[Zlecenie]Blokada komend :)

masło maślane, kropka na końcu zdania jest, a gdzie w innych punktach?

po co ci niby takie zabezpieczenie?

Ale kombinujesz, robisz sklep z głową, nie dajesz nikomu niezaufanemu dostępu do maszyny i jesteś bezpieczny. Żadnych skryptów, żadnych dolarów w konsoli. Tylko byś sobie życie utrudniał, a potencjalny włamywacz jak dostanie sie do konsoli to i tak wszystko będzie mógł już zrobić.

@Bielecki Nikt nie ma dostępu do maszyny, ale gdy trafi się exploit na linuxa to lipa :) i mój item shop od bojawiem55 jest zabezpieczony ioncube więc trochę podejrzliwie na niego patrze, ponieważ nie mogę zajrzeć w kod mi chodzi, tylko że jak ktoś znajdzie lukę w IS/vps nie mógł nic zrobić na vps stroi tylko itemshop a reszta serwera na titanaxe więc to ma sens bo do titana będzie to trudne :) a utrudnianie życia eee tam kwestia przyzwyczajenia.

@piotrus131102 A.(konsola)Wpisujesz komendę /op %nick% -> Blokada(wiadomość)

B.(konsola) wpisujesz komendę $ /op %nick% ->komenda się wykonuję

C.(konsola) wpisujesz komendę /pex user %nick% group set vip (komenda wykonuje się pomimo braku $ ponieważ znajduję się na białej liście)

D.(konsola) wpisujesz komendę /pex user %nick% group set admin(komenda blokowana jak w A)

@XeVeDo tak to sobie możesz mamie tłumaczyć, czemu lekcji nie odrobiłeś.... też by nie zrozumiała podobnie jak i ja...

#Zamek

Godzinę temu, XeVeDo napisał:

@Bielecki Nikt nie ma dostępu do maszyny, ale gdy trafi się exploit na linuxa to lipa :) i mój item shop od bojawiem55 jest zabezpieczony ioncube więc trochę podejrzliwie na niego patrze, ponieważ nie mogę zajrzeć w kod mi chodzi, tylko że jak ktoś znajdzie lukę w IS/vps nie mógł nic zrobić na vps stroi tylko itemshop a reszta serwera na titanaxe więc to ma sens bo do titana będzie to trudne :)

Hostujesz serwer dla 1000 osób? 500? Nie sądzę. Więc szanse, że ktoś będzie próbował się wbić są niskie.

A nawet jeśli - exploit na Linuksa? To tracisz całą maszynę. Są wartościowsze rzeczy niż włamanie się do Twojego IS, ie. botnet. Rób regularnie update i backupy i tyle. Użyj klucza publicznego zamiast hasła i, jeśli jesteś paranoikiem, zmień sobie port do ssh. Ja mam wielu wrogów, którzy chętnie by mi rozwalili całego dedyka, ale jakoś nikomu się jeszcze włamać nie udało, mimo że ostatnio zaglądam tam dość rzadko.

A jak masz obfuscowany IS i mu nie ufasz, to sobie go zmień, zawsze może tam być backdoor - bardziej tym bym się martwił, niż faktem, że ktoś Ci wbije na maszyne.

I na serwery hostowane włamać się wcale nietrudno, na pewno łatwiej, niż na z głową zabezpieczonego VPS/dedyka.

@Bielecki jedna osoba podnosi poziom tego forum XD co do zmiany portu ssh to jedne polecenie nmap ;D dobra postaram się ogarnąć to w javie

Właśnie z powodu nmapa (którego notabene możesz na tyle znacznie spowolnić, że np. u mnie potrzebujesz kilku maszyn, żeby w sensownym czasie skanować porty) uważam, że zmiana portu jest bez sensu, aczkolwiek blokuje to maszyny, które globalnie skanują otwarty 22-gi i testują popularne dane logowania - a tu z kolei wchodzi wyłączenie logowania plain textem i zostawienie wyłącznie klucza publicznego.

38 minut temu, XeVeDo napisał:

co do zmiany portu ssh to jedne polecenie nmap ;D

Masz racje, ale boty skanują zwykle standardowe porty (tj. do SSH port 22) i to właśnie w ramach obrony przed nimi sie go zmienia, jednak bardziej zaawansowany bot nadal jest w stanie poznać port, o ile jest otwarty w firewallu. I według mnie ograniczenie połączeń na port SSH i/lub port RCON dla zaufanych adresów IP jest chyba najlepszym rozwiązaniem w tym przypadku.

A jeżeli autor nie ufa itemshopowi to może ograniczyć nowe połączenia z serwera na którym jest IS tylko do połączeń na port RCONa a na serwerze na którym jest odpalony Minecraft zrobić proxy filtrujące do RCONa które będzie akceptowało komendy tylko według warunków jakie sobie tam zaprogramuje (pod warunkiem, że są to dwa osobne serwery). Potem zablokować port do "prawdziwego" RCON, a port proxy do RCONa odblokować dla zaufanych adresów IP. Mimo wszystko, są serwery po wymienione wyżej 500 osób które nie stosują takich zabezpieczeń i jak narazie większość dobrze sie trzyma, więc nie wiem czy jest sens sie w to bawić.

P.S. Takie proxy do RCONa możesz w łatwy i przyjemny sposób w Pythonie zrobić, polecam

2 minuty temu, Toranktto napisał:

według mnie ograniczenie połączeń na port SSH i/lub port RCON dla zaufanych adresów IP jest chyba najlepszym rozwiązaniem w tym przypadku.

Z RCONem się zgodzę. Z SSH nie. Z tego prostego powodu, że dopóki nie masz zapewnionego statycznego IP (a w Polsce w większości jest właśnie dynamiczne), to ustawisz, a za tydzień się już nie zalogujesz i będziesz liczyć tylko na szczęście, jeśli firma z której masz maszynę daje dostęp przez przeglądarkę (ie. OVH).