LINUX.ORG.RU

История изменений

Исправление KivApple, (текущая версия) :

Ну вообще-то сейчас у тебя разрешён не доступ к конкретному порту, а ко всем портам системы в принципе.

И тут есть пара нюансов:

1) Не всем сервисам стоит светить в сеть. Скажем, серверу БД скорее всего не стоит. Конечно, часто есть возможность настроить их так, чтобы они принимали подключения только с localhost, однако фаерволл является дополнительным рубежом защиты. Ты имеешь гарантии, что извне будет доступ только к тем службам, которые нужно вне зависимости от настроек конкретных сервисов.

2) Допустим, тебя таки поломали через уязвимость в каком-нибудь софте, но root-прав не получили, а только права уязвимой программы. И хотят они для удалённого доступа запустить сервер удалённого управления (если номер порта больше 1000, то для работы с ним root не нужен), запускают - правило фаервола не даёт приконнектится. Опять же рубеж защиты.

Что касается «вирусов нагонят». Через конкретно сам порт никто тебя не поломает. Однако порт слушает какое-то приложение (веб-сервер, например). И открытость порта означает, что кто-угодно может с этим приложением взаимодействовать (однако если порт открыт, но его никто не слушает, то к нему всё равно нельзя подключиться, однако мало ли - вдруг злоумышленник сможет что-то запустить, что начнёт слушать). А приложения, бывает, содержат ошибки и уязвимости. И кто-нибудь может передать какие-нибудь некорректные данные, чтобы этими ошибками воспользоваться в свою пользу. Ах да, веб-сервер часто отдаёт не только статику, но и, скажем, запускает PHP-скрипты или проксирует запрос к серверу, написанному на nodejs, python, ruby или чём-то ещё. Данные, полученные от пользователя, в какой-то степени передаются этим приложениям (иначе как понять, что хочет юзер). И опять же ошибки в них позволяют сделать что-то нехорошее.

Поэтому:

1) Все сетевые сервисы запускаются не от root, а от отдельных пользователей. Скажем, веб-сервер запускается от юзера http или www-data. Также иногда запрещают этому пользователю писать в каталог скриптов, только статичных файлов. Все эти способы минимизируют ущерб от взлома.

2) Сервисы, которые пользователю не нужны прямо (скажем, база данных, из которой сайт грузит странички), закрывают фаерволом, ибо ошибки везде есть и чем меньше сервисов открыто, тем меньше шанс нарваться на такое.

Вывод один: открывать только нужные порты и своевременно обновлять софт (с обновлением закрываются известные уязвимости). Причём не только системный, но и всякие CMS и т. п.

Исправление KivApple, :

Ну вообще-то сейчас у тебя разрешён не доступ к конкретному порту, а ко всем портам системы в принципе.

И тут есть пара нюансов:

1) Не всем сервисам стоит светить в сеть. Скажем, серверу БД скорее всего не стоит. Конечно, часто есть возможность настроить их так, чтобы они принимали подключения только с localhost, однако фаерволл является дополнительным рубежом защиты. Ты имеешь гарантии, что извне будет доступ только к тем службам, которые нужно вне зависимости от настроек конкретных сервисов.

2) Допустим, тебя таки поломали через уязвимость в каком-нибудь софте, но root-прав не получили, а только права уязвимой программы. И хотят они для удалённого доступа запустить сервер удалённого управления (если номер порта больше 1000, то для работы с ним root не нужен), запускают - правило фаервола не даёт приконнектится. Опять же рубеж защиты.

Что касается «вирусов нагонят». Через конкретно сам порт никто тебя не поломает. Однако порт слушает какое-то приложение (веб-сервер, например). И открытость порта означает, что кто-угодно может с этим приложением взаимодействовать (однако если порт открыт, но его не слушает, то к нему всё равно нельзя подключиться, однако мало ли). А приложения, бывает, содержат ошибки и уязвимости. И кто-нибудь может передать какие-нибудь некорректные данные, чтобы этими ошибками воспользоваться в свою пользу. Ах да, веб-сервер часто отдаёт не только статику, но и, скажем, запускает PHP-скрипты или проксирует запрос к серверу, написанному на nodejs, python, ruby или чём-то ещё. Данные, полученные от пользователя, в какой-то степени передаются этим приложениям (иначе как понять, что хочет юзер). И опять же ошибки в них позволяют сделать что-то нехорошее.

Поэтому:

1) Все сетевые сервисы запускаются не от root, а от отдельных пользователей. Скажем, веб-сервер запускается от юзера http или www-data. Также иногда запрещают этому пользователю писать в каталог скриптов, только статичных файлов. Все эти способы минимизируют ущерб от взлома.

2) Сервисы, которые пользователю не нужны прямо (скажем, база данных, из которой сайт грузит странички), закрывают фаерволом, ибо ошибки везде есть и чем меньше сервисов открыто, тем меньше шанс нарваться на такое.

Вывод один: открывать только нужные порты и своевременно обновлять софт (с обновлением закрываются известные уязвимости). Причём не только системный, но и всякие CMS и т. п.

Исправление KivApple, :

Ну вообще-то сейчас у тебя разрешён не доступ к конкретному порту, а ко всем портам системы в принципе.

И тут есть пара нюансов:

1) Не всем сервисам стоит светить в сеть. Скажем, серверу БД скорее всего не стоит. Конечно, часто есть возможность настроить их так, чтобы они принимали подключения только с localhost, однако фаерволл является дополнительным рубежом защиты. Ты имеешь гарантии, что извне будет доступ только к тем службам, которые нужно вне зависимости от настроек конкретных сервисов.

2) Допустим, тебя таки поломали через уязвимость в каком-нибудь софте, но root-прав не получили, а только права уязвимой программы. И хотят они для удалённого доступа запустить сервер удалённого управления (если номер порта больше 1000, то для работы с ним root не нужен), запускают - правило фаервола не даёт приконнектится. Опять же рубеж защиты.

Что касается «вирусов нагонят». Через конкретно сам порт никто тебя не поломает. Однако порт слушает какое-то приложение (веб-сервер, например). И открытость порта означает, что кто-угодно может с этим приложением взаимодействовать (однако если порт открыт, но его не слушает, то к нему всё равно нельзя подключиться, однако мало ли). А приложения, бывает, содержат ошибки и уязвимости. И кто-нибудь может передать какие-нибудь некорректные данные, чтобы этими ошибками воспользоваться в свою пользу. Ах да, веб-сервер часто отдаёт не только статику, но и, скажем, запускает PHP-скрипты или проксирует запрос к серверу, написанному на nodejs, python, ruby или чём-то ещё. Данные, полученные от пользователя, в какой-то степени передаются этим приложениям (иначе как понять, что хочет юзер). И опять же ошибки в них позволяют сделать что-то нехорошее.

Поэтому:

1) Все сетевые сервисы запускаются не от root, а от отдельных пользователей. Скажем, веб-сервер запускается от юзера http или www-data. Также иногда запрещают этому пользователю писать в каталог скриптов, только статичных файлов. Все эти способы минимизируют ущерб от взлома.

2) Сервисы, которые пользователю не нужны прямо, закрывают фаерволом, ибо ошибки везде есть и чем меньше сервисов открыто, тем меньше шанс нарваться на такое.

Вывод один: открывать только нужные порты и своевременно обновлять софт (с обновлением закрываются известные уязвимости). Причём не только системный, но и всякие CMS и т. п.

Исходная версия KivApple, :

Ну вообще-то сейчас у тебя разрешён не доступ к конкретному порту, а ко всем портам системы в принципе.

И тут есть пара нюансов:

1) Не всем сервисам стоит светить в сеть. Скажем, серверу БД скорее всего не стоит. Конечно, часто есть возможность настроить их так, чтобы они принимали подключения только с localhost, однако фаерволл является дополнительным рубежом защиты. Ты имеешь гарантии, что извне будет доступ только к тем службам, которые нужно вне зависимости от настроек конкретных сервисов.

2) Допустим, тебя таки поломали через уязвимость в каком-нибудь софте, но root-прав не получили, а только права уязвимой программы. И хотят они для удалённого доступа запустить сервер удалённого управления (если номер порта больше 1000, то для работы с ним root не нужен), запускают - правило фаервола не даёт приконнектится. Опять же рубеж защиты.

Что касается «вирусов нагонят». Через конкретно сам порт никто тебя не поломает. Однако порт слушает какое-то приложение (веб-сервер, например). И открытость порта означает, что кто-угодно может с этим приложением взаимодействовать. А приложения, бывает, содержат ошибки и уязвимости. И кто-нибудь может передать какие-нибудь некорректные данные, чтобы этими ошибками воспользоваться в свою пользу. Ах да, веб-сервер часто отдаёт не только статику, но и, скажем, запускает PHP-скрипты или проксирует запрос к серверу, написанному на nodejs, python, ruby или чём-то ещё. Данные, полученные от пользователя, в какой-то степени передаются этим приложениям (иначе как понять, что хочет юзер). И опять же ошибки в них позволяют сделать что-то нехорошее.

Поэтому:

1) Все сетевые сервисы запускаются не от root, а от отдельных пользователей. Скажем, веб-сервер запускается от юзера http или www-data. Также иногда запрещают этому пользователю писать в каталог скриптов, только статичных файлов. Все эти способы минимизируют ущерб от взлома.

2) Сервисы, которые пользователю не нужны прямо, закрывают фаерволом, ибо ошибки везде есть и чем меньше сервисов открыто, тем меньше шанс нарваться на такое.

Вывод один: открывать только нужные порты и своевременно обновлять софт (с обновлением закрываются известные уязвимости). Причём не только системный, но и всякие CMS и т. п.