupal Camp2009 Asp.Net Vs Drupal
Drupal Camp2009 Asp.Net Vs DrupalInna Tuyeva
 
порівняння Drupal та Typo3
порівняння Drupal та Typo3порівняння Drupal та Typo3
порівняння Drupal та Typo3Inna Tuyeva
 
Multilangaunguage Drupal
Multilangaunguage DrupalMultilangaunguage Drupal
Multilangaunguage DrupalInna Tuyeva
 
Multilanguage Drupal
Multilanguage DrupalMultilanguage Drupal
Multilanguage DrupalInna Tuyeva
 

Andere mochten auch (7)

D7dev
D7devD7dev
D7dev
 
Drupal Do
Drupal DoDrupal Do
Drupal Do
 
Drupal Camp2009 Asp.Net Vs Drupal
Drupal Camp2009 Asp.Net Vs DrupalDrupal Camp2009 Asp.Net Vs Drupal
Drupal Camp2009 Asp.Net Vs Drupal
 
порівняння Drupal та Typo3
порівняння Drupal та Typo3порівняння Drupal та Typo3
порівняння Drupal та Typo3
 
Galleryapi
GalleryapiGalleryapi
Galleryapi
 
Multilangaunguage Drupal
Multilangaunguage DrupalMultilangaunguage Drupal
Multilangaunguage Drupal
 
Multilanguage Drupal
Multilanguage DrupalMultilanguage Drupal
Multilanguage Drupal
 

Ähnlich wie Drupal Paranoia

Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровYandex
 
11 лекция, петр волков
11 лекция, петр волков11 лекция, петр волков
11 лекция, петр волковkarina krew
 
Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)c3retc3
 
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Ontico
 
Безопасность Joomla: теория и практика
Безопасность Joomla: теория и практикаБезопасность Joomla: теория и практика
Безопасность Joomla: теория и практикаrevisium
 
Пост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновениеПост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновениеbeched
 
Опенсорс-инструменты на страже безопасности бэкенда — Петр Волков
Опенсорс-инструменты на страже безопасности бэкенда — Петр ВолковОпенсорс-инструменты на страже безопасности бэкенда — Петр Волков
Опенсорс-инструменты на страже безопасности бэкенда — Петр ВолковYandex
 
Catalyst – MVC framework на Perl (RIT 2008)
Catalyst – MVC framework на Perl  (RIT 2008)Catalyst – MVC framework на Perl  (RIT 2008)
Catalyst – MVC framework на Perl (RIT 2008)Sergey Skvortsov
 
Взломать сайт на ASP.NET
Взломать сайт на ASP.NETВзломать сайт на ASP.NET
Взломать сайт на ASP.NETPositive Hack Days
 
Web осень 2012 лекция 11
Web осень 2012 лекция 11Web осень 2012 лекция 11
Web осень 2012 лекция 11Technopark
 
Безопасность веб-приложений. Так ли опасна виртуальная угроза?
Безопасность веб-приложений.  Так ли опасна виртуальная угроза?Безопасность веб-приложений.  Так ли опасна виртуальная угроза?
Безопасность веб-приложений. Так ли опасна виртуальная угроза?phpdevby
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Проектирование программных систем. Занятие 7
Проектирование программных систем. Занятие 7Проектирование программных систем. Занятие 7
Проектирование программных систем. Занятие 7Dima Dzuba
 
Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)Dmitry Evteev
 
Информационная безопасность и web-приложения
Информационная безопасность и web-приложенияИнформационная безопасность и web-приложения
Информационная безопасность и web-приложенияMaxim Krentovskiy
 
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftТестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftDmitry Evteev
 
как не заразить посетителей своего сайта All а.сидоров, п.волков
как не заразить посетителей своего сайта All   а.сидоров, п.волковкак не заразить посетителей своего сайта All   а.сидоров, п.волков
как не заразить посетителей своего сайта All а.сидоров, п.волковOntico
 
Web весна 2013 лекция 11
Web весна 2013 лекция 11Web весна 2013 лекция 11
Web весна 2013 лекция 11Technopark
 
обнаружение сетевых атак
обнаружение сетевых атакобнаружение сетевых атак
обнаружение сетевых атакMike Gorohov
 

Ähnlich wie Drupal Paranoia (20)

Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
 
11 лекция, петр волков
11 лекция, петр волков11 лекция, петр волков
11 лекция, петр волков
 
Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)
 
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
 
Безопасность Joomla: теория и практика
Безопасность Joomla: теория и практикаБезопасность Joomla: теория и практика
Безопасность Joomla: теория и практика
 
Пост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновениеПост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновение
 
Опенсорс-инструменты на страже безопасности бэкенда — Петр Волков
Опенсорс-инструменты на страже безопасности бэкенда — Петр ВолковОпенсорс-инструменты на страже безопасности бэкенда — Петр Волков
Опенсорс-инструменты на страже безопасности бэкенда — Петр Волков
 
Catalyst – MVC framework на Perl (RIT 2008)
Catalyst – MVC framework на Perl  (RIT 2008)Catalyst – MVC framework на Perl  (RIT 2008)
Catalyst – MVC framework на Perl (RIT 2008)
 
Взломать сайт на ASP.NET
Взломать сайт на ASP.NETВзломать сайт на ASP.NET
Взломать сайт на ASP.NET
 
Web осень 2012 лекция 11
Web осень 2012 лекция 11Web осень 2012 лекция 11
Web осень 2012 лекция 11
 
Безопасность веб-приложений. Так ли опасна виртуальная угроза?
Безопасность веб-приложений.  Так ли опасна виртуальная угроза?Безопасность веб-приложений.  Так ли опасна виртуальная угроза?
Безопасность веб-приложений. Так ли опасна виртуальная угроза?
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентест
 
Проектирование программных систем. Занятие 7
Проектирование программных систем. Занятие 7Проектирование программных систем. Занятие 7
Проектирование программных систем. Занятие 7
 
IBM Proventia IPS
IBM Proventia IPSIBM Proventia IPS
IBM Proventia IPS
 
Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)
 
Информационная безопасность и web-приложения
Информационная безопасность и web-приложенияИнформационная безопасность и web-приложения
Информационная безопасность и web-приложения
 
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftТестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях Microsoft
 
как не заразить посетителей своего сайта All а.сидоров, п.волков
как не заразить посетителей своего сайта All   а.сидоров, п.волковкак не заразить посетителей своего сайта All   а.сидоров, п.волков
как не заразить посетителей своего сайта All а.сидоров, п.волков
 
Web весна 2013 лекция 11
Web весна 2013 лекция 11Web весна 2013 лекция 11
Web весна 2013 лекция 11
 
обнаружение сетевых атак
обнаружение сетевых атакобнаружение сетевых атак
обнаружение сетевых атак
 

Mehr von Inna Tuyeva

презентация соц сеть на друпале
презентация соц сеть на друпалепрезентация соц сеть на друпале
презентация соц сеть на друпалеInna Tuyeva
 
азы мультисайтинга
азы мультисайтингаазы мультисайтинга
азы мультисайтингаInna Tuyeva
 
продвинутый мультисайтинг
продвинутый мультисайтингпродвинутый мультисайтинг
продвинутый мультисайтингInna Tuyeva
 
обслуживание мультисайтинга
обслуживание мультисайтингаобслуживание мультисайтинга
обслуживание мультисайтингаInna Tuyeva
 
разработка модуля для Cms Drupal
разработка модуля для Cms Drupalразработка модуля для Cms Drupal
разработка модуля для Cms DrupalInna Tuyeva
 
за что мы ненавидим друпал
за что мы ненавидим друпалза что мы ненавидим друпал
за что мы ненавидим друпалInna Tuyeva
 
веб аналитика в Drupal1
веб аналитика в Drupal1веб аналитика в Drupal1
веб аналитика в Drupal1Inna Tuyeva
 
веб аналитика в Drupal
веб аналитика в Drupalвеб аналитика в Drupal
веб аналитика в DrupalInna Tuyeva
 

Mehr von Inna Tuyeva (17)

презентация соц сеть на друпале
презентация соц сеть на друпалепрезентация соц сеть на друпале
презентация соц сеть на друпале
 
I Net
I NetI Net
I Net
 
Galleryapi
GalleryapiGalleryapi
Galleryapi
 
Text
TextText
Text
 
азы мультисайтинга
азы мультисайтингаазы мультисайтинга
азы мультисайтинга
 
продвинутый мультисайтинг
продвинутый мультисайтингпродвинутый мультисайтинг
продвинутый мультисайтинг
 
обслуживание мультисайтинга
обслуживание мультисайтингаобслуживание мультисайтинга
обслуживание мультисайтинга
 
Arsa
ArsaArsa
Arsa
 
разработка модуля для Cms Drupal
разработка модуля для Cms Drupalразработка модуля для Cms Drupal
разработка модуля для Cms Drupal
 
Drupal Paranoia
Drupal ParanoiaDrupal Paranoia
Drupal Paranoia
 
Paranoia
ParanoiaParanoia
Paranoia
 
Drupal Paranoia
Drupal ParanoiaDrupal Paranoia
Drupal Paranoia
 
Dc P
Dc PDc P
Dc P
 
Zen
ZenZen
Zen
 
за что мы ненавидим друпал
за что мы ненавидим друпалза что мы ненавидим друпал
за что мы ненавидим друпал
 
веб аналитика в Drupal1
веб аналитика в Drupal1веб аналитика в Drupal1
веб аналитика в Drupal1
 
веб аналитика в Drupal
веб аналитика в Drupalвеб аналитика в Drupal
веб аналитика в Drupal
 

Drupal Paranoia

  • 1. Drupal для параноиков: безопасность сайта и системного окружения VPS и выделенных серверов А.Графов < [email_address] >
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.  
  • 19.  
  • 20.  
  • 21. Презентация подготовлена в OpenOffice Использована иллюстрация из мультсериала Futurama Вопросы? А.Графов < [email_address] >

Hinweis der Redaktion

  1. Некоторые меры защиты, о которых я расскажу в этом докладе могут показаться чрезмерными. Поэтому я перестраховался и назвал тему — «Друпал для параноиков» - то что для нормальных людей примут за сумасшествие, для сисадминов — норма жизни. Но тем не менее, всё о чем будет рассказано испльзовалось в различных коммерческих проектах и вылезло не просто так. Этот доклад — не мастеркласс, поэтому я не дам здесь детальных примеров кода и настроек программ, я только дам обзор возможных опасностей и обзор решений, которые позволят их избежать или уменьшить их последствия. Доклад насыщен информацией, поэтому я не буду углубляться в детали примеров — ссылки на код и программы о которых пойдёт речь — в конце доклада.
  2. Я буду говорить в расчёте на выделенные сервера и VPS. Часть вещей, особенно касающихся настроек друпала можно использовать и на shared-хостинге, но на shared-хостинге возможности настройки системного окружения сильно ограничены. И по-хорошему защита shared-хостинга — забота админов техподдержки. Мы же рассмотрим те варианты, когда вы хотите сами настроить защиту системы и отвечать за неё. &gt;&gt;&gt;&gt; Итак, каковы возможные проблемы для сайта? Нежелательный контент — то что попадает на сайт легальным путём, через те вебформы, которые сайт предоставляет для постинга. Более серьёзный вариант, когда в результате успешного применения эксплоита, злоумышленник может изменять файлы скриптов. И самый неприятный вариант, когда получена возможность запуска новых процессов или ещё хуже права суперпользователя. Тогда вы можете получить такой своего рода «shared-хостинг», где ресурсы вашей машины, CPU, память, трафик - вы будете использовать совместно с незнакомыми вам людьми, которые смогут использовать их в неизвестных вам целях. А вы даже не будете этого знать.
  3. Причины можно условно разделить на три группы. Различные атаки сетевых сервисов с целью организовать исполнение своего кода. А может быть заблокировать работу сервиса — так называемые «атаки отказа доступа» - DOS. Задействование уязвимостей, когда уже имеется shell-доступ — может быть легальный, а может быть полученный в результате успешного эксплойта применённого к сетевым сервисам. И самый маловероятный вариант, от которого однако проблематичней всего защититься — получение непосредственного доступа к дискам, когда сервер выключен и права операционной системы на процессы и файлы уже не действуют.
  4. Большинство методов о которых я расскажу тривиальны и наверняка известны администраторам. Но я надеюсь даже опытным админам временами будет интересно, ведь сколько ни изучай тему, всегда можно пропустить какие-нибудь любопытные мелочи. Итак, о чём пойдёт речь в докладе? Очевидно о том, что надо следить за установленными в системе программами. В первую очередь за скриптами вашего сайта, а также за системными программами, работающими с сетью. К каждой адекватной ОС регулярно выходят апдейты безопасности, за которыми стоит следить и регулярно их устанавливать. Мы поговорим о разграничения прав между пользователями на процессы и ограничения прав на файловой системе — это основные меры защиты системного окружения. А также рассмотрим случай, когда злоумышленники добрались до сервера физически и сняли жёсткий диск с данными. Разграничения прав здесь больше не помогут. Что делать чтобы помешать им завладеть данными? Чтобы на руках у них остался только мусор из байтов, а не данные вашей базы. Нет, не подумайте, я не рекомендую минировать сервер, есть другие методы о которых поговорим в конце.
  5. Базовые методы защиты — следите за обновлениями модулей друпала, модуль update status в этом вам поможет. Этот модуль обращается к drupal.org и сообщает о вышедших новых версиях модулей. Фильтры исполнения PHP — гибкая вещь, которая очень нравится разработчикам, позволяя сокращать время разработки — вставляем код прямо в текст страниц и блоков, и не нужно писать свой модуль. Но на продуктивных сайтах исполнение PHP обычно не требуются, разве что на очень специфичных ресурсах. Безопаснее — его отключить. Общий принцип — отключайте всё что не требуется, все лишние модули, темы, неиспользуемые роли. Если при повседневной работе с сайтом вам постоянно требуется пользователь #1, то значит что-то при создании сайта было спроектировано неправильно. Создайте роль с необходимыми для администрирования правами, используйте пользователя с этой ролью. Модуль paranoia — следит за всем этим за вас.
  6. Вообще Друпал без лишних телодвижений работает через защищённый канал. Настройте вебсервер, сгенерируйте ключи — обращайтесь к сайту через HTTPS — друпал будет корректно обрабатывать эти запросы. А вот пример когда нужно только часть сайта, например работу с платежами или админку завернуть на https. В друпале это делается также легко, хотя потребуется немного попрограммировать. [SKIPED — в принципе всё на картинке показано] Задача кстати вполне реальная. Ко мне обращались один раз, чтобы настроить сайт таким образом.
  7. Рассмотрим как избавляться от нежелательного контента. Очевидно, что большинство спама рассылается автоматически — программами-ботами и чтобы отделить роботов от нормальных людей есть универсальный механизм — капча. Механизм основан на том, что роботы пока умеют не всё, что умеют люди и в частности хуже умеют распознавать образы. С помощью капчи мы можем не допустить роботов-спамеров на сайт. Альтернатива — самообучающиеся фильтры отделяющие спам от не спама. В друпале это одноимённый модуль — Spam. Недостаток таких фильтров — есть вероятность ложного срабатывания. По похожему принципу работают публичные сервисы. Отметить: опыт использования Mollom на drupal.ru — неудачно. Вероятно он ориентируется больше на англоязычный контент. Дрис писал в твиттере об успешном применении Mollom например на сайте памяти Майкла Джексона, который к слову сделан на друпале.
  8. Кроме технических средств борьбы со спамом не стоит забывать об организационных мерах. Таких как модерация силами посетителей сайта или специально выделенных для этой цели сотрудников. Тут есть два метода, каждый со своими недостатками — первый, это предварительная проверка всех поступающих материалов, перед их публикацией; второй способ — снятие с публикации уже размещённых на сайте материалов, если они нарушают правила сайта. Если для модерации вы привлекаете не сотрудников, а самих посетителей сайта, как собственно происходит на сайтах сообществ, то тут встают вопросы доверия и контроля за действиями модераторов. Но тут тоже есть решения, как снизить последствия от ошибок модераторов. В качестве примера приведу drupal.ru: принцип - контент не удаляется!
  9. С большой вероятностью в качестве вебсервера у вас установлен Apache или Nginx. Под Апач есть замечательный модуль — mod_security, это по сути такой «файрвол для вебприложений». Модуль проверяет поступающие на сервер запросы и также проверяет ответы сервера. И на основе заданных правил производит фильтрацию тела и заголовков запроса. Проверяются и GET и POST запросы. С помощью этого модуля можно глобально для всех скриптов сервера избавиться от таких уязвимостей как вставки SQL, кросс-скриптинг, вызов команд операционной системы. Модуль может обнаруживать код троянов и аномалии HTTP-запросов. Одной установки модуля недостаточно. Нужно обязательно прочесть документацию и сконфигурировать набор правил, которые могут быть специфичны для ваших задач. На сайте проекта впрочем есть много примеров с правилами и шаблонами правил.
  10. Наиболее частый вариант работы PHP в Apache — модулем. Недостаток: все процессы работают под одним пользователем и скрипт одного виртхоста может получить доступ к файлам другого виртхоста. Альтернативный способ исполнения PHP — использование FastCGI, его преимущество: можно запускать скрипты разных виртхостов под разными пользователями и таким образом разделить права доступа. Suhosin состоит из двух независимых частей, которые могут использоваться раздельно или совместно. Первая часть – небольшой патч к ядру осуществляющий низкоуровневую защиту структур данных против переполнения буфера и других уязвимостей ядра PHP, впрочем со времени выхода патча часть проблем была исправлена в новых версиях PHP. Вторая часть реализована в виде расширения к PHP, которое фактически осуществляет всю основную защиту и добавляет ряд возможностей по ограничениям в конфигурации PHP. Хотя оригинальный патч Suhosin вышел ещё в 2007 году, но он адаптирован и к последним версиями PHP и идёт в поставке многих дистрибутивов Linux и во FreeBSD.
  11. По моим наблюдениям чаще крадут пароли на ftp, нежели находят уязвимость в системе. К слову, даже сайт киевского друпалкемпа взломали таким образом — был украден ftp-пароль и изменён файл скрипта, внедрён троян, так что потом ещё сутки в Файрфоксе красовалась надпись «Reported attack site», пока сайт не вытащили из блок-листа. Подробнее о работе с secure-shell можно послушать в моём докладе DrupalDo.
  12. Гибкая альтернатива классической юниксовой схеме разграничения прав на файлы — access control lists (ACL). Если вы ещё не используете ACL для разграничения прав на файлы — рекомендую это сделать. Я не буду здесь подробно объяснять возможности ACL, разве только в конце доклада возникнут вопросы по этой теме и останется время. Поставьте пакет в своей ОС и прочтите маны по setfacl и getfacl.
  13. Ещё вариант получения доступа к сайту — зная логин подобрать к нему пароль. Вручную это нелегко, а вот скриптом перебора — очень даже просто, если п/о не предоставляет защиты от таких переборов. Интересно, что в друпале в формах авторизации такой защиты по умолчанию нет. Да, можно организовать это через капчу — об этом поговорим дальше. Можно написать свой код... готовых модулей я не знаю, но это несложно сделать самому через hook_user(). А можно использовать fail2ban...
  14. Файрвол часто используют не глядя на любых серверах, но по сути он нужен тоже не всегда. Скажем классическая конфигурация сервера для хостинга с установленным вебсером, mysql и ssh для доступа. Mysql сконфигурирован только для прослушивания локального хоста — наружу смотрят только два tcp-порта — вебсервер и ssh доступные отовсюду, что собственно и требуется. Файрволу тут ограничивать нечего, так как все ограничения уже указаны в настройках сетевых служб. И можно его не устанавливать и отключить поддержку сетевой фильтрации в ядре. С другой стороны дополнительный контроль сетевых настроек файрволом позволяет избежать ошибок администрирования — например случайно выставить в сеть сервис, который не должен быть публично доступен, например мемкеш или mysql. Поэтому в общем случае, если не знаете зачем вам не нужен файрвол, лучше его оставить и корректно настроить.
  15. Та проблема о которой я говорил в начале доклада. И последняя стадия админской паранойи. Страшный сон: когда злоумышленники получают физический доступ к дискам с данными. С помощью шифрования файловой системы мы можем избежать неприятных последствий кражи данных. Это накладная операция, поэтому стоит использовать её только на самых критичных данных. Например вынести какие-нибудь данные пользователей в отдельную БД и хранить эту БД на шифрованном разделе. Есть ещё вариант применения: вы разрабатываете сайт и на серверных ресурсах заказчика. Очень удобно при этом взять администрирование сервера тоже на себя и хранить весь код и базы на шифрованных разделах — на этапе разработки такой перерасход ресурсов не критичен, зато если заказчик вдруг взбрыкнёт и заберёт управление сервером себе — он не получит доступа к данным. Ситуация вовсе не надуманная. В вебстудии с которой я работал, был такой инцидент с одним заказчиком и после него я решил, что конфиги всех новых проектов я буду строить таким образом.
  16. Важное средство предупреждения проблем — мониторинг системы. Это повышает надёжность системы и таким образом косвенно влияет на безопасность. Есть немало инструментов для мониторинга, я рекомендую вам обратить внимание на Zabbix, он позволяет мониторить ряд параметров и гибко настраивается [см слайд]. Агент zabbix — ставится на машину, параметры которой надо контролировать, под сервер zabbix лучше использовать отдельную машину.
  17. Это всё, что я хотел сказать. Я понимаю, что мой поверхностный рассказ врядли мог прояснить какие-то моменты по настройке, но может быть он обратил ваше внимание на вещи, которые вы раньше не замечали? Для заинтересовавшихся — подробности по ссылкам. TODO: найти ссылку на статью по ACL.
  18. Файл с презентацией распространяется под Creative Commons SA последней версии.