Beveiliging FTP en MySQL

Technische problemen? Hier kun jij jouw vragen stellen!
Forumregels
Check eerst even onze handleiding (http://help.antagonist.nl/) voordat je hier je vraag stelt. Voor de meeste problemen hebben we een oplossing met een zeer uitgebreide uitleg.
Plaats reactie
Rene2019
Berichten: 7
Lid geworden op: 10 aug 2019, 07:32

Beveiliging FTP en MySQL

Bericht door Rene2019 » 02 okt 2019, 07:00

Ik heb 2FA ingeschakeld op het control panel van zowel Antagonist als Direct Admin.
Het viel me op dat je met exact hetzelfde DA account ook alle rechten hebt op FTP en MySQL (via phpmyadmin).

Valt dit nog beter te beveiligen? Want eigenlijk heb je nu vrij weinig aan de extra 2FA beveiliging op DA.
De zwakste schakel is nu FTP en MySQL. Met een gelekt wachtwoord kan je nu nog steeds overal bij, of je 2FA nou aan hebt staan of niet. En omdat FTP en MySQL voor heel internet open staan geeft me dat geen goed gevoel.

Zijn er bijvoorbeeld mogelijkheden om het DA admin account voor FTP te disablen? Dan zou je zelf een nieuw FTP account kunnen aanmaken met beperkte rechten, of in iedergeval een ander wachtwoord gescheiden van het DA control panel. Zelfde geldt voor MySQL.
Of op IP whitelisten? Zou ook al veiliger zijn.

Gebruikersavatar
Joris de Leeuw
Antagonist staff
Berichten: 1125
Lid geworden op: 13 feb 2016, 20:15

Re: Beveiliging FTP en MySQL

Bericht door Joris de Leeuw » 02 okt 2019, 14:19

Hallo Rene,

We begrijpen dat je deze vraag aan ons stelt gezien jouw data zeer belangrijk is. Ondanks dat MySQL en FTP geen 2FA ondersteunt hebben wij wel andere beveiligingsmaatregelen getroffen (maar niet uitsluitend) met betrekking tot deze diensten:

- Om in te loggen op deze omgevingen is een gebruikersnaam en wachtwoord vereist. Voor een zo hoog mogelijk beveiligingsniveau is het dus belangrijk dat je een sterk wachtwoord kiest en deze regelmatig wijzigt
- Bij het opslaan van wachtwoorden maken wij gebruik van sterke en moderne hashing-algoritmes.
- We gebruiken een inbraakbeveiligingssysteem dat bij meerdere verkeerde inlogpogingen het bijbehorende IP-adres automatisch blokkeert.
- Het benaderen MySQL, FTP en phpMyAdmin verloopt over een versleutelde netwerkverbinding.
- Verbindingen op MySQL-server van buitenaf worden standaard geweigerd tenzij jij een uitzondering instelt: https://www.antagonist.nl/help/nl/webho ... base#hosts

Voor een volledig overzicht van de verschillende technische en organisatorische maatregelen die wij nemen, verwijs ik je graag naar ons informatiebeveiligingsbeleid: https://www.antagonist.nl/downloads/inf ... ingsbeleid

Merk op dat je ook een gescheiden wachtwoord op FTP en MySQL in kan stellen. Dit door in DirectAdmin naar 'Change Password' te gaan en voor de specifieke services losse (lange) wachtwoorden in te stellen.

Het is goed om te beseffen dat er daarnaast ook verschillende maatregelen zijn die je zelf kunt en moet nemen om het beveiligingsniveau naar het allerhoogste niveau te tillen. Denk bijvoorbeeld aan het up-to-date houden van applicaties die je op je hostingpakket, daarin zit namelijk vaak de zwakte.
Met vriendelijke groet,

Joris de Leeuw
Antagonist staff

Reno
Berichten: 137
Lid geworden op: 22 jan 2010, 18:25

Re: Beveiliging FTP en MySQL

Bericht door Reno » 03 okt 2019, 08:38

Je kunt SFTP gebruiken waardoor je en een sleutel nodig hebt, en een wachtwoord. Of je vervolgens FTP van je deb-account kunt blokkeren weet ik zo niet. Voor mysql/phpmyadmin is dit niet mogelijk zover ik weet.

Ik meen me te herinneren dat Joris een SFTP handleiding had gemaakt. Ik gebruik zelf ook SFTP omdat ik een tijd geleden iets moest doen (weet al niet meer wat) wat beter ging met SFTP, en de encryptie natuurlijk.

Als je je deb ww alleen gebruikt om in te loggen (dus niet voor mysql en FTP) en verder nergens zit je wel goed, dan is de kans op misbruik echt zo minimaal.

Rene2019
Berichten: 7
Lid geworden op: 10 aug 2019, 07:32

Re: Beveiliging FTP en MySQL

Bericht door Rene2019 » 04 okt 2019, 07:55

Joris de Leeuw schreef:
02 okt 2019, 14:19
Merk op dat je ook een gescheiden wachtwoord op FTP en MySQL in kan stellen. Dit door in DirectAdmin naar 'Change Password' te gaan en voor de specifieke services losse (lange) wachtwoorden in te stellen.
Ik had nu nog 1 wachtwoord, wist niet dat je dat kon scheiden. Dat is in iedergeval een goede tip.
Reno schreef:
03 okt 2019, 08:38
Je kunt SFTP gebruiken waardoor je en een sleutel nodig hebt, en een wachtwoord. Of je vervolgens FTP van je deb-account kunt blokkeren weet ik zo niet. Voor mysql/phpmyadmin is dit niet mogelijk zover ik weet.
Dat leek mij ook de beste manier, om net als met SSH gebruik te maken van SFTP met eigen keys. Maar dan zou het echt mooi zijn als je FTP kon uitschakelen, net zoals username/password login is uitgeschakeld voor SSH.

Gebruikersavatar
Joris de Leeuw
Antagonist staff
Berichten: 1125
Lid geworden op: 13 feb 2016, 20:15

Re: Beveiliging FTP en MySQL

Bericht door Joris de Leeuw » 07 okt 2019, 14:11

Naast dat je een losse FTP wachtwoord in kan stellen, kan je daarna ook acties op de FTP blokkeren door een '.ftpaccess'-bestand in je pakket te plaatsen.

De volgende code weigert na verbinding enige actie op de FTP-server:

Code: Selecteer alles

<Limit ALL>
Order deny,allow
Deny from all
</Limit>
Gezien de documentatie over de '.ftpaccess'-functionaliteit relatief beperkt is, is mij onduidelijk of hier nog enige haken en ogen aan zitten.
Met vriendelijke groet,

Joris de Leeuw
Antagonist staff

Rene2019
Berichten: 7
Lid geworden op: 10 aug 2019, 07:32

Re: Beveiliging FTP en MySQL

Bericht door Rene2019 » 09 okt 2019, 10:39

Dit werkt perfect Joris, dank je!

Wat ik nu gedaan heb:
  • Nieuw wachtwoord op FTP gezet.
  • SFTP met WinSCP ingesteld, op dezelfde manier als SSH (volgens deze handleiding)
  • .ftpaccess bestand geplaatst in /home/deb######
Je kunt nu niet meer met username/password FTP-en.
Alleen SFTP met username/password/key werk nu nog.

Plaats reactie