shell

• Профіль
• Листування

• Додано: 2014-02-23 20:58
• Змінено: 2024-07-29 2:02
• Статус: Схвалено

У цій статті будуть розглянуті рекомендації щодо підвищення безпеки серверів для їхніх власників.
Для початку розглянемо моменти облікових записів клієнтів.
Далі будуть розглянуті рекомендації щодо безпеки ігрового сервера.

Безпека облікового запису

Щоб убезпечити свій акаунт від злому та отримання доступу до нього сторонніми особами, слід дотримуватися цих порад:

• Придумати та встановити складний пароль до Вашого облікового запису (літерно-цифровий, великі та малі літери, 8 і більше символів). Найкраще згенерувати пароль на спеціальних сайтах та записати його собі. Таким чином Ви убезпечите себе від спроб підбору пароля зловмисником.
• Придумати та встановити складний пароль до Вашої поштової скриньки, яку Ви вписували під час створення облікового запису. Оскільки при зломі Вашої поштової скриньки зловмисник зможе відновити пароль через нього.
• Якщо Ви використовуєте доступ FTP, у жодному разі не зберігати пароль у програмі FileZilla, а щоразу вводьте його вручну. Якщо Ви його збережете, зловмисник може отримати доступ до нього через різноманітні шкідливі програми-віруси та маючи доступ до даних Вашого ПК.
• Не давати нікому своїх даних доступу до облікового запису на сайті 1game.com.ua. В результаті, якщо змінять пароль, а Ви до того ж не маєте доступу до реєстраційної пошти, буде проблематично відновити доступ до облікового запису і Ви можете втратити його.
• Якщо Вам потрібно надати доступ до файлів сервера іншій людині (для налаштування плагінів тощо), Ви можете надати йому дані FTP доступу до файлів вашого сервера. Після внесення змін цією людиною обов'язково поміняйте пароль доступу FTP. Зробити це можна просто відключивши/ввімкнувши доступ назад. При цьому пароль зміниться і тільки Ви знатимете новий пароль.
• Для надання функцій увімкнення/вимкнення сервера іншим людям користуйтеся функцією Командний доступ із панелі керування сервером. Не давайте для цього дані доступу до свого облікового запису.
• Рекомендуємо всіх прив'язати до свого акаунту Telegram бота, та в налаштуваннях безпеки активувати "Підтвердити вхід у панель".  Без вашого відома ніхто не зможе зайти у ваш акаунт. 

Безпека ігрового сервера

1. Rcon_password

Встановлюйте завжди складний буквено-цифровий rcon-пароль на сервер. Таким може вважатися пароль більше 8 символів, що складається з великих і малих літер та цифр. Найпростіше такі паролі генерувати на спеціальному сайті. Для цього перейдіть на сайт, виберіть у списку малі, великі літери та цифри. Вкажіть кількість символів (більше 7) і натисніть Створити пароль. Далі виберіть будь-який пароль зі списку.

Також одним із варіантів може бути встановлення порожнього rcon-паролю. У такому разі підібрати та використовувати пароль неможливо. Але потрібно враховувати, що і Ви не зможете користуватися ним для керування сервером.

Нагадаємо, що змінити пароль можна у файлі cstrike/server.cfg вашого ігрового сервера. Змінна rcon_password

2. Підбір плагінів

Зламування та отримання доступу до ігрових серверів найчастіше відбувається через встановлення на сервери плагінів з бекдорами (уразливості, за допомогою яких будь-який гравець, знаючи цю вразливість, може отримати доступ до сервера, або до даних доступу до бази даних, rcon-пароль та інших даних).

Таких плагінів існує досить багато, тому щоб убезпечити свій сервер дотримуйтесь цих порад:

• Встановлюйте плагіни тільки з перевірених джерел, якщо не перевіряєте вихід кожного плагіна (файл з розширенням .sma , який має постачатися з кожним плагіном).
  Перевіреними джерелами можуть бути такі ресурси, як forums.alliedmods.net, amxmodx.org
  З інших джерел скомпіловані плагіни без вихідних вкрай не рекомендуємо встановлювати.
• Компілюйте кожен плагін перед встановленням. І лише скомпільований Вами плагін (файл з розширенням .amxx) встановлюйте на сервер. Компілювати плагіни досить просто. Можна як скористатися онлайн-компіляторами, скомпілювати плагін в ігровому моді Amxmodx для ОС Windows у себе на ПК. Для цього завантажте архів мода, відкрийте його в будь-яке місце. Скопіюйте вихідний код плагіна (з розширенням .sma) в папку addons\amxmodx\scripting\ з цього архіву і перетягніть вихідний код плагіна на файл compile.exe в даному каталозі. Після компіляції плагін опиниться в папці addons\amxmodx\scripting\comiled і Ви можете його скопіювати та використовувати на сервері
• не встановлюйте плагіни із цього списку на сервер. Вони найімовірніше будуть з бекдорами
  

  Galileo MastaMan Edition 1.1.290
  MastaMOTD's 2.5.0
  statsx_shell 2.0.0
  RS UAIO R3 1.51
  Weapon Lights (Beta) 0.71
  Stop Chat AD 2.0.0
  Plugin Manager 1.1
  In Game Advertisement System (MastaMan Edition) 1.83
  GameNameChanger 1.1
  FPD + HSE CFG 1.0.0
  CZ Style Missions 0.7.0 - БЕЗ ИСХОДНИКА
  

  
  У випадку з плагіном statsx_shell, Ви можете сміливо встановити його з Панелі управління сервером, розділ Плагіни на сайті 1game.ua не побоюючись, що там є бекдор.
  
  
• Перед компіляцією ісходного коду плагінів їх також перевірятимуть на наявність підозрілих команд. Для того, щоб повністю аналізувати весь файл .sma, потрібно займатися скриптингом плагінів. У нашому випадку достатньо знайти частини коду, команди, які можуть викликати ті чи інші шкідливі дії. Приклади:
  

  server_cmd - Виконання команд у консоль сервера
  get_cvar_string - отримання настройок( Наприклад отримання rcon_password)
  set_user_flags - Присвоєння адміністративних прапорів
  Connect - Редирект
  bind - Редирект і т.д
  

  
  Це лише мала частина, яку можна пошукати. Бекдори можуть бути добре замасковані, які без аналізу коду не розібрати. Якщо Ви виявили подібні команди у вихідному плагіні, є привід насторожитися і не використовувати цей плагін. Але найчастіше бекдори трапляються лише у вже скомпільованих плагінах, а чи не в їх ісходному коді.