Вопрос Кибербезопасность и защита

[Mioji]

Какие меры безопасности вы считаете самыми лучшими и эффективными? Я имею ввиду защиту тачек, сети и серверов. Особенно в рамках крупных проектов Minecraft.

Есть много уровней, систем защит, и хотелось бы какие самые параноидальные из вашего опыта. Сейчас я изучаю и настраиваю инфраструктуру по стандарту Google и некоторых крупных банков, где все строиться на многоуровневой изоляции и zero trust.

 

[Art_Farm]

Какие меры безопасности вы считаете самыми лучшими и эффективными? Я имею ввиду защиту тачек, сети и серверов. Особенно в рамках крупных проектов Minecraft.

Есть много уровней, систем защит, и хотелось бы какие самые параноидальные из вашего опыта. Сейчас я изучаю и настраиваю инфраструктуру по стандарту Google и некоторых крупных банков, где все строиться на многоуровневой изоляции и zero trust.

Первым делом выбирается ХОРОШИЙ И ПРОВЕРЕННЫЙ провайдер с хорошей сетью и ддос защитой, также (хоть и не обязательно) подключаются всякие gameshield tcpshield как доп защита от ддос. Потом качественная настройка nftables и открытие только нужных тебе портов только по нужным тебе протоколам.
Дальше настройка прокси Velocity, замена в flowarding.secret кода на 30 значный (с использованием букв разного регистра, цифр и т.д.), потом качественная настройка velocity.toml. Потом ставим на Velocity если у вас сервер в "offline-mode" всякие защитные плагины (LimboAuth, FoxGate, VelocitySBlock / Sonar). Теперь выбираем версию и ядра для бекенд серверов, ядро выбирайте Leaf или Purpur, а версию 1.21.4+, дальше подключаем все сервера к Velocity, но не открываем порты самих бекенд серверов. Ещё надо запариться над оптимизацией, потом настроить Anti-XRay, packet-limiter, item-validation. Потом ставим на все бекенд сервера LPX чтобы точно защититься.
ну в принципе всё.

 

[Entity KOSMOS]

Первым делом выбирается ХОРОШИЙ И ПРОВЕРЕННЫЙ провайдер с хорошей сетью и ддос защитой, также (хоть и не обязательно) подключаются всякие gameshield tcpshield как доп защита от ддос. Потом качественная настройка nftables и открытие только нужных тебе портов только по нужным тебе протоколам.
Дальше настройка прокси Velocity, замена в flowarding.secret кода на 30 значный (с использованием букв разного регистра, цифр и т.д.), потом качественная настройка velocity.toml. Потом ставим на Velocity если у вас сервер в "offline-mode" всякие защитные плагины (LimboAuth, FoxGate, VelocitySBlock / Sonar). Теперь выбираем версию и ядра для бекенд серверов, ядро выбирайте Leaf или Purpur, а версию 1.21.4+, дальше подключаем все сервера к Velocity, но не открываем порты самих бекенд серверов. Ещё надо запариться над оптимизацией, потом настроить Anti-XRay, packet-limiter, item-validation. Потом ставим на все бекенд сервера LPX чтобы точно защититься.
ну в принципе всё.

Сонар как по мне кал, лимбофильтр будет и то лучше

 

[Art_Farm]

Сонар как по мне кал, лимбофильтр будет и то лучше

Да я просто как популярный пример привёл.

 

[Mioji]

Первым делом выбирается ХОРОШИЙ И ПРОВЕРЕННЫЙ провайдер с хорошей сетью и ддос защитой, также (хоть и не обязательно) подключаются всякие gameshield tcpshield как доп защита от ддос. Потом качественная настройка nftables и открытие только нужных тебе портов только по нужным тебе протоколам.
Дальше настройка прокси Velocity, замена в flowarding.secret кода на 30 значный (с использованием букв разного регистра, цифр и т.д.), потом качественная настройка velocity.toml. Потом ставим на Velocity если у вас сервер в "offline-mode" всякие защитные плагины (LimboAuth, FoxGate, VelocitySBlock / Sonar). Теперь выбираем версию и ядра для бекенд серверов, ядро выбирайте Leaf или Purpur, а версию 1.21.4+, дальше подключаем все сервера к Velocity, но не открываем порты самих бекенд серверов. Ещё надо запариться над оптимизацией, потом настроить Anti-XRay, packet-limiter, item-validation. Потом ставим на все бекенд сервера LPX чтобы точно защититься.
ну в принципе всё.

Ну, это то очевидно, хотя многие не делают. Но лично меня интересует не внутриигровая защита, а серверов и сети.

Если ты это все сделаешь, но у тебя тачка и в целом все что под капотом настроено криво - ничего не поможет. Вскроют (взломают) как ржавую банку.

 

[Entity KOSMOS]

Ну, это то очевидно, хотя многие не делают. Но лично меня интересует не внутриигровая защита, а серверов и сети.

Если ты это все сделаешь, но у тебя тачка и в целом все что под капотом настроено криво - ничего не поможет. Вскроют (взломают) как ржавую банку.

Использовать ключи, сменить порт, заблокировать вход с рута, поставить Fail2ban, не запускать по с рута, обновлять по. За одно можно забанить грязные асн.

 

[Mioji]

Использовать ключи, сменить порт, заблокировать вход с рута, поставить Fail2ban, не запускать по с рута, обновлять по. За одно можно забанить грязные асн.

Это все тоже очевидно, использую, кроме Fail2ban, есть другая более мощная и современная утилита CrowdSec. Но это лишь базовый уровень и все равно многие до него не дойдут, потому что у тачки нет прямого доступа в инет буквально, идет через туннель, зайти могут только проверенные клиенты, пройдя через много политик безопасности, такие как локальные ключи шифрования, гугл аккаунт с двухой и биометрией и ещё много чего. Взломав и подобрав один аспект политики, но не имея понятия о другом = пройти через стену нереально.

Насчёт рута. Настроена многоуровневая изоляция, покинуть которую невозможно, даже предусмотрены меры защит docker socket.

 

[Art_Farm]

Использовать ключи, сменить порт, заблокировать вход с рута, поставить Fail2ban, не запускать по с рута, обновлять по. За одно можно забанить грязные

Насчёт внутриигровой защиты я тоже написал, LPX, packet-limiter, Item-Validation и тому подобное.

Использовать ключи, сменить порт, заблокировать вход с рута, поставить Fail2ban, не запускать по с рута, обновлять по. За одно можно забанить грязные асн.

Блокировать рут не обязательно если прямые руки

Использовать ключи, сменить порт, заблокировать вход с рута, поставить Fail2ban, не запускать по с рута, обновлять по. За одно можно забанить грязные асн.

Как по мне сложный пароль + мощное шифрование ssh это довольно безопасная штука, и никакие ключи использовать не обязательно.

 

[Entity KOSMOS]

Насчёт внутриигровой защиты я тоже написал, LPX, packet-limiter, Item-Validation и тому подобное.



Блокировать рут не обязательно если прямые руки



Как по мне сложный пароль + мощное шифрование ssh это довольно безопасная штука, и никакие ключи использовать не обязательно.

Я про вход с рута. А не блокировку его использования

 

[Mioji]

Блокировать рут не обязательно если прямые руки

На самом деле ещё как обязательно. Если ПО получил хоть какой-то намек на Root доступ, то как паразит сможет заразить всю машину и/или установить Rootkit. А главная твоя задача в безопасности минимизировать вред.

Увы, но уязвимостей, эксплойтов и багов может быть слишком много, ты никогда не сможешь проверить код каждой программы и либы. Без команды кибербезопасников следить за полной гигиеной невозможно. Так что если твой сервер и по работает через root = ты глупец. Это огромный риск.

 

[Art_Farm]

На самом деле ещё как обязательно. Если ПО получил хоть какой-то намек на Root доступ, то как паразит сможет заразить всю машину и/или установить Rootkit. А главная твоя задача в безопасности минимизировать вред.

Увы, но уязвимостей, эксплойтов и багов может быть слишком много, ты никогда не сможешь проверить код каждой программы и либы. Без команды кибербезопасников следить за полной гигиеной невозможно. Так что если твой сервер и по работает через root = ты глупец. Это огромный риск.

Я не говорю что надо запускать сервер под root. Я говорю что в принципе можно оставить и не блокировать root (к примеру для обслуживания VDS в общем) но точно не запускать на нем сомнительные программы или плагины (лучше вообще ничего не проверенного не запускать)

Объединено Вчера в 16:00

Я про вход с рута. А не блокировку его использования

Так если ты заблокируешь вход по нему – ты не сможешь в него заходить. Конечно можно входить уже внутри VDS командой когда ты подключился к ней под другим пользователем, но для чего эта мудрёж если опять же, можно поставить сложный пароль.

 

[Mioji]

Я не говорю что надо запускать сервер под root. Я говорю что в принципе можно оставить и не блокировать root (к примеру для обслуживания VDS в общем) но точно не запускать на нем сомнительные программы или плагины (лучше вообще ничего не проверенного не запускать)

Ты походу никогда не обслуживал серьёзные проекты/бизнесы или не ловил жесткие баги и уязвимости. Ну так вот, для новичков объясню, что сама опция где ты включаешь в сети root даёт хакеру дверь, не внешнюю, а внутреннюю. И не важно как ты защитился, в мире уязвимостей по CVSS было десяток случай массовых взломов через root, даже если защитил всеми способами.

Для обслуживания root - это бред полный. Ты обязан делать специального защищённого пользователя admin с sudo или для каждого системного администратора своего пользователя. Но просто admin юзера мало, нужно ещё его изолировать так, что ни одна программа внутри системы не могла через него делать что-либо программно. А вход в admin должна быть через строго жёсткие политики безопасности, чтобы соблюдать высокую безопасность. Даже в случае утечки ключа, хакер не сможет подключиться, если правильно настроить политики.

 

[Art_Farm]

Ты походу никогда не обслуживал серьёзные проекты/бизнесы или не ловил жесткие баги и уязвимости. Ну так вот, для новичков объясню, что сама опция где ты включаешь в сети root даёт хакеру дверь, не внешнюю, а внутреннюю. И не важно как ты защитился, в мире уязвимостей по CVSS было десяток случай массовых взломов через root, даже если защитил всеми способами.

Для обслуживания root - это бред полный. Ты обязан делать специального защищённого пользователя admin с sudo или для каждого системного администратора своего пользователя. Но просто admin юзера мало, нужно ещё его изолировать так, что ни одна программа внутри системы не могла через него делать что-либо программно. А вход в admin должна быть через строго жёсткие политики безопасности, чтобы соблюдать высокую безопасность. Даже в случае утечки ключа, хакер не сможет подключиться, если правильно настроить политики.

Раньше как то и не думал что все сделано так что тебя могут взломать даже без пароля.
Скорее всего мало людей знают о том что вы озвучили, да информации об этом мало.
Извиняюсь за недоразумение.

 

[Mioji]

Скорее всего мало людей знают о том что вы озвучили, да информации об этом мало.

Это знает любой начинающий хакер. Я рекомендую учиться и настраивать все так, представляя что вас уже взломали. Просто задвай себе вопросы в духе "А что если в плагине1 будет уязвимость, которая позволит выполнить код". Даже если вы будете качать все с официальных источников, следить за разработчиками, от багов с уязвимостями никто не застрахован.

Если у хакера чуть больше, чем 80iq, то он будет использовать рут для того чтобы заразить тачав руткитом. В таком случае, вы никогда не узнаете где может находиться вирус. Аудит заражённой тачки руткитом выйдет слишком долгим и сложным, по этому выход один - полная переустановка с форматированием.

 

[Art_Farm]

Это знает любой начинающий хакер. Я рекомендую учиться и настраивать все так, представляя что вас уже взломали. Просто задвай себе вопросы в духе "А что если в плагине1 будет уязвимость, которая позволит выполнить код". Даже если вы будете качать все с официальных источников, следить за разработчиками, от багов с уязвимостями никто не застрахован.

Если у хакера чуть больше, чем 80iq, то он будет использовать рут для того чтобы заразить тачав руткитом. В таком случае, вы никогда не узнаете где может находиться вирус. Аудит заражённой тачки руткитом выйдет слишком долгим и сложным, по этому выход один - полная переустановка с форматированием.

То что плагин может выполнять код – знает каждый, а то что этот код может захатить рута даже если запущен под другим пользователем, не каждый.
Или вы имели ввиду если код выполняется под самим root? Но я сказал что запускать что то не оффициальное под root нельзя

Объединено Вчера в 17:29

не оффициальное под root нельзя

Тоесть Minecraft сервер тоже нельзя запускать

 

[Art_Farm]

Вы дали слишком непонятное и 2 смысленное описание угрозы. Может вам понятно – а вот всеким аутистам нет. Советую ВАМ перечитать переписку, может что то упустили.

Складывается 2 версий:
1. То ли вы имеете в виду что угроза в том что допустим Я САМ зашёл под root и запустил какую то уязвимую программу под root командой, syatemctl или чем то еще .
2. То ли уязвимая программа допустим запущеная под пользоватем anarchy может через какие то системные уязвимости или через что то ещё получить ДОСТУП К ROOT не зная его пароль, даже если я сам ничего не делаю.

Я прекрасно понимаю что если запустить тот же Minecraft сервер под root опасно ведь Minecraft сервер и все его плагины и тбд. получат root права соответственно.

 

[Mioji]

Складывается 2 версий:
1. То ли вы имеете в виду что угроза в том что допустим Я САМ зашёл под root и запустил какую то уязвимую программу под root командой, syatemctl или чем то еще .
2. То ли уязвимая программа допустим запущеная под пользоватем anarchy может через какие то системные уязвимости или через что то ещё получить ДОСТУП К ROOT не зная его пароль, даже если я сам ничего не делаю.

Да, эти две угрозы действительны. Тебе самому под root лучше не запускать не системные программы, которым не нужен root, как и любые другие программы.

Если Minecraft запустить из-под root, он получает доступ через плагины ко всему хосту. Это неоднократно писали сами Paper.

Minecraft нужно запускать строго в изолированной среде, которая полностью отрезана от всего хостинга. "Обычные юзерки" под это не подходят, тебе нужно разобраться как правильно создавать изолированную среду.

Так же не стоит полагаться на то, что Docker это изолированная среда. Это миф. Настоящую полную изоляцию можно создать через gVisor. При кривой настройки или кривом образе (а так же уязвимости), Minecraft плагин может сбежать с докер контейнера, получив доступ к Docker socket. Так что в самом контейнере так нужно продумать настройки изоляции или ограничить доступ к docker socket, создав в Docker Compose систему docker socket proxy, которая ограничивает права к сокету.


Это база для проектов выше 500 онлайна, если не хотите чтобы злоумышленники вам навредили.

 

[BlackBaroness]

При кривой настройки или кривом образе (а так же уязвимости), Minecraft плагин может сбежать с докер контейнера, получив доступ к Docker socket.

Будет здорово послушать про пример, каким образом процесс сервера может выйти за пределы, например, eclipse-temurin:25, если ему выдан чисто volume с его данными и проброшен один-единственный порт (это самый очевидный и распространённый сетап). Это всё на обычном рутованном докере

 

[Dozz3s]

Сонар как по мне кал, лимбофильтр будет и то лучше

Помимо сонара 2.0 у него есть платная версия 3.0.

 

[dronsyy]

Помимо сонара 2.0 у него есть платная версия 3.0.

В облаке? Бред