Кто отвечает за безопасность VPS?

Question

[Freeman]

Дорос до стадии, когда разделяемого хостинга для сайта уже не будет хватать. Придется брать VPS, настраивать и админить самому. В связи с этим возник вопрос, разбил его на две части для понятности.

• Кто отвечает за безопасность VPS — сам клиент, админы хостинга, или же вместе?
  
• Где вообще происходит граница ответственности хостера?
  

Стек планируется вполне обычный: Lighttpd, PHP, Python, Git, MariaDB, веб-движки вроде phpMyAdmin по надобности.

Я программист, на работе вовсю использовал сервера на *NIX по SSH, но отвечали за них админы-девопсы, а за безопасность — еще и отдел ИБ, если он был. А тут придется всё самому, да еще с админами хостинга VPS дружить или воевать, не знаю.

Конкретно мое опасение— в том, что придет какой-нибудь мамкин хакер или скрипт-кидди, и влезет на сервак, потому что я, условно, запятую не поставил в каком-нибудь ~/.figrc — просто потому, что ничего про нее не знал. Кто будет виноват? Админы VPS — в том, что пропустили мамкиного хакера до этого уровня, либо же я самдураквиноват — надо было вовремя про запятую гуглить.

Я сам никогда ничего не ломал, поэтому не представляю, как оно происходит. При этом предполагаю, что тематика моего проекта будет как магнит притягивать всяких фриков, неадекватов и мамкиных хакеров — в какой-то мере они даже моя ЦА. Могу ошибаться, конечно, но лучше перебдеть...

Из разумного могу сказать, что решил остаться на Lighttpd, на котором наработал уже значимый опыт. Лучше я просто перенесу/адаптирую текущие конфиги, чем буду бегать с горящим задом по форумам с глупыми вопросами по Apache и Nginx. По остальному стеку примерно так же — понимание, что да как, есть. Вопрос именно про всякие ~/.nafigrc, которых нет на Windows. Сервера через них же ломают? Или через что?

Comments

[Everything_is_bad]

ем буду бегать с горящим задом по форумам с глупыми вопросами по Apache и Nginx.

а это проблема, уже давно все вопросы по этим вебсерверам гуглятся, а не задаются на форумах, хотя большая часть вообще решается просто чтением доков

[AntHTML]

Обычно когда проект доростает до стадии, когда топовых тарифов разделяемого хостинга для сайта уже не хватает, то у владельцев уже достаточно денег для найма девопса, аудитора ИБ и иных членов команды.

[Everything_is_bad]

AntHTML, да ладно, куча проектов сразу начинаются на VPS и пилятся в одного программиста, шаред сильно ограничен уже на этой стадии

[AntHTML]

Everything_is_bad, ну это если проект сразу точится под VPS, а не под шаред. Так-то понятно что во многих местах шаред даже со старта ограничен.

[CityCat4]

AntHTML, Там может получиться, что php/python/черт-лысый не той версии, которая нужна (или например обновляется слишком редко или наоборот слишком часто). Но на шареде в этом отношении "кюшай что дают" :(

[pfg21]

норм. решил сам ковыряться в системе - ковыряйся :)
решил, что сам будешь знать настройки веб-сервера, линукса, впс и прочего - знай и изучай.
ну а то что у тебя руки под х винду заточены, дык это лишь твои проблемы :)
по простому можно покупать впс с виндой !!

[Adamos]

CityCat4, "кушай что дают" может быть как раз тем, что нужно клиенту.
У меня шаред под Битрикс стоит втрое дороже VPS под Лару.
Потому что мне хочется быть уверенным, что там все один раз настроено, просто работает и никто этого не трогает.
А если и случатся проблемы - то я из отпуска не буду пытаться открыть консоль на телефоне, а дерну ТП и вернусь к бассейну.

[Михаил Р.]

CityCat4,

Там может получиться, что php/python/черт-лысый не той версии, которая нужна (или например обновляется слишком редко или наоборот слишком часто).

Все проще, на shared хостинге либо вообще не поддерживается python/nodejs (например), либо поддерживается, но через phusion passenger, что накладывает множество ограничений, которые нахер не уперлись на проектах размером "несколько_файлов" или "минимальная_сложность".

[CityCat4]

Adamos, ну, те кто кюшает что дают - они обычно не спрашивают про VPS, а кюшают, как в известной детской песенке :) Правда тут есть обычная проблема - если тебе нужна фича Х, которая поддерживается только в версии Y, то саппорт шареда может согласиться ее поставить, а может и отправить тебя на юга...

[Adamos]

CityCat4, ну, есть варианты. Мне вот на этом самом шареде для работы с Почтой России (да будет проклято это имя!) понадобилась работа с файлами DBF в PHP 8+. Так ее проще оказалось написать самому ;)

[CityCat4]

Так ее проще оказалось написать самому ;)

Хорошо, когда ты в состоянии наипсать сам, но я полагаю, это исключение...

для работы с Почтой России

Эх... сколько еще я при упоминании Почты России буду вспоминать дэушку, которая потом проведет меня мордой по забору?

[Ziptar]

Кто отвечает за безопасность VPS — сам клиент, админы хостинга, или же вместе?

Клиент.

Где вообще происходит граница ответственности хостера?

Где заканчивается гипервизор и начинается гостевая система - там и проходит.

[Freeman]

AntHTML, Everything_is_bad, CityCat4, у меня проблема в первую очередь в числе поддоменов. На время разработки всё хостится дома, и я решил не ограничивать себя в поддоменах, раз есть такая возможность. Понравилось. Сам-то сайт маленький будет по сегодняшним меркам, ему бы минимального разделяемого тарифа хватило, если бы не домены и не Apache, который я на дух не переношу. Так что уж лучше мамкины хакеры, которые то ли будут, то ли не будут, чем гарантированный разрыв головы от написания правил в .htaccess.

[Ziptar]

гарантированный разрыв головы от написания правил в .htaccess

Я, как человек, далекий от веба могу на это сказать, что я лучше всю жизнь .htaccess править буду, чем ещё раз притронусь к js

[CityCat4]

Ziptar, В чем-то я тебя понимаю :) Я тоже пытался с ним задружить, но дружба не сложилась :)

Answer 1

[rPman]

Зона ответственности хостера начинается и заканчивается в лицензионном соглашении.

Есть хостеры, предлагающие услуги защиты от ddos. Есть хостеры, предлагающие услуги администрирования. Есть хостеры, предлагающие услуги компьютер-в-сейфе, некоторые сертификации требуют соответствующий уровень ограничения доступа к компьютеру, на котором крутится сервис. Везде ответственность прописывается отдельно

В любом случае VPS это виртуальная машина, по факту - еще один компьютер, который ваш администратор (клиент VPS или если арендует компания, выделенный человек в ней) обязан контролировать и за который он отвечает.

Answer 2

[CityCat4]

Кто отвечает за безопасность VPS — сам клиент,

Сам клиент. И больше никто.

Где вообще происходит граница ответственности хостера?

ВМ запустилась, выбранный вариант загружен, сеть есть. Если ставишь свой дистриб - ВМ запустилась, сеть есть.

Кто будет виноват?

я самдураквиноват — надо было вовремя про запятую гуглить.

Именно вот так

Когда я, самдураквиноват, собрал систему с неподдерживаемыми инструкциями процессора и она посыпалась при загрузке - хостер только плечами пожал "у всех остальных работает..."

Comments

[Freeman]

Мой вопрос — больше про случай типа такого:

termcapinfo xterm* 'is=\E[r\E[m\E[2J\E[H\E[?7h\E[?1;4;6l'

Эту строчку нужно вписать в ~/.screenrc (на CentOS, вроде), чтобы окно PuTTY сохраняло размеры и не сбрасывалось к умолчаниям. Столкнулся как-то на работе. Уже не помню, сам нагуглил или админы подсказали.

Это и есть та самая «запятая», которую невозможно предусмотреть или продумать, а надо просто знать. И кто знает, сколько их будет, и каких? ← в такой формулировке вопрос был бы очень общим, но он как раз об этом...

[CityCat4]

Работа termcap/terminfo - она выглядит реальным шаманством... ровно до тех пор, пока ман не прочитаешь соответствующий. А когда прочитаешь - сразу видно, что is - это строка инициализации 2 при логине, которая передает в терминал некоторую последовательность ESC-команд (какую конкретно - это сейчас разберем :))
\E[ - Это CSI (Control Sequence Initiator - Начало управляющей последовательности). Она определяет начало новой команды.
r - установить область прокрутки. При этом по идее должны быть параметры, видимо используются умолчания, заданные ранее
m - установить атрибуты экрана. Поскольку ничего не задано, считается за нуль (сброс всего в дефолт)
2J - очистить окно терминала и переместить курсор в левый верхний угол
H - еще раз (для гарантии?) перемещает курсор в позицию 1;1 (левый верхний угол)
?7h - включить автоперенос после 80-й позиции
?1;4;6l - длинная команда, состоящая из трех (1l, 4l, 6l). Первая - посылать префикс ESC 0 с клавишами курсора. Вторая - включить режим вставки. Третья - рассматривать координаты курсора относительно левого верхнего угла области прокрутки.

Подозреваю, что реально срабатывает только самая последняя команда :) Ничего шаманского, все есть в манах.

Но на счет "знать" - согласен. Это, к сожалению особенность построения линуха - чтобы его настроить полностью, ты должен полностью его знать :( Незнание того, что где-то в /etc/zhopa/sraka/dyrka.conf нужно прописать строчку типа zadnica=off может привести к тому, что например звука не будет :)

И кто знает, сколько их будет, и каких?

Много и самых разных. Вот например, я работаю на генте. Десять лет уже почти, но сказать "я знаю генту" все еще не могу :) Я знаю ее отдельные части но тем не менее иногда она умудряется загнать меня в дикий тупняк :D

[Freeman]

но сказать "я знаю генту" все еще не могу

CityCat4, я придумал термин для этого — прецедентная система конфирурирования. Противостоит ей система на сквозных правилах. Это просто разные школы — всё как в праве.

[CityCat4]

Freeman, Система на правилах - это винда? Это тоже не верно, потому что по реестру винды книги пишут - где и что в нем поменять и на что это повлияет. Но там хотя бы оно все в одном месте.

[Freeman]

CityCat4, нет, Винда тоже прецедентная — как раз именно из-за реестра. Систем на правилах сейчас нет, потому что все ОС — американские. Возможно, системой на правилах была Symbian (беру чисто по стране происхождения), но я совершенно не знаю ее внутренностей и ничего утверждать не могу.

[CityCat4]

Freeman, Ну, такая система может никогда и не появиться - потому что в таком случае и софт и сама ОС должны писаться одной конторой. Такие ОС есть - теже ОС реального времени, но они крайне узкопрофессиональны.

Answer 3

[Сергей Сахаров]

1. Клиент за всё отвечает сам.
2. Через .rc не ломают, дефолтовые настройки норм.
3. Вы должны представлять, какие службы крутятся на VPS и на каких именно портах.
4. Иногда техподдержка хостера предоставляет доп услуги - типа "снять снапшот или образ ВМ/ откатить систему на предыдущее заранее сохранённое состояние". Если и нет, образ можно снять самостоятельно. Более того, образ не обязательно ставить с дистриба - накатить заранее сохранённый образ из Acronis/Norton Ghost обычно тоже можно. Да хоть dump/restore использовать.
5. Можно использовать нестандартные порты - типа ssh на порту 3128 или 8022 например.
6. В отличие от *bsd разные версии linux позволяют заходить под рутом. Это надо сразу отключать.
7. И разумеется, чем меньше служб - тем меньше точек для взлома. php_fpm и mariadb могут работать через socks, не занимая сетевые интерфейсы (даже интерфейс обратной петли). Частый метод взлома - sql-иньекция, так что надо ограничить доступ к sql и проверять вводимые данные.

Comments

[Freeman]

7. И разумеется, чем меньше служб - тем меньше точек для взлома

Да, я как раз решил перенести на Linux этот принцип, используемый мной на Windows. Не пользуешься чем-то — этого не должно быть на машине. Поэтому дистрибутивы Debian и Ubuntu не подходят. Думал брать Arch, но он мне показался слишком сложным для самостоятельного использования. Знающий человек сказал, что он еще и капризен: пропустил обновление пакетов — хрен обновишь потом. А мне «установил и забыл» надо.

Короче, пока на рассмотрении Alpine Linux (по совету знатока; напомнила мне OpenWrt своей легковесностью) и CentOS, если с Alpine не срастется.

[Сергей Сахаров]

Freeman, не совсем понял принцип выбора дистрибутивов. По идее все службы в Debian так же можно просмотреть и если не нужно - отключить.
Я лично пользуюсь OpenBSD, несколько лет назад пользовался FreeBSD.
У второй есть скрипты для создания TinyBSD и PicoBSD. Помню, TinyBSD развернул на флешке в 256 мегабайт (!!!). CF через переходник CF-IDE если что...

Хотя сейчас хостеры обычно не дают опёнок, но фря у них есть. И меньше 10 гиг под VPS мало кто даёт, обычно 15-30 гиг.

[Freeman]

не совсем понял принцип выбора дистрибутивов

Сергей Сахаров, физическое отсутствие неиспользуемых компонентов и программ. Нет программы — нечего ломать и нечему ломаться.

[CityCat4]

Сергей Сахаров, Хостеры (некоторые) соглашаются загрузить твой ISO, с которого хоть черта поставить можно. Я много лет пользовался FreeBSD, но у работодателей она не популярна :)

[CityCat4]

Freeman, Тогда ты неизбежно придешь к source-based дистрибам - арч, гента, та же FreeBSD. Не знаю, как с этим в арче, но в генте можно убрать большинство компонетов, если они не нухны и по умолчанию там мало что есть.

[Сергей Сахаров]

Freeman, так если программа есть и не запущена - она просто лежит на диске. А чтобы ей воспользоваться, надо сначала получить доступ к ВМ.
Сам факт наличия программы не страшен, важно наличие именно запущенных программ (процессов, в том числе служб). Всегда можно сделать ps ax и посмотреть список запущенного. Я иной раз и количество консолей в ttys уменьшаю до двух.

[Freeman]

Сам факт наличия программы не страшен

Сергей Сахаров, но бесит. А я нервный. Психануть и сломать — и хакер не нужен.

[Сергей Сахаров]

Freeman,

Answer 4

[Drno]

Клиент конечно. Либо берите тариф с платной тех по

Comments

[maksam07]

Либо берите тариф с платной тех по

но и тут стоит уточнить, что это вряд ли будет перекладывание ответственности - просто они смогут что-то проверить и перенастроить, когда клиент не шарит

[Drno]

maksam07, ну да, согласен.. т.к. юзер имеет доступ к ВМ, хостер не может гарантировать её безопастность

Answer 5

[garbagecollected]

Вы можете использовать гомоморфное шифрование и запускать свой стек в анклаве. Тогда админы хостера физически не могут влиять на запущенное приложение, кроме как выключить сервер из розетки. Но это потребует знаний и современных CPU, которые как правило, на дешевых VPS не используются.

И php безопасно настроить довольно сложно, если вообще возможно.