Сайт, которым я управляю, уже пострадал от одного крупного и одного незначительного нарушения, поэтому я внимательно изучаю методы повышения безопасности. Мы использовали FTP ...
Кажется, все согласны с тем, что FTP необходимо заменить ради безопасности, и SFTP, похоже, заменяет. Но наш план общего хостинга предусматривает только одну учетную запись SFTP, а наш основной альтернативный поставщик - только одну.
Я полагаю, что это как раз то, что можно позволить себе лучше, чем виртуальный хостинг. Но еще и потому, что SFTP основан на SSH, и нет необходимости заставлять много разных людей копаться в сайтах через SSH.
Q1: Предоставляют ли какие-либо крупные поставщики хостинга несколько безопасных учетных записей в планах общего хостинга по конкурентоспособным ценам?
Q2: Верно ли, что нет разумного способа разделить одну учетную запись SFTP между двумя или тремя людьми? Другими словами, неизбежно ли, что кто-то в конечном итоге воспользуется полностью небезопасным FTP-соединением?
Q3: что делать? Предложения приветствуются!
Q4: Я упускаю что-нибудь невероятно очевидное?
Нет, нам так и не удалось определить причину нарушений, несмотря на большие усилия. Я нашел столько списков мер предосторожности и отверстий, которые нужно закрыть, и приложил все усилия. FTP - одна из основных проблем, которые я все еще пытаюсь закрыть.
Вкратце: после первого взлома мы обновили используемую нами CMS до последней версии (phpFusion) и переместили основную часть сайта на поддомены. (Для этого есть веская причина, не относящаяся к делу.) Это оставило в базовом домене только тривиальное приветствие - переключение html-страницы, содержащей статические ссылки на экземпляры CMS в поддоменах. Второе нарушение привело к появлению в этом файле множества скрытых ссылок. Насколько я понимаю, в базовом домене практически нечего было взламывать, поэтому перехваченный FTP кажется наиболее вероятным средством доступа. Пароли FTP были достаточно надежными, поэтому перебор маловероятен.
Кстати, служба технической поддержки не ответила на наши отчеты об инцидентах, а поставщик не предоставляет журнал доступа к FTP, который мог бы подтвердить или исключить, что кто-то перехватил учетные данные FTP.
-
Нас всего двое с корневым доступом к сайту. Мы работаем над сайтом, представляющим общественный интерес, поэтому оба очень заинтересованы в его защите. Я обеспокоен тем, что мой коллега не очень техничен и ему нечего тратить на защиту своего ПК, поэтому он, возможно, взял кейлоггер.
Нас всего двое с корневым доступом к сайту. Мы работаем над сайтом, представляющим общественный интерес, поэтому оба очень заинтересованы в его защите. Меня беспокоит, что мой коллега не очень техничен и ему нечего тратить на защиту своего компьютера, поэтому он взял в руки кейлоггер.
Были ли в первую очередь определены первопричины нарушений и были ли они определены как результат взломанного входа в систему (что может указывать, а может и не указывать на взломанный сеанс ftp)? Замена ftp на sftp определенно более безопасна, но действительно ли она устраняет ваши прошлые нарушения (чтобы вы не стали повторной жертвой той же уязвимости - что должно быть в первую очередь)?
Данные FTP (включая учетные данные для входа) передаются в виде обычного текста, поэтому они так небезопасны. Вы определенно захотите начать использовать SFTP, поскольку тогда ваши данные будут зашифрованы.
Q1: Предоставляют ли какие-либо крупные поставщики хостинга несколько безопасных учетных записей в планах общего хостинга по конкурентоспособным ценам?
A1: Media Temple предлагает способ создания нескольких пользователей с доступом к SSH / SFTP в их «общем» плане хостинга - они называют это Grid. http://mediatemple.net
Q2: Верно ли, что нет разумного способа разделить одну учетную запись SFTP между двумя или тремя людьми? Другими словами, неизбежно ли, что кто-то в конечном итоге воспользуется полностью небезопасным FTP-соединением?
A2: Это зависит от того, чего вы хотите. Если вас всего двое или трое работают вместе, тогда нет особых причин, по которым совместное использование учетной записи было бы проблемой. Кстати, в зависимости от того, с кем вы работаете и вашего уровня доверия с этими людьми, вы действительно хотите, чтобы учетная запись ssh / sftp, которую вы все разделяете, НЕ была пользователем root / администратором.
Q3: что делать? Предложения приветствуются!
A3: Если вы доверяете своим коллегам, нет причин, по которым вы не могли бы использовать одну учетную запись ssh / sftp. Я действительно предлагаю вам полностью отключить FTP, если вы можете, или, по крайней мере, отключить FTP для этого пользователя. Поскольку ваш сайт уже был взломан, также убедитесь, что все ваши пароли изменены. Все они: mysql, apache, root и любые другие пользователи или учетные записи.
Q4: Я упускаю что-нибудь невероятно очевидное?
A4: Остерегайтесь инъекций sql, старых версий программного обеспечения: apache, phpmyadmin, mysql - держите эти вещи в актуальном состоянии и всегда используйте SFTP или SSH для удаленного подключения к вашему хосту. Меняйте пароли настолько часто, насколько это разумно для вашего стиля работы для всех систем; пользователи базы данных, учетные записи root, ssh ... и т. д.
Если вы пользуетесь общим хостингом, вы обычно платите за веб-пространство для домена, поэтому вы получите одну учетную запись SSH, которая позволит вам войти в эту папку. SFTP просто входит в систему, используя эту учетную запись, и ограничение на количество учетных записей, скорее всего, зависит от количества имен пользователей, а не от количества одновременных подключений.
Если у вас более одного домена, вы, вероятно, получите более одной учетной записи. Если нет, зачем вам больше одной учетной записи? Также см. Сообщение user48838, он прав, не удосуживайтесь прибивать доску к двери, если у вас есть открытое окно.