לא מזמן, התבקשתי לסייע באיזשהו פרוייקט אצל חברה, מהמובילות בתחומה במשק הישראלי.

כחלק מאותו פרוייקט, היתה גם הקמה של מערכת מסויימת של חברה מוכרת מאד בשוק הישראלי.

אישית, סייעתי בהקמה של השרת , ואכן הוא הועבר לאחריות של אותו ISV (שמו לא מתפרסם על מנת לתת לו את הזמן לתקן את הדרוש תיקון ועל מנת למנוע פגיעת שרשרת בלקוחות אחרים שלו ).

היום, פנה אותו יצרן תוכנה ללקוח , בטענה שיש לו בעיות בשרת (לדוג': הוא לא הצליח בעזרת הפקודה date להגדיר שעה נכונה ) , ולמעשה הוא סיים את תפקידו .

במסגרת הרצון שלי לסייע, הצעתי לו לכוון NTP , והוא ענה שאין זה בתחום האחריות שלו .

ברור, שלנגד עיניי, עמדה טובת הארגון בו הקימו את השרת , וביקשתי להתחבר מרחוק על מנת לסדר את העיניין .. ואז חשכו עיניי , שערי נשר, עורי הפך אפרפר ועיניי קפצו להם מארובותיהן.

הדבר הראשון שבלט לעיניי היה של root אין history .. מסתבר שחברת האפליקציה (שהיא זו שהתקינה את השרת שלהם ) , מוחקת את ה history על מנת שהלקוח שלהם לא יידע מה עשו במערכת …. פעם ראשונה שאני רואה שחברה מסתירה מהלקוח שלה מה הם עושים על השרתים שלו .

זה שהם (חברת האפליקציה) רצו להשאיר את פורט 10000 פתוח (webmin ) – מילא . אני אישית לא חושב שצריך להשאיר אותו , אבל מכוון שאני כן מבין שלא כולם אנשי לינוקס בחברות השונות, אם שירות זה נשאר פתוח יש להגביל אותו רק לגישה מכתובת ה IP של המכונה של מנהל הרשת האחראי על השרת , וכמובן להפעיל אותו עם SSL  .

אבל .. נבנו שם כ 50 משתמשים – ממתי צריך 50 משתמשים על מנת להריץ אפליקציה ?

לאותם 50 משתמשים יש גישת shell למערכת .. (! ) ממש נפלא ..

פתחו להם ftp server – לא ברור לי למה , כי מראש הבעתי את התנגדותי לקיומו של ftp וכתבתי להם בטרם השרת הועבר אליהם שבמקום ftp יואילו המכובדים לעבוד עם sftp (בסה"כ אם הם עובדים מ windows זה מצריך מהם להתקין אצלהם את winscp ) – הכל כדי שללקוח יהיה שרת שגם עובד וגם לא משמש נקודת פריצה לרשת הארגונית ..

לפתע , הרגשתי כאילו אכלתי סברס עם הקליפה והקוצים , שומו שמיים , על המערכת הותקן telnet server .

אישית , לא התקנתי telnet server מתחילת שנות ה 2000 , מבחינתי , האופציה של להפעיל telnel כלל לא קיימת ..

טוב אז מחקו את ההיסטוריה, אבל את הלוגים , לא מחקו , ואת בסיס הנתונים של last ו- lastb לא מחקו .. בדיקה מהירה העלתה, שככל הנראה בגלל "נוחות" של מישהו , לא רק שהתקינו telnet גם איפשרו התחברות שלו מרחוק .. ולא רק שאיפשרו את הדבר הזה – אפילו התחברו מרחוק, ולא רק זה , אלא השאירו אותו פתוח לאורך תקופה ! .

רק כדי לסבר את האוזן , מדובר בשרת פנימי בארגון , כלומר , ביצעו מעקף של ה firewall וה DMZ , ובאמצעות port forward העבירו הכל היישר אל השרת החדש .

בקיצור , חברה בישראל , לא צריכה האקרים /קראקרים , ספקי התוכנה שלה הם אלו המנקבים לה את הרשת .

למי שלא מבין את המשמעות , כל מי שנמצא ב subnet של ה ISP שממנו התחברו והפעיל סניפר , או כל מי שנמצא ב subnet של ה ISP של החברה שבה עשו את הפרוייקט והפעיל סניפר – יודע עתה את שמות המשתמשים במערכת ואת הסיסמאות שלהם .

כל מי שביצע סריקט פורטים אקראית .. יכול למצוא את השרת הבעייתי הזה (ואז להפעיל סניפר ).

בשלב הזה , אני אישית התנתקתי מהשרת והודעתי לחברה שבה בוצע הפרוייקט שאני ממש חושש מהמצב, ושאינני יכול לעבוד ככה . כמובן 2 אדוולים על מנת להרגיע את כאב הראש שתקף אותי .. כי כאלה דברים , כזה זילזול בלקוח שלהם .. לא ראיתי המון זמן .

ולמה אני כותב את כל זה … אם יש לכם אפליקציה של חברה ישראלית , שרץ על לינוקס, אנא , תדאגו שמישהו ייכנס אל המערכת , יריץ netstat -Nap ויבדוק מה פתוח על השרת …

עם כאלו חברות אפליקציה, מזל שעדיין יש ארגונים שמשתמשים בלינוקס .

ובעיניין של החברת אפליקציה , אם הם ימשיכו לעבוד בצורה הזו , לא תהיה לי ברירה אלא לפרסם את שמם . כי מי שעשוי להיפגע מכך זה לא הם .. הם יסירו מעצמם כל אחריות – אלא אתם .

אם אתם בדיוק חושבים לרכוש אפליקציה עסקית תוצרת ישראל .. אנא שלחו לי מייל וספרו לי , אם תקבלו ממני תגובה מאד ידידותית – אתם אולי במקום טוב, אם תקבלו תגובה קרירה ורשמית .. בדקו ב 7 עיניים מה עושים לכם בשרתים . בעצם .. תמיד תבדקו ב 7 עיניים מה עושים לכם בשרתים .

בעקבות וויכוחון שהתחיל בפורום של תפוז, בדבר חיבור ב FTP , הצעתי שלא לאפשר FTP תחת זאת לאפשר העברת מידע לשרת דרך WinSCP , טענו, ובצדק שבצורה זו אני מאפשר למשתמשים גישת shell לשרת וכך הם יכולים להזיק למערכת (לשיטתי אם נתתי להם חשבון ftp , הדבר לא פחות חמור).

לכן כתבתי מדריכון קצר כיצד ניתן לבנות סביבה מוגבלת למשתמש סטנדרטי , תוך שימוש ב restricted shell , נכון אין זו הסביבה המוגבלת החזקה ביותר – אולם היא מהירה להקמה ונוחה למימוש (ואם היא גם עונה על הצרכים שלכם – אז מה טוב).

הנה המדריך.

- דורון

במסגרת עשיית "נקיון פסח" אני מאתר כל מיני חומרים שכתבתי בעבר, מסדר אותם +- ומעלה אותם בצורה מסודרת…
היום העלתי מדריך נוסף העוסק בתחום של הקמת מערכות בצורה מאובטחת, המדריך (זמין בקישור).

בעיקרון , קיים פער בין הקמה של מערכות רגילות למערכות שבהן נרצה ליישם אבטחה ברמה גבוהה.
המדריך מצטרף לרשימה של מדריכים העוסקים בנושאים של אבטחה – כך שבסופו של דבר תיווצר שרשרת של מספר מדריכים שיספקו את המידע והכלים ליצור אבטחה ברמה טובה במערכת תוך הבנת המנגנוים השונים הקיימים במערכת.

האמת שמעבר לסיבות של פרסום מדריכים ועזרה לכלל ביישום של דברים שונים יש הגיון רב בלהעלות מידע לרשת .
לצערי, גיליתי לאחרונה שאיבדתי מסמך של למעלה מ 800 עמודים שעוסק בתיפעול בסיסי ומתקדם של מערכות, המסמך הזה היה אמור לצאת בעבר כספר אולם ברגע שהבנתי מה המו"לים בארץ עושים למי שכותבים ספרים – גמלה בי ההחלטה לשחרר את המידע לחופשי במקום לפרנס מו"ל.
בכל מקרה, מפה לשם העיניין השתהה – הרבה יותר מידי… והקבצים ככל הנראה אבדו (זה קורה כאשר בת הזוג / עובדים /ילדים וכל מיני נוגעים לך במחשבים ) .

מקווה, שאמצא אותם ….

- דורון