Hola compañeros, espero me puedan ayudar con sus experiencias. Tengo el siguiente detalle.
En un par de ocasiones sufrí la perdida de mi BD que estaban alojadas en VPS a causa de ataques, si bien puede que dolibarr o cualquier otro sistema no pueda tener una seguridad al 100% que recomendaciones podría tomar para evitar alguna perdida de información o ataque al servidor.
Si bien contratar el servicio de backup es la primera opción, no seria lo ideal andar con el temor de volver a sufrir otro ataque y que la data ande por la red lo cual puede ser perjudicial para la empresa.
Gracias por su atención.
Seguridad en dolibarr
Seguridad en dolibarr
sistemas@machfree.com | http://www.machfree.com | Trujillo - Perú
*Si no respondo los mensajes....enviame un email
*Si no respondo los mensajes....enviame un email
hola.
pensando que tienes un linux o un freeBSD. ( ya entenderas por que pienso eso)
1) Backups automaticos ( un script, un paquete, etc)
2) Seguridad,
lo basico => iptables
intermedio ==> fail2ban
avanzado --> snort PortSentry
Bloqueos de ip, ataques de fuerza bruta, escaneos, etc nada de esto puede hacer Dolibarr, asi tambien no se puede
estar al frente de un servidor con contrasenas de 6 caracteres, fechas de cumpleanos, nombres de mi familia/mascotas.
Por ejemplo.
###################
Nmap scan report for 1076<! -- -->.pe (xxx.xxx.107.64)
Host is up (0.32s latency).
Not shown: 985 filtered ports
PORT STATE SERVICE
20/tcp closed ftp-data
21/tcp open ftp
22/tcp closed ssh
26/tcp open rsftp
53/tcp open domain
80/tcp open http
110/tcp open pop3
143/tcp open imap
443/tcp open https
465/tcp open smtps
587/tcp open submission
993/tcp open imaps
995/tcp open pop3s
3306/tcp open mysql
8888/tcp open sun-answerbook
Device type: general purpose|storage-misc|firewall|webcam
Running (JUST GUESSING): Linux 4.X|3.X|2.6.X (93%), Synology DiskStation Manager 5.X (87%), WatchGuard Fireware 11.X (87%), Tandberg embedded (86%), FreeBSD 6.X (85%)
OS CPE: cpe:/o:linux:linux_kernel:4.4 cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:2.6.32 cpe:/o:linux:linux_kernel cpe:/a:synology:diskstation_manager:5.1 cpe:/o:watchguard:fireware:11.8 cpe:/h:tandberg:vcs cpe:/o:freebsd:freebsd:6.2
Aggressive OS guesses: Linux 4.4 (93%), Linux 3.10 - 3.12 (91%), Linux 4.0 (89%), Linux 4.9 (89%), Linux 3.11 - 4.1 (87%), Linux 2.6.32 (87%), Linux 3.5 (87%), Linux 4.2 (87%), Synology DiskStation Manager 5.1 (87%), WatchGuard Fireware 11.8 (87%)
No exact OS matches for host (test conditions non-ideal).
####################
Es logico, un host debe tener sus respectivos puertos abiertos, pero hay demasiada informacion, que con algo de tiempo se pueden
saber las vulnerabilidades del sistema.
Lo mejor que puedes hacer es hablar con la gente de tu hosting, por eso pagas, dolibarr no tiene ninguna relacion (ni con permisos de archivos) esas
son cosas de los administradores de sistemas o los usuarios traviesos.
Con la nula informacion que presentas no se puede hacer mucho pero vamos con algo.puede que dolibarr o cualquier otro sistema no pueda tener una seguridad al 100%
pensando que tienes un linux o un freeBSD. ( ya entenderas por que pienso eso)
1) Backups automaticos ( un script, un paquete, etc)
2) Seguridad,
lo basico => iptables
intermedio ==> fail2ban
avanzado --> snort PortSentry
Bloqueos de ip, ataques de fuerza bruta, escaneos, etc nada de esto puede hacer Dolibarr, asi tambien no se puede
estar al frente de un servidor con contrasenas de 6 caracteres, fechas de cumpleanos, nombres de mi familia/mascotas.
Por ejemplo.
###################
Nmap scan report for 1076<! -- -->.pe (xxx.xxx.107.64)
Host is up (0.32s latency).
Not shown: 985 filtered ports
PORT STATE SERVICE
20/tcp closed ftp-data
21/tcp open ftp
22/tcp closed ssh
26/tcp open rsftp
53/tcp open domain
80/tcp open http
110/tcp open pop3
143/tcp open imap
443/tcp open https
465/tcp open smtps
587/tcp open submission
993/tcp open imaps
995/tcp open pop3s
3306/tcp open mysql
8888/tcp open sun-answerbook
Device type: general purpose|storage-misc|firewall|webcam
Running (JUST GUESSING): Linux 4.X|3.X|2.6.X (93%), Synology DiskStation Manager 5.X (87%), WatchGuard Fireware 11.X (87%), Tandberg embedded (86%), FreeBSD 6.X (85%)
OS CPE: cpe:/o:linux:linux_kernel:4.4 cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:2.6.32 cpe:/o:linux:linux_kernel cpe:/a:synology:diskstation_manager:5.1 cpe:/o:watchguard:fireware:11.8 cpe:/h:tandberg:vcs cpe:/o:freebsd:freebsd:6.2
Aggressive OS guesses: Linux 4.4 (93%), Linux 3.10 - 3.12 (91%), Linux 4.0 (89%), Linux 4.9 (89%), Linux 3.11 - 4.1 (87%), Linux 2.6.32 (87%), Linux 3.5 (87%), Linux 4.2 (87%), Synology DiskStation Manager 5.1 (87%), WatchGuard Fireware 11.8 (87%)
No exact OS matches for host (test conditions non-ideal).
####################
Es logico, un host debe tener sus respectivos puertos abiertos, pero hay demasiada informacion, que con algo de tiempo se pueden
saber las vulnerabilidades del sistema.
Lo mejor que puedes hacer es hablar con la gente de tu hosting, por eso pagas, dolibarr no tiene ninguna relacion (ni con permisos de archivos) esas
son cosas de los administradores de sistemas o los usuarios traviesos.
Hola yetroo gracias por tomarte la molestia de comentar.
Cierto que no puse mucha información y sacaste tus propias conclusiones; justamente ya me estoy informando sobre temas un poco mas avanzados para darle mayor seguridad a los servidores VPS que los tengo trabajando con Centos.
En una ocasión un compañero me mostró algunos post externos sobre ataques y vulnerabilidades en dolibarr, es por eso que comentaba que no todos los software pueden ser 100% seguros.
Gracias
Cierto que no puse mucha información y sacaste tus propias conclusiones; justamente ya me estoy informando sobre temas un poco mas avanzados para darle mayor seguridad a los servidores VPS que los tengo trabajando con Centos.
En una ocasión un compañero me mostró algunos post externos sobre ataques y vulnerabilidades en dolibarr, es por eso que comentaba que no todos los software pueden ser 100% seguros.
Gracias
sistemas@machfree.com | http://www.machfree.com | Trujillo - Perú
*Si no respondo los mensajes....enviame un email
*Si no respondo los mensajes....enviame un email
En mi opinión solo hay 2 puntos críticos (a nivel básico) que debes cuidar.
1- Los permisos de escritura. Que las carpetas tengan permisos chown 755 y los archivos 644.
2- Contraseñas mayores a 15 carácteres que combinen mayúsculas, minúsculas, números y símbolos.
A partir de ahí y si quieres profundizar un poco más te recomiendo usar llaves para loguearte en el servidor (usa keepass y mobaxterm), cambia el puerto ssh y evita que se pueda iniciar sesión diréctamente con el usuario root.
Otra forma de asegurar el servidor es no instalar phpmyadmin o al menos ocultarlo en un puerto determinado co una dirección privada a la que solo se pueda acceder añadiendo una excepción en el cortafuegos.
Con estas 4 cosas prácticamente el único agujero de seguridad "grande" son las mismas aplicaciones que instales, como dolibarr.
1- Los permisos de escritura. Que las carpetas tengan permisos chown 755 y los archivos 644.
2- Contraseñas mayores a 15 carácteres que combinen mayúsculas, minúsculas, números y símbolos.
A partir de ahí y si quieres profundizar un poco más te recomiendo usar llaves para loguearte en el servidor (usa keepass y mobaxterm), cambia el puerto ssh y evita que se pueda iniciar sesión diréctamente con el usuario root.
Otra forma de asegurar el servidor es no instalar phpmyadmin o al menos ocultarlo en un puerto determinado co una dirección privada a la que solo se pueda acceder añadiendo una excepción en el cortafuegos.
Con estas 4 cosas prácticamente el único agujero de seguridad "grande" son las mismas aplicaciones que instales, como dolibarr.
Realizo instalaciónes del tpv Dolibarr a tiendas de ropa. Pregúnteme.