Uživatelské nástroje
navody:vps:incidenty
Rozdíly
Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revizePředchozí verzeNásledující verze | Předchozí verze | ||
| navody:vps:incidenty [2024/04/11 20:00] – Fix localhost IP aither | navody:vps:incidenty [2025/08/16 12:26] (aktuální) – oomd aither | ||
|---|---|---|---|
| Řádek 35: | Řádek 35: | ||
| což se obecně nedoporučuje. Je vhodné použít buď VPN a povolit přístup jen | což se obecně nedoporučuje. Je vhodné použít buď VPN a povolit přístup jen | ||
| přes síť VPN, nebo použít bezpečnější protokol, např. SFTP přes SSH. | přes síť VPN, nebo použít bezpečnější protokol, např. SFTP přes SSH. | ||
| + | |||
| + | ===== DNS-Open-Resolvers ===== | ||
| + | Na portu **53** máš spuštěný DNS resolver, který je po **IPv4** dostupný z internetu. | ||
| + | DNS resolver by měl buď poslouchat jen na localhostu, nebo musí být nastaven tak, aby | ||
| + | odpovídal jen na dotazy z vybraných sítí, např. adresy tvých VPS, síť z tvojí VPN, atp. | ||
| + | |||
| + | Volně dostupné DNS resolvery jsou zneužívány k amplifikačním útokům -- požadavek je mnohem | ||
| + | menší než odpověd, kterou DNS resolver zasílá zpět. Útočník toho využije a nechá odpověď | ||
| + | zaslat na adresu oběti. | ||
| ===== IPv6-Accessible-MySQL ===== | ===== IPv6-Accessible-MySQL ===== | ||
| Řádek 43: | Řádek 52: | ||
| < | < | ||
| [mysqld] | [mysqld] | ||
| - | bind-address = 127.0.0.1 | + | bind-address = ::1 |
| </ | </ | ||
| Řádek 60: | Řádek 69: | ||
| Chceš-li se k databází připojovat odjinud, můžeš povolit přístup konkrétním | Chceš-li se k databází připojovat odjinud, můžeš povolit přístup konkrétním | ||
| IP adresám pomocí firewallu. | IP adresám pomocí firewallu. | ||
| + | |||
| + | ===== IPv6-DNS-Open-Resolvers ===== | ||
| + | Na portu **53** máš spuštěný DNS resolver, který je po **IPv6** dostupný z internetu. | ||
| + | DNS resolver by měl buď poslouchat jen na localhostu, nebo musí být nastaven tak, aby | ||
| + | odpovídal jen na dotazy z vybraných sítí, např. adresy tvých VPS, síť z tvojí VPN, atp. | ||
| + | |||
| + | Volně dostupné DNS resolvery jsou zneužívány k amplifikačním útokům -- požadavek je mnohem | ||
| + | menší než odpověd, kterou DNS resolver zasílá zpět. Útočník toho využije a nechá odpověď | ||
| + | zaslat na adresu oběti. | ||
| ===== malware ===== | ===== malware ===== | ||
| Řádek 84: | Řádek 102: | ||
| všemožné konfigurační soubory a tvoje aplikace a data. Nejjistější je VPS přeinstalovat | všemožné konfigurační soubory a tvoje aplikace a data. Nejjistější je VPS přeinstalovat | ||
| a nastavit jej znovu. | a nastavit jej znovu. | ||
| + | |||
| + | ===== oomd ===== | ||
| + | VPS se v danou chvíli pohybovalo na hraně limitu paměti, tj. procesy jsou zdrženy | ||
| + | čekáním na volnou paměť, a současně drželo sdílené zámky v kernelu, což mělo negativní | ||
| + | vliv na ostatní VPS a celý node. | ||
| + | |||
| + | Je nutné si pohlídat konfiguraci služeb tak, aby se při dočasném navýšení provozu | ||
| + | nespouštělo více obsluhujících procesů (typicky web server, apache2 workery, PHP, atp.), | ||
| + | než kolik se do VPS vejde. | ||
| ===== open-memcached ===== | ===== open-memcached ===== | ||
navody/vps/incidenty.1712865610.txt.gz · Poslední úprava: 2024/04/11 20:00 autor: aither
Nástroje pro stránku
Kromě míst, kde je explicitně uvedeno jinak, je obsah této wiki licencován pod následující licencí: CC Attribution-Share Alike 4.0 International
