เรียนคุณพี่นัก modify host ทุกท่านครับ
เนื่องด้วยกระผมเป็นเด็กอ่อนเรื่อง linux-based web hosting
เมื่อเห็นคุณพี่ที่มีคาถาแก่กล้าอาคมเรื่อง server กันมากที่ให้บริการปรับแต่ง anti-hack scheme กันมากมายหลายท่าน ก็อยากจะขอสอบถามเพิ่มเติมครับว่า
- การปรับแต่ง server ต่อต้านการ hack เนี่ยเขาคิดราคากันเท่าไหร่ (สมมติว่ามี php ด้วย)
- ความน่าเชื่อถือ เพราะว่าการที่เป็นมือปืนรับจ้าง freelance ตาดีได้ตาร้ายเสีย มือละอ่อนส่วนมากจะไม่โดนเลี้ยงไข้หรือครับ
- ค่าเหนื่อยของคุณพี่ อยากจะทราบว่าอยู่ประมาณไหนครับ ต่อการปรับแต่งพื้นฐาน
ขอขอบคุณทุกความเห็นครับ
หาคนช่วย หรือมาประชดเนี่ย ฮ่าๆๆ
หลายๆท่านในนี้ก็เทพๆครับ ลองใช้บริการดู
กำหนด require ที่ละเอียดกว่านี้ละกัน เดี๋ยวก็มีคน โพสรับหรือ pm กลับไป
เพราะว่าเรื่องพวกนี้งานแบบนี้ ไม่กำหนดงานให้ชัดเจน เดี๋ยวจะมีอะไรกันภายหลัง จะกลายเป็นได้ไม่คุ้มเสียเอา
สวัสดีครับคุณพี่ HostingIDC.Com
เรื่องของเรื่องก็คือหากว่าผมเป็นแค่เจ้าของ linux-server เนี่ยแต่ไม่มีความรู้
เวลาจะไปคุยกะ ท่านพี่ที่ให้บริการด้านนี้ ไอ้เรามันก็จะไม่รู้เอานะสิครับว่า ขอบเขตของการป้องกัน
มันมากแค่ไหน มันต้องทำอะไรบ้างๆ รบกวน outline ให้ดูกันป้างเป็นความรู้ได้ไหมครับว่า
“เขาทำอะไรกันบ้าง” กับกันการ hack เนี่ย
อันนี้ต้องติดต่อมือปืนเลยครับ ตามลายเซน ที่แต่ละท่านเขียนไว้
ถ้าบอกในนี้ เดียวจะกลายเป็นว่า… โดนเจาะซะเอง อิอิ
ปล.ผมไม่ใช่มือปืนนะ ยังสอบไม่ผ่าน ฮาาาา
kke
5
การ config ค่าแต่ละอย่าง ก็เป็นการป้องกันหรือเพิ่ม security ในแต่ละจุด
ไม่มีการ config ใหนที่สามารถป้องกันโดน hack ได้ 100% มีเพียงลดโอกาสหรือทำให้ยากขึ้นเท่านั้นเอง
แต่ในที่สุดแล้วเวลาโดนแฮกสาเหตุส่วนมากมักจะมาจากตัวบุคคลเอง
เช่นตั้ง pass ง่ายไปถูกเดาได้ เครื่องติดไวรัสโดนขโมย pass
ซึ่งหาก pass หลุดไปแล้วต่อให้ config server ไว้ secure แค่ใหนก็ไม่สามารถป้องกันได้
การปิด service ที่ไม่ได้ใช้ไว้ และเปิดเฉพาะเวลาต้องการใช้ เป็นวิธีที่ได้ผลวิธีหนึ่ง
เช่นถ้าเครื่องเราใช้งานคนเดียว ก็ปิด ftp เอาไว้จนกว่าต้องการใช้งานค่อยเปิดใช้ชั่วคราว
ปกติก็ทำ security กับเครื่องที่มาวางโคโลด้วยเท่านั้น เนื่องจากเรื่องนี้… ก็ต้องมี update ในการทำ security ให้ทันสมัยตลอดเวลาครับ
ทำให้ชงักระยะยาวๆเลยคงไม่ได้ผล 100% เพราะรูปแบบใหม่ๆมาใหม่ๆเสมอๆครับ
คุณพี่หนึ่งสุดหล่อ เครื่องของผมเป็น linux-vps นะครับ 
พอจะบอก outline ได้ไหมครับ
ตอนนี้ผมทำแบบบ้านๆไปแล้วคือ disable root, change ssh port, ปิด service ที่ไม่ได้ใช้. ปิด ftp, ปิด php function (ชื่ออะไรหว่าจำไม่ได้), disallow users,
ทำได้แค่เนี้ย ที่เหลือพวก advanced ก็ต้องให้คนอื่นทำละครับ
kke
8
ทำไปขนาดนี้แล้ว ค่อยๆศึกษาไปครับ ไม่ต้องไปจ้างหรอก มันไม่ได้โดนกันง่ายๆหรอกถ้าไม่ประมาทหรือมีศัตรู
ลอง mount /tmp noexec เพิ่มอีกอย่างครับ (ถ้าแยก /tmp ไว้นะ)
คุณพี่ KKE ผมเป็นมือใหม่ครับก็ทำแบบมือใหม่ครับ เอา VMware มาลง centos แล้วก็กดเล่นที่เครื่องที่บ้านก่อนพอเริ่มได้เรื่อง ใช้งานได้ไม่ติดขัดถึงเริ่มไปซัดที่ server…
“mount /tmp noexec” –> ไว้ทำอะไรเนี่ย
มีคำถามเพิ่มอีกหน่อยครับ
bash> command not found …ทำไมผมเข้าไปที่ folder /usr/bin อะไรพวกนี้แล้วคำสั่งอย่างพวก
ifconfig มันไม่มีละครับ ไม่เข้าใจ
อันดับแรกเลยย้าย port ssh 22 ไป port อื่นๆ
อันดับสองเปิด iptables ใช้งาน
อันดับสามก็กำหนด disable_function ใน php.ini
อันดับสี่ก็กำหนดไม่ให้ login root ผ่าน ssh ได้ (ต้อง su- ผ่าน user group root แทน)
เบสิค…ก็ประมานนี้
Secure /tmp
Brut forge Detection
Apche Mod Security
Firewall with APF
แต่ port แนะนำเปิดแค่ที่ใช้
ส่วน PHP ก็ disable function อันตรายๆ
ขอบคุณคุณ Thaitumweb มากครับ ที่ช่วยดึงกระทู้ความรู้มาแบ่งปัน
Secure /tmp
ตามในกระทู้นั้นเป็นแบบที่ยังไม่ได้แยก /tmp ไว้
แล้วถ้าเกิดว่าเราแยก /tmp ไว้แล้วตอนสร้าง partition ละครับ
เราจะทำไง เอา noexec ไปใส่ใน fstab เลยได้มั้ยครับ
ของผมเป็นแบบนี้
LABEL=/
ton1
15
ปกติเค้า hack /tmp กันเหรอครับ อิอิ
งี้ทุกเครื่องก็โดน hack หมดสิครับ ถ้ามีเว็บ
ที่มีการเก็บรูป หรือเก็บ session ก็ต้องผ่าน
/tmp หมดนี่ครับ
[quote author=jieawjoaw link=topic=20969.msg199070#msg199070 date=1247308646]
Secure /tmp
ตามในกระทู้นั้นเป็นแบบที่ยังไม่ได้แยก /tmp ไว้
แล้วถ้าเกิดว่าเราแยก /tmp ไว้แล้วตอนสร้าง partition ละครับ
เราจะทำไง เอา noexec ไปใส่ใน fstab เลยได้มั้ยครับ
ของผมเป็นแบบนี้
LABEL=/
ทำ /tmp เสร็จแล้วอย่าลืม /var/tmp นะครับ อันตรายพอๆกัน
วิธีทำ
rm -rf /var/tmp
ln -s /tmp /var/tmp
