28-29 АВГУСТА
Киев, Украина
Киев, Украина
Drupal для параноиков: безопасность сайта и системного окружения VPS и выделенных серверов
30 Июля, 2009
Тип доклада:
Презентация
Field:
Разработка, тестирование, внедрение
Level of expertise:
Средний
Докладчик:
Александр Графов (axel)
Moscow, Russia
Если у вас паранойя, это не значит, что за вами не следят.
Если однажды открыв свой сайт вы обнаружили в FF надпись "Reported Attack Site", то вам стоит послушать этот доклад. Если с вашими сайтами пока всё в порядке, то тоже стоит послушать.
:) Taxonomy tags: HTTPS, SSH, FTP, Apache, Nginx, mod_security, FastCGI, Suhosin, Fail2Ban, spam, Mollom, Zabbix.
- Меры защиты друпала изнутри: модуль paranoia и базовые методы безопасной работы.
- Доработки друпала: сайт через http + админка через https, блокирование ненужных в работе сайта компонентов, защита от перебора паролей.
- Защита извне: права доступа, права доступа, права доступа... уменьшение последствий взлома скрипта сайта, защита от перебора паролей внешними средствами, почему нужен файрвол, почему не нужен файрвол, варианты установки PHP и др.
- Надёжность системы: простейшие методы мониторинга работоспособности, непростейшие методы (Zabbix и т.п. средства внешнего мониторинга).
- Паранойя в острой форме: блокирование доступа к критичным данным при физическом доступе к серверу.
- Бонуспак: защита контента сайта - методы блокирования спама.
Продолжительность: 30-35 минут.
Аудитория: системные администраторы и сайтостроители, увлекающиеся системным администрированием, разработчики сайтов, заказчики которых излишне озабочены вопросами безопасности.
Системные требования: знание команд unix, основы администрирования unix, основы API Drupal.
Пока материалы доклада окончательно не утверждены могут быть включены дополнительные темы. Оставляйте вопросы и пожелания в комментариях.
Комментарии
Присоединяйся!
Партнеры
paranoia
Хммм.. не слыхал.
Но Атаки бывали.
Надо бы как то попасть на эту презентейшн :)
30 Июля, 2009 - 14:06
интересно было бы также послушать про защиту от спама, но это немного другая тема.
31 Июля, 2009 - 13:26
Защита контента в принципе вписывается в тему доклада, ок, расскажу о методах защиты от спама и решениях для друпала. Включаю вопрос в тезисы.
11 Августа, 2009 - 17:58
интересная тема, с удовольствием послушал бы
5 Августа, 2009 - 09:38
У меня, кстати, есть очень простой вопрос. По умолчанию, у Друпала в settings.php прописано сохранение кукисов ('session.cookie_lifetime', 2000000), так что если не вылогиниться с сайта и закрыть браузер, а потом снова его открыть и зайти на сайт, залогиненное состояние сохраняется (несмотря на отсутствие кнопки типа "помнить меня в этом браузере на этом сайте"). Мне кажется, что это не очень хорошо с точки зрения безопасности, и стоит обнулить время жизни кукисов в settings.php - но это не сделано ни на drupal.org, ни на drupal.ru, ни на camp09.drupal.ua. Скажите, доктор, это у меня тоже паранойя, или они за мной следят, или и то и другое? :)
5 Августа, 2009 - 11:47
Да, это распротраненный вопрос. Специально для вас создан модуль Remember me. Лично меня такое положение дел не напрягает. В гостях я привык делать принудительный логаут из сайтов, если куда захожу, что точно гарантирует безопасность аккаунта.
5 Августа, 2009 - 14:32
Спасибо за ссылочку, может и пригодится.
Но я эту кнопочку вообще не люблю, и обычно просто обнуляю время жизни кукисов.
5 Августа, 2009 - 15:31
Хранение идентификатора сессии это фактически то же самое ремебер ми. Разница в том что, _обычно_ , в ремебе ми хранят хеш пароля.
Хранение id сессии даже в некотором роде безопаснее, потому как у нее есть время жизни, по истечении которого будет принудительный релогин. Чего не станется с типичной реализацией ремебер ми.
Плюс зная алгоритм генерации хеша для типичного ремебр ми, есть опасность восстановления пароля путем прямого перебора.
30 Августа, 2009 - 14:29