Mondhatjuk, hogy idejét múlt a következő post, de a jövőben talán hasznát veszik páran. Arról lesz szó most, hogy miképpen tudjuk könnyen automatizálni az oldalunk biztonsági mentéseit. A két nagy torrent razzia alatt megtanulhattuk, hogy nem árthat egy normális biztonsági mentés.
Több olyan volt az idei razziánál is, akik nem, vagy csak nagyon régi biztonsági mentéssel rendelkeztek. De ez nem új probléma, hiszen már a három évvel ezelőtti razziánál is hasonló volt a helyzet. Pedig alapvetően nem is olyan nehéz dolog ez. A felhasználók pedig láthatóan nagyon csalódottak, ha kedvenc oldaluk egy éves mentéssel tér vissza. Ennél is rosszabb, vagy veszélyesebb, ha az oldal egyáltalán nem rendelkezik biztonsági mentéssel. A mai “szoros” versenyben könnyen felszippantják az oldalak a szabadon eresztett felhasználókat.
Nézzük át, miből kellene állnia egy biztonsági mentésnek egy torrentoldalnál.
- frontend + tracker
- torrentek
- adatbázis
A frontend és tracker lényegében a torrentoldal váza. A frontend, amit látunk, maga a weboldal, amit nap mint nap látogatunk, a tracker pedig a fájlcseréért felel, kezeli a peereket. A tracker kódja ritkán változik, míg a frontend-en azért lehetnek napi szintű változtatások.
A torrentek természetesen szintén létfontosságúak, nélkülük az egész nem ér sokat. Egy pár hetes kiesés után még jó eséllyel a felhasználóknál vannak a torrentek, így ha visszatér az oldal, és sikerült visszaállítani a torrenteket, hamar visszaszerezhetjük a korábbi peer számokat.
Az adatbázis egyértelmű, ebben tároljuk a felhasználókhoz és a torrentekhez tartozó adatokat. Kritikus dolog, hogy minél kevesebb személyes adatot tároljunk. Ezt úgy lehet legkönnyebben elérni, hogy a lehető legkevesebb adatot követeljük meg a felhasználóktól. Nem kell születésnap, város, vagy internet sebesség. Amit lehet, azt pedig titkosítva tároljuk.
Mindezek mentése kézzel valóban nem egyszerű, és bizony hosszadalmas feladat. Ehhez nyújtunk most egy egyszerűbb megoldást. Nem találtuk fel mi sem a spanyolviaszt, egy internetes megoldást mutatunk, és magyarázunk el. Nem az egyetlen, és könnyen lehet, nem a legjobb, de sokak számára talán egy megfelelő kiindulási alap.
A script Unix alapú rendszerekhez készült, alapvetően Linuxon fog működni, de a legtöbb oldalt talán valamilyen linux szolgálja ki. A shell script futtatásához természetesen szükségünk van hozzáférésre is a szerveren. Lássuk a scriptet:
#!/bin/sh
# System + MySQL backup script
# Teljes mentés vasárnap, a többi napon inkrementális backup készül csak
# Copyright (c) 2005-2006 nixCraft <http://www.cyberciti.biz/fb/>
# This script is licensed under GNU GPL version 2.0 or above
# Automatically generated by http://bash.cyberciti.biz/backup/wizard-ftp-script.php
# ———————————————————————
### Rendszer beállítások ###
DIRS=”/var/www /etc /var/torrents”
BACKUP=/tmp/backup.$$
NOW=$(date +”%d-%m-%Y”)
INCFILE=”/root/tar-inc-backup.dat”
DAY=$(date +”%a”)
FULLBACKUP=”Sun”
### MySQL Adatok ###
MUSER=”admin”
MPASS=”mysqladminpassword”
MHOST=”localhost”
MYSQL=”$(which mysql)”
MYSQLDUMP=”$(which mysqldump)”
GZIP=”$(which gzip)”
### FTP server Setup ###
FTPD=”/backup/incremental”
FTPU=”username”
FTPP=”ftppassword”
FTPS=”208.111.11.2″
FTPPO=”2121″
NCFTP=”$(which ncftpput)”
### Other stuff ###
EMAILID=”[email protected]”
### Backup indítása a filerendszeren ###
[ ! -d $BACKUP ] && mkdir -p $BACKUP || :
### Ellenőrzés, hogy a teljes backup napja van-e ###
if [ “$DAY” == “$FULLBACKUP” ]; then
FTPD=”/home/vivek/full”
FILE=”fs-full-$NOW.tar.gz”
tar -zcvf $BACKUP/$FILE $DIRS
else
i=$(date +”%Hh%Mm%Ss”)
FILE=”fs-i-$NOW-$i.tar.gz”
tar -g $INCFILE -zcvf $BACKUP/$FILE $DIRS
fi
### MySQL mentés indítása ###
# minden adatbázis mentése
DBS=”$($MYSQL -u $MUSER -h $MHOST -p$MPASS -Bse ‘show databases’)”
for db in $DBS
do
FILE=$BACKUP/mysql-$db.$NOW-$(date +”%T”).gz
$MYSQLDUMP -u $MUSER -h $MHOST -p$MPASS $db | $GZIP -9 > $FILE
done
### A mentések áttöltése egy távoli FTP-re ###
#Az ftp-hez ncftp -t használunk
ncftp -u”$FTPU” -p”$FTPP” -P”$FTPPO” $FTPS<<EOF
mkdir $FTPD
mkdir $FTPD/$NOW
cd $FTPD/$NOW
lcd $BACKUP
mput *
quit
EOF
### Ellenőrizzük, hogy sikeres volt-e a továbbítás ###
if [ “$?” == “0” ]; then
rm -f $BACKUP/*
else
T=/tmp/backup.fail
echo “Date: $(date)”>$T
echo “Hostname: $(hostname)” >>$T
echo “Backup failed” >>$T
mail -s “BACKUP FAILED” “$EMAILID” <$T
rm -f $T
fi
Lássuk akkor a script működését részletesen. Első körben nézzük meg, hogy mire van szükségünk. Azt már említettem, hogy ssh hozzáférés kell. A gépen emellett pár alapvető, nagyrészt alap linuxos parancsot is fogunk használni. Az adatbázis kimentéséhez mysql és mysqldump lesz a szolgálatunkra. A fájlokat gzip-pel csomagaljuk be, hogy könnyebb és gyorsabb legyen továbbítani ftp-vel. Ezt egyébként ncftp segítségével valósítjuk meg. Természetesen használhatunk másik parancsokat is a tömörítéshez és a csomagolt fájlok feltöltéséhez. Persze ha a rendszerünk nem mysqlt, hanem mondjuk postgresql-t használ, az is megoldható egy kis módosítással.
A script úgy működik, hogy a hét 6 napján csak az új fájlokat másolja fel (inkrementális backup), egy kiválasztott napon viszont teljes backupot készít a megadott könyvtárakról. Ahogy látható, nem árt, hogy ha a torrentek külön mappában vannak, így a frontend és a torrent backupja elkülöníthető. Ha nem megoldható, természetesen mehet egybe is.
A sikeresen összetömörített állományokat ezután ftp segítéségével áttöltjük egy másik helyre. Alapszabály, hogy soha ne arra a gépre csináljuk a mentést, amiről backupolunk, hiszen egy hdd hiba – vagy lefoglalás – esetén meg leszünk lőve. Hiszen hiába backup, ha nem érjük el. Ha hiba történne, még emailt is kapunk a dologról. Persze könnyen felturbózható a dolog, és megírhatjuk úgy is, hogy mindenképpen kapjunk emailt a script lefutásáról.
A kódban lévő kommenteket mi magyarítottuk, a mellékelt linken megtaláljátok az eredetit is és még sok más hasznos backup scriptet. Ezekből könnyedén összeállítható egy backup metódus mindenki szája íze szerint. (Az itt látható kódba csak annyi extra dolgot írtunk bele, hogy az ftp kapcsolódáshoz megadható a port is. Ha nem adjuk meg, akkor az alapértelmezett (21) porton fog próbálkozni.) Az oldal egyébként nagyon hasznos azoknak, akik szeretnének elmélyülni a linux shell script rejtelmeiben. Rengeteg példa van, és remek oktató oldalt hoztak össze.
Aki ennél lustább és megfelel neki a fent mellékelt megoldás, az használja az itt található generátort, aminek segítségével könnyen össze tudja állítani a számára megfelelő scriptet.
A cikk ötletéért köszönet illeti TGeRi-t, aki emailben hívta fel a figyelmünket arra, hogy ezzel talán tudunk segíteni a hazai oldalaknak.
július 30, 2010 at 21:21 du.
Egyébként meg Truecrypt.
július 30, 2010 at 21:37 du.
Ha minden igaz, a Truecrypt-ről is lesz egy kis szösszenet a közeljövőben.
július 30, 2010 at 22:04 du.
Csak truecrypt ne! 😀 Komolyan, akkor már inkább xorolják adatokat 😀
Truecrypt annak kell, aki szeretné windows és linux közös titkosított tömböt használni. Szerverre egyáltalán nem való. Van pár elvetemült ember aki használja, de csak azért mert addig terjed tudomány, hogy next, next, next, finish.
Nagyon remélem nem lesz egy olyan cikk, mert az már tényleg egy komolyabb mélypont lenne az oldalon 😀
Ha már szagérteni akartok, akkor ne ilyen tákolmány scrpteket vagy kamu titkosítókkal kapcsolatos cikkekkel tegyétek 🙂
július 30, 2010 at 23:13 du.
@user2: soha nem mondtuk azt, hogy szakértők vagyunk. Ellenben úgy látom te az vagy, szóval szeretettel várjuk a cikkedet vagy javaslatodat. Email címünket a kapcsolat menü-nél találod.
Köszönjük.
július 30, 2010 at 23:49 du.
@user2
Nekem a Truecrypt nagyon nem tűnik kamu titkosítónak. Tényleg érdekelne, hogy szerinted mi a baj vele.
július 31, 2010 at 1:34 de.
Jo ez a cikk , gyorstalpalo verpistikeknek copy/paste nooboknak akik tucatjaval csinaljak az “uj torrent oldalakat” 🙂
július 31, 2010 at 1:53 de.
A Truecrypt technikailag nem tunik rossznak, es nagy elonye, hogy multiplatform (szoval pendrive-hoz tokeletes). Meg azt is megkockaztatom, hogy USA-val nem tul barati orszagok torrent oldalaihoz megfelelo.
Ellenben egy ilyen biztonsagilag kritikus program eseten nagyon elonytelen, hogy nem tul bizalomgerjeszto a keszitok es hozzajarulok sora. HUP-on irtak, hogy regen az Antarktiszra volt bejelentve a hivatalos fejlesztoceg. Azota orvosoltak ezt a problemat, es modositottak egy etterem cimere. Valoszinuleg par titkosszolgalat is aktivan commitol a kodba, szoval nem kizarhato a komoly, szandekos algoritmikus hiba, hatsoajto, vagy security bug.
Ez persze nem jelenti azt, hogy semmit nem er, csak esszel kell hasznalni. CIA/FBI valoszinuleg kinyitja, ProArt, sundorseg nem biztos.
A script szerintem felesleges. Aki tud torrent oldalt uzemeltetni (marmint nem a Pistike szinten), annak nem hiszem, hogy gondot okozna egy ilyen script (max. lusta ra). Egyebkent az FTP-rol le kene mar szokni, mert elavult, es nem biztonsagos. Mondjuk az, hogy titkositatlanul kuldi a jelszot, es a rendorok lefoglalas elott legalabb napokig lehallgatjak a forgalmat, garantalja, hogy egyreszt lesz nekik egy teljes DB mentesuk (igazabol meg lefoglalni sem kell, mert atmegy a halon titkositatlanul, mig a gepen valoszinuleg titkositva lenne ugyanez), masreszt tudni fogjak a backup gep cimet es jelszavat. Szoval innentol a joindulatukon mulik, hogy azzal mit csinalnak.
Backupra nekem jobbnak tunik, ha nem a torrent server kuldi, hanem ha a backup gep kerdezi az adatot. Ez is ugyanugy automatizalhato, es semmivel sem rosszabb. De konyorgom, ne FTP legyen itt sem, hanem SSH/SCP/SFTP! Ja, es kulccsal menjen az auth, ne jelszoval. Es ami alap hiba a scriptben: NEM KULDUNK JELSZOT PARANCSSORBAN! (ps aux ugyebar.. foleg, ha mas is van a backup gepen)
július 31, 2010 at 2:03 de.
@user2
Truecrypt egy nagyon jó titkosító. Tudod mit? Van itt egy 40gb-os winyóm, titkosítom saját ízlésem szerint, odaadom, ha feltöröd fél éven belül, kapsz tőlem 20 rugót. Na? Vállalod?
Ha igen, jelezd. Elküldöm gls-el.
Ha nem, akkor ennyit az okoskodásodról. Hárító dumák meg nem érdekelnek, elvégre ha annyira “kamu” egyszerűen törhető titkosító lenne a Truecrypt, akkor ki az a hülye aki nem tenné ezt meg 20 rugóért?
július 31, 2010 at 2:13 de.
Továbbá csak érdekességként a Truecrypt-ről a kétkedőknek:
http://news.techworld.com/security/3228701/fbi-hackers-fail-to-crack-truecrypt/
július 31, 2010 at 2:22 de.
Tudod mit? Valószínű nincs neked ott semmilyen winyód és úgysem küldenéd el. Másrészt elküldheted hozzá azt a gépet is amin használtad(húzd ki falból és küld el, ne rebootolgasd, meg ne shutdown) és akkor garantáltan, maximum 1 hét alatt ingyen is megoldom(csak a postakölstéget fizesd te). – Azért legyen meg az a feltétel, ami rendőröknek is megvan lefoglalásnál. – Köszi.
Ha komolyan gondoltad, akkor mondok egy IRC nicket és megkereshetsz.
július 31, 2010 at 6:39 de.
Grat a cikkhez, csak mosolygok, hogy a jogvédők segítik a Torrent társadalom fejlődését és azt, hogy hogy igenis kell backup a rendszerekről.
július 31, 2010 at 7:40 de.
Az idei razziánál is kb 3 oldalnak sikerült backup nélkül, vagy csak részletes, régi backuppal visszatérni. Ha annyira egyszerű, és kézenfekvő lenne megcsinálták volna ők is, legalább havonta egy alkalommal.
Az meg hogy pl az ftp jelszót titkosítatlanul kuldjuk nem a legnagyobb probléma. Ha már a lehallgatástól félünk, akkor ne lépjünk be olyan torrentoldalon, ahol nem ssl-el megy a login, vagy nem cryptolják legalább kliensoldalon el valahogy a jelszót. A script ahogy mondtam, csak egy alapötlet, bárki tud és írhat jobbat.
Örülök, hogy ennyi hozzáértő olvassa az oldalt, a legjobb lenne tényleg összedobni egy jól működő rendszert. Úgy hallom valaki már levelet is írt, ma elolvassuk 🙂
július 31, 2010 at 8:42 de.
user2:
Látszik, hogy sokat értesz a dolgokhoz, egy truecrypt-tel titkosított merevlemez feltöréséhez minek neked a gép? Okosat mondtál. A rendőrség azért viszi el a gépet kompletten, mert egyrészt a törvény erre lehetőséget ad nekik, másrészt meg nem tudom hallottalak-e már a TPM chipről, ami az alaplapon van, ez AES algoritmussal titkosítja a merevlemez adatait. Ezt a chipet a szervergyártónál kérheti az alaplapra opcionálisan az ügyfél. A merevlemez ellopása ellen véd. Ha enélkül viszed el a winchestert, akkor a hajadra is kenheted. Azt meg inkább ne követeljük meg szakértő rendőreinktől, hogy a BIX-ben alaplapot buheráljanak, mert annak nem lenne jó vége. 😀 Az előbbi felajánlásnál viszont szó nem volt TPM chipről, csak sima Truecrypt. Ne beszélj már hülyeségeket please! Szóval a srác küldi neked a winyót, van fél éved, hogy visszafejtsd egy 20-asért, nem kell a rizsa. Ehhez nem kell neked a gép. Megy ez neked 1 hét alatt úgyis.
július 31, 2010 at 8:47 de.
PDA-ról írtam az előbb és a “nem tudom hallottalak” helyett értsd: nem tudom, hallottál-e már. Csak az automatikus kiegészítésnél nem figyeltem. 😀 Azért remélem érthető volt 😀
július 31, 2010 at 10:05 de.
@user2
Én se értem minek kéne neked hozzá gép. Nem sok értelme lenne. Még jó, hogy nem -30fokra hűtött ramokkal kéred…. 😛 🙂
Mindenesetre gépet nem tudok hozzá ajánlani, nincs felesleges gépem hozzá.
A winyós ajánlatom viszont továbbra is áll, ha sikerül feltörnöd, írok róla egy jó nagy cikket.
július 31, 2010 at 10:21 de.
Manuálisan nem lehet megoldani a mentést?
Nekem az tűnik a legegyszerűnbbnek.
Frontend és tracker az alapból meg kellene legyen sajátgépen, .torrent fájlokat átmásolni FTP-vel az egész könyvtárat, és az adatbázist egy Export művelettel lementeni zip-be. Ez mondjuk 2 hetente. Mi ebben a hiba?
július 31, 2010 at 10:44 de.
sct
nem az a baj nincs backup :D:D
ne nevess, azaz nevethetsz is, de nálunk 3 helyen volt mentés. kettő az elvitt gépen, mint utólag kiderült:D:D
valamiért nem tolta át a mentést ftp-n egy kivülálló szerverre, holott az volt megadva.
És mint ilyenkor lenni szokott senki nem vette észre. Mikor visszaálltunk akkor vettük észre a 13 az nem június, hanem május.
Néha a legjobb szándék , és akarat is megakad valahol.Most egy ftp elérésen. De szerencsésnek mondom magunkat, mert nem volt akkora adatvesztésünk. 2 éve mikor rendszergizda váltás volt akkor kezdtem hisztizni a mindennapi mentésért. Most is van mindennap mentés, csak éppen a technika ördöge szól bele. Mert ugye a backup-ra csak akkor nézel rá, ha baj van. Most azt is ellenőrizzük mindennap.
Szerintem lehet tanulni minden hibából.
Ez is ilyen.
július 31, 2010 at 11:36 de.
TrueCrypt biztonságáról: http://www.youtube.com/watch?v=JDaicPIgn9U
július 31, 2010 at 12:10 du.
sct: “Örülök, hogy ennyi hozzáértő olvassa az oldalt, a legjobb lenne tényleg összedobni egy jól működő rendszert. Úgy hallom valaki már levelet is írt, ma elolvassuk :)”
Aha, akkor lesz asva.info torrent tracker?
július 31, 2010 at 12:29 du.
Elkobozzák a gépeket esetleg még meg is büntetnek, akkor minek csinálják újra, nem elég a felfügessztett?
július 31, 2010 at 13:05 du.
Érdekes cikk, érdekelnek a titkosítások 🙂
ThX
Momentán nem tudok hozzászólni a dologhoz, de 6 hónap múlva Microsoft Rendszermérnök leszek, akkor visszatérünk erre…Meg egy kis router programozás 🙂 (Cisco)
Még ilyen cikket pls 🙂
Én örömmel fogadnám.
július 31, 2010 at 13:18 du.
aki egy backupot nem kepes csinlani, az ne menjen rendszergazdanak. Amelyik torrent oldalnak nincsen onkentes rendszergazdaja, az ne is mukodjon.
július 31, 2010 at 13:23 du.
@truecrypt biztonsagarol
Biztos lehetsz, ha decryptelik a truecryptes vinyodat, annak eredmenyet sosem fogod latni. Egyszer legyen egy ilyen hivatalos ugy, soha tobbe nem fogja senki sem hasznalni.
július 31, 2010 at 14:01 du.
Szerintem azért lenne szüksége a gépre is nem újraindított állapotban, mert valamilyen forensic módszerrel próbálkozna.
július 31, 2010 at 14:17 du.
@Pincode
Regi roman szokas a csak baj eseten ranezni a backupra. 🙂
FTP helyett egy ssh fs, szerintem jobb kenyelmesebb biztonsagosabb erzes.
Termeszetesen ezert en biztos jol megrugdalnam az admint.
Amennyiben a TC -t akar csak egy amerikai allampolgar is fejleszti, ugy szerintem meg mindig ervenyben van az az export korlatozas, hogy biztositani kell a homeland securitynak mester kulcsot, amivel nyithatjak az egesz kocolmanyt.
július 31, 2010 at 14:40 du.
Ha csak webtárhelyem van, akkor hogy tudom megoldani a napi mentést? Cron jobs-al?
július 31, 2010 at 15:28 du.
En azert kivancsi lennek egy statisztikara, hogy ezt hany oldal fogja felhasznalni (persze arra is hogy melyik oldalak azok 🙂 ).
július 31, 2010 at 15:29 du.
balcsida:
A fenti script is feltetelezi, hogy tudsz cron jobot futtatni. De egyebkent igen, az a megoldas.
A fenti scriptben a torrentes gepen kell a cronhoz jogod, amin elvileg ugyis rendszergazda vagy (mar ha a tracker is azon fut).
Ha a backup geprol indul a mentes (amit korabban javasoltam), akkor meg ott tedd cronba.
CYD: MS rendszermernokkent szerintem nem sok UNIX/Linux shell scriptet fogsz irni.
Pincode:
Backupra tenyleg csak akkor nezel ra, ha baj van, akkor meg mar keso javitani.
Pont erre megoldas, ha szol (lehetoleg mindket gep), ha baj van: ott a mail parancs. Ha a backup gepen nincs megfelelo meretu es datumu file, vagy sokaig nem tudja elerni a gepet, akkor kuld egy mailt. Sikeres mentes utan mondjuk beirod egy file-ba a mentes idejet a serveren. Ha a torrent gep azt latja, hogy ez a datum regi, akkor meg o kuld mailt. Igy garantalhatod, hogy ha valamelyik server nem elerheto, akkor mindenkepp ertesulj rola. Ja, es csak akkor menjen mail, ha sikertelen, kulonben elkallodik a figyelmeztetes!
Ja, es ami szinten fontos: backupot csak esszel torolj, ha biztos, hogy az ujabb is visszatoltheto (crc hiba, ilyesmik)! De arra is figyelj, hogy legyen helyed a kovetkezonek.. nem bonyolult, es nem kioktatasnak irom, de ha tenyleg figyelsz erre a par aprosagra, akkor mar nem sok baj erhet.
július 31, 2010 at 15:33 du.
sct: “Az meg hogy pl az ftp jelszót titkosítatlanul kuldjuk nem a legnagyobb probléma. Ha már a lehallgatástól félünk, akkor ne lépjünk be olyan torrentoldalon, ahol nem ssl-el megy a login, vagy nem cryptolják legalább kliensoldalon el valahogy a jelszót.”
De problema. Egy olyan oldal eseten, amit 100%, hogy lehallgatnak, es a teljes napi backupot at akarod tolni titkositas nelkul FTP-n, plane problema. Ennyi erovel a BSA serverere is kuldhetnel egy plusz biztonsagi mentest, mert az kb. azzal egyenerteku. Es itt nem felhasznalorol van szo, hanem a rendszergazdarol.
július 31, 2010 at 17:15 du.
Örülök ennek a cikknek, szívesen látnék hasonlókat máskor is. Annyit tennék hozzá, hogy mentést mindig konzisztens állapotról szeretünk csinálni, tehát a mysqldumpnak célszerű megadni a –lock-all-tables opciót, és a torrent file-ok feltöltését is érdemes leállítani egy időre (nem akarunk félkész torrenteket menteni).
Ha nagy az adatbázis, előfordulhat, hogy ez túl sok állást okozna naponta/hetente rendszeresen, ez ellen nagyon jól használható az LVM snapshot funkciója. Leállítod a szolgáltatást, csinálsz egy snapshotot, aztán elindítod a szolgáltatást, ez kevesebb, mint egy perc. Ezután a snapshotot backupolod, ami biztosan konzisztens állapotban van. Végül a snapshotot célszerű eltávolítani, mert amíg megvan, minden írási műveletet duplán kell végrehajtani.
július 31, 2010 at 17:37 du.
Valami kimaradt az előzőből: sokan írtok a titkosított lemezekről. Ez szerintem otthoni gépeken, meg főleg laptopokon teljesen alap kellene hogy legyen, de a szervereken nehézkes. Ugyanis így egy áramszünet vagy crash után (ami ritka ugyan, de előfordul) nem indul el magától, hanem az üzemeltetőnek kell beírnia a kódot. Pl ezért nem szokták titkosítani még az Apache titkos kulcsát sem. Persze lehet valami trükkös helyre eltenni a kódot, BIOS által nem használt NVRAM területre, másik gépre, stb, de ez már egyáltalán nem olyan biztonságos, könnyen kijátszható.
Ezen felül a felhasználót sem védi meg teljesen, ugyanis a forgalmat sniffelve lehet tudni, hogy honnan jönnek a júzerek. Ha van https (ami érthetetlen módon sok helyen nincs), akkor azt legalább nem tudják, hogy mit csinál.
Nem tudom, hogy az ilyen részleges biztonság miatt elviselnék-e a felhasználók, ha egy hétig áll az oldal, mert épp nyaral a gazdája.
július 31, 2010 at 18:18 du.
mellbimbo: írtam neked egy fél oldalt, de aztán beláttam rajtad nem segítene. Semmi köze nem volt a -30fokhoz sem a memóriához annak amit én írtam.
—
Ennél komolyabb probléma az, amire nyos rávilágított a backuppal kapcsolatban és teljesen igaza van.
—
stribika: nem kell az egész rendszert titkosítani. A szerver teljesen legális tartalmát, amin mondjuk linux fut azt minek? Egy másik partíción vagy másik merevlemezen lesz úgy is az anyag. Szóval reboot után beléphet a gépre a rendszergazda és betöltheti a kulcsot és/vagy beírhatja a jelszót.
július 31, 2010 at 18:31 du.
Sokan írják, hogy kikapcsolás után is sebezhető a legtöbb lemeztitkosítás, erre megoldás lehet pl. egy kis UPS a házon belül és ha a sündőrök kirántják a tápkábelt akkor egy prg automatikusan törli a key-t/jelszót a RAM-ból, Truecrypt esetében törölheti még a master key-t is a lemezről és ha az nincs meg akkor szinte biztosra veszem, hogy senki sem fog hozzáférni az adatokhoz. (a tulaj se, de ugye van backup?!)
július 31, 2010 at 18:59 du.
@user2: De az “anyag” nélkül a szolgáltatás nem fog menni. Továbbra is be kell lépni mondjuk SSH-n és kézzel elindítani. Pont az a helyzet, mint az Apache titkos kulcsnál, ott is minden más el fog indulni, kivéve a lényeget, ha titkosítod. Ez egyébként a legjobb példa, szinte soha nem titkosítják, annak ellenére, hogy az egyik legvédettebb információ. Swap partíciót talán érdemes lehet, ott nem kell az előző tartalom, és a backupokat, mert azokat pedig soha nem akarod beavatkozás nélkül használni.
Tényleg okos dolgot ír a cikk: ne tároljunk személyes adatot. Nem kell megjegyezni, hogy ki mit töltött le, hashelt email címeket és jelszavakat kell tárolni, nem kell diszkre írni az IP-ket (bár amit mondtam, az IP-ket úgysem tudod megvédeni, ha a kliens nem védi), nem kell szerver oldali könyvjelző, stb. Bőven elég az, ami elkerülhetetlenül kiszivárog a normál tracker használat során, meg hogy ott a feltöltő neve, felesleges rontani a helyzeten.
Vannak olyan támadási lehetőségek is, amik ellen a lemeztitkosítás nem véd. SQL injectiont, egyéb biztonsági hibákat nyugodtan kihasználhat az ASVA is. Elvihetik a szervert, kicserélhetik egy másikra, amire mikor belépsz és megadod a jelszót… Ezek ellen nem tudod garantálni a védelmet. A lemeztitkosítás a támadások egy szűk csoportját akadályozza meg, az egyszerű adatlopást, fingerprintinget, adatok offline módosítását. Mindezek ellenére lehet, hogy érdemes használni, de mindenképpen el kel rajta gondolkozni.
július 31, 2010 at 19:23 du.
@stribika
ezt persz lehet ragozni, resetelik a gepet,vagy csak siman kihuzza, ember betelefonal,ker egy resetet, majd lesniffeled az ssht mikozben beirja a kodot, majd elviszed a gepet, a gepen ott lesz az ssh privat kulcs, igy utolag decrypteled a sniffelt logot.
Masik problemas dolog ezzel a backuppal,hogy ftpn megy, ncftp nem fog neked titkositani max jelszot, igy snifferelve ott lesz a teljes backup.
Igazabol hot felesges, ipket a tracker kiad, mivel ez a feladata. Legtobb oldalon publius a peer listanak a legtobb eleme, ezek alapjan nagyon sokmindent ki lehet tallani.
július 31, 2010 at 19:49 du.
28#
Kit érdekel az a script…láttam épp elég kódot eddigi életemben…
Engem az elméleti része mozgat, utána persze a gyakorlat 🙂
július 31, 2010 at 19:49 du.
mármint nem a kódolásnak, ez lemaradt 😀
bocsesz xD
július 31, 2010 at 20:51 du.
stribika: sok dologban igazad van, swap kódolása pedig alap minden bootkor random jelszóval, amit te sem tudsz.
De ez az ssh honeypot nem működik, mert észreveszi az ember, ha hosszabb időre leállt a szervere. Ha meg csak pillanatra állt le és kicserélik, akkor a kulcs beírásánál jelez, hogy változott a key. De honeypot semmiképp nem játszik. Nagyon nagyon kevés embert lehet vele bepalizni.
július 31, 2010 at 21:04 du.
@user2
ez a swap annyira elmeleti dolog. Fontos dolog nem nagyon lesz benne, gettyket kiirja,ha mar ugysem hasznalod 🙂
július 31, 2010 at 23:02 du.
Azért örülök, hogy megértem, ismét, hogy lerománoztak :D:D
kazanhaz 2010. July 31. 14:17 :
Sajnos nem tudok ebben nyilatkozni, mert csak vendégként voltam ott 😛
de azért Köszönöm:D:D
Bennem még a jobbik-balabbik sem találna kifogást…..szép az élet
ui:
lassan tényleg eljutunk oda, nem érdemes reagálni semmire…ilyen stílusu emberek mellett….
Ugyhogy megfogadom barátaim tanácsát, és tényleg hanyagoljuk asvainfót, bár eddig szerettük….
sok sikert
Pin
augusztus 1, 2010 at 0:29 de.
sz: sajnos ezt nagyon rosszul tudod. Jelenleg az encryptel winyóm file listája(nagyrészt) is megtalálható, amit már rég umountoltam(ez gőzöm sincs hogy került bele), a bongészési előzménytől kezdve minden(squid).
benne van most épp a sql táblából a jelszók, az authorized_keys tartalma, a cronjobok, az mcvel megnézett mappáimtól kezdve nagyon sok minden. (32MB-t használ most swapból a rendszer)
augusztus 1, 2010 at 2:22 de.
user2, nagyobb a képed mint a sixtusi kápolna mennyezetfreskója, egy link csak neked
http://hirek.prim.hu/cikk/78274/
Szerintem te annyira okos vagy, hogy az FBI-nál is csak másodállásban dolgozol:)
augusztus 1, 2010 at 4:01 de.
@sz: Az SSH ha jól tévedek ez ellen véd: http://en.wikipedia.org/wiki/Perfect_forward_secrecy
@user2: Szvsz kivitelezhető, ha nem úgy mész oda, hogy most találod ki mi legyen. Visznek rögtön egy cseregépet, amin minden be van lőve, már csak át kell rá másolni a /etc/ssh tartalmát, meg átdugni a kábelt, és megy is. A kulcsfileok mindenképp plaintextben vannak, csak ki kell szedni a diszkeket, és lemásolni róluk. Az egész megvan fél órán belül, és akkor sok időt hagytam a diszkekkel szerencsétlenkedésre. Nagyon sok mindent meg lehet tudni előre úgy, hogy azt valószínűleg nem szúrja ki az üzemeltető.
Reménykedésre ad okot, hogy úgy láttam, idáig az ilyen aktívabb támadásokat nem igazán alkalmazták. Sniffelgetnek, meg lefoglalgatnak, de nagyjából ennyi. Javítsatok ki, ha tévedek. Nem tudom, ennek az oka egyszerűen a szakértelem hiánya, törvényi korlátok, vagy a gondolkodásmódjuk nem ilyen. (Ha ez utóbbi, akkor épp most vetettem véget a szép időknek.) A közhiedelemmel ellentétben a rendőrségnek biztosan van esze, a jogvédőket pedig nem hinném, hogy érdekli a törvényesség. Egy fakehonlaphoz meg a tracker nevében küldött spamkampányhoz pl. mindenük adott, és egy DDoS-ra még dwd is képes.
augusztus 1, 2010 at 4:54 de.
Hú ha! Ez aztán a hír 🙂 Az FBI nem tehet arról, hogy esetleg a brazil rendőrök nem szakszerűen jártak el.
* Nem fogják ellőni kiskapukat egy brazil ügyre.
* Nem feltétlen került a megfelelő szakértő(k)höz. Több, mint valószínű, hogy Magyarországon állami pozícióban lévő szakértők is, mint szinte minden komolyabb állami feladatot ellátó személy, ismerősön keresztül került oda, ahol most dolgozik. Nem pedig a tudása alapján.
(Erről biztos tudna mesélni néhány ember akinek lefoglalták régebben a szervereit vagy éppen az otthoni számítógépét(amin nem Windows van))
De a lényeg az, hogy egyáltalán miért kellett rájönniük, hogy titkosított volt az anyag. Ez a legnagyobb hiba, amit elkövetett a bankár, mert ha komolyabb dologról lenne szó, biztosan kiszednék belőle a jelszót. (Ha már feltörni képtelenek voltak, amit igazából hihetetlen. Inkább az a valószínű, hogy nem ért annyit az egész, hogy erőforrásokat pazaroljanak rá)
augusztus 1, 2010 at 9:06 de.
Pincode, ezt ugatom én is folyamatosan, csak persze az én kommentjeim “nem mennek már ki”
augusztus 1, 2010 at 11:09 de.
@user2
gondolom a te esetedben adott serveren ejszaka nincsenek latogatok, nem csinal semmit sem a gep, mc-t meg valaki otthagyta orakra,vagy napokra, es nem hasznalta, ezek a dolgok nem jellemzok egy trackerre, meg ejszaka is boduletes lekerdezest futtat le egy tracker.
Ha megis,akkor nagy ugy, fogjak tudni a mysql jelszavakat, vagy egy-egy dir listet.
@stribika
ipsecnel mar olvastam errol, kossz a tippet.
augusztus 1, 2010 at 13:51 du.
@Pincode
Szovegertelmezesi algoritmust kicsit frissiteni, finomitani kellene. 🙂
Azt irtam, hogy backupra csak gond eseten ranezni regi roman szokas.
Nem szandekoztam szarmazasod iranyultsagat predesztinalni a leirtakkal, de ahogy erzed, ahogy latod 🙂
Mindenesetre mindenki ugy es azt csinal amit akar.
augusztus 1, 2010 at 17:46 du.
A titkosításról annyit, hogy mikor kimennek valakihez a nyomozók, akkor már van bizonyíték a kezükben, a gép lefoglalása csak formalitás, tehát sokra nem megy vele az illető, ilyenkor az a menet, hogy beadják a Kürt Rt-hez és a számlát meg küldik és végrehajtják. Eléggé csillagászati áron dolgoznak. Nem törik fel, nem is akarják feltörni, az interneten már logoltak eleget, az már elég a bíróságon, hogy a szerverről adatok voltak elérhetőek a nagy nyilvánosság számára és ezen van a hangsúly, nem az, hogy mi volt a gépen.
augusztus 2, 2010 at 12:58 du.
Jöttem kötözködni! 🙂
…nemis…..
A cikkhez nem szólok hozzá, de chameanak iaza van… Kürt mindent bevállal. Az ő újságjukban olvastam egy történetet, hogy angol nyomozók állítottak be hozzájuk, egy rakás széttört, “megsemmisített” vinyóval, hogy azokkal az eszközökkel lehetett-e hamis pént csinálni….. És a kürt bebizonyította, hogy igen lehetséges, hogy azokat az eszközöket használhatták pénzhamisításhoz… És kiállították a hivatalos szakvéleményt….
Szóval ennyit a titkosjtáshoz
OFF
aug 2. Jó munkát bH-s fiúk!
augusztus 2, 2010 at 14:49 du.
user2
Ha van ember aki felé tudja törni a TC-et az nem az asva-t olvassa és nem fogja idekommentelni.
Amit itt vetítesz az nem más mint nagyképű okoskodás.
Persze az is kell néha,..