shell
- Додано: 2014-02-23 20:58
- Змінено: 2014-10-07 18:36
- Статус: Схвалено
8
Безопасность игрового сервера CS 1.6
Для начала рассмотрим моменты по аккаунтам клиентов.
Далее будет рассмотрены рекомендации по безопасности игрового сервера.
Безопасность аккаунта
Чтобы обезопасить свой аккаунт от взлома и получение доступа к нему сторонними лицами, нужно следовать данным советам:
- Придумать и установить сложный пароль к Вашему аккаунту (буквенно-цифровой, прописные и строчные буквы , 8 и более символов). Лучше всего сгенерировать пароль на специальных сайтах и записать его себе. Таким образом Вы обезопасите себя от попыток подбора пароля злоумышленником.
- Придумать и установить сложный пароль к Вашему почтовому ящику, который Вы вписывали при создании аккаунта. Так как при взломе Вашего почтового ящика злоумышленник сможет восстановить пароль через него.
- Если Вы используете доступ FTP, ни в коем случае не сохранять пароль в программе
FileZilla
, а каждый раз вводите его вручную. Если Вы его сохраните, злоумышленник может получить доступ к нему через различного рода вредоносные программы-вирусы и имея доступ к данным Вашего ПК. - Не давать никому своих данных доступа к аккаунту на сайте 1game.ua. В результате, если сменят пароль, а Вы к тому же не имеете доступа к регистрационной почте, будет проблематично восстановить доступ к аккаунту и Вы можете его утерять.
- Если Вам нужно предоставить доступ к файлам сервера другому человеку (для настройки плагинов и т.д.), Вы можете дать ему данные FTP доступа к файлам вашего сервера. После внесения изменений этим человеком, обязательно поменяйте пароль доступа FTP. Сделать это можно просто отключив/включив обратно доступ. При этом пароль изменится и только Вы будете знать новый пароль.
- Для предоставления функций включения/отключения сервера другим людям пользуйтесь функцией Командный доступ из панели управления сервером. Не давайте для этого данные доступа к своему аккаунту.
Безопасность игрового сервера
1. Rcon_password
Устанавливайте всегда сложный буквенно-цифровой rcon-пароль на Ваш сервер. Таким может считаться пароль более 8 символов, состоящий из прописных и строчных букв и цифр. Проще всего такие пароли генерировать на специальном сайте. Для этого перейдите на сайт, выберите в списке строчные, прописные буквы и цифры. Задайте количество символов (любое более 7) и нажмите Создать пароль. Далее выберите любой пароль из списка.
Также одним из вариантов может быть установка пустого rcon-пароля. В таком случае подобрать и использовать пароль невозможно. Но нужно учитывать, что и Вы не сможете им пользоваться для управления сервером.
Напомним, что изменить пароль Вы можете в файле cstrike/server.cfg вашего игрового сервера. Переменная rcon_password
2. Подбор плагинов
Взлом и получение доступа к игровым серверам зачастую происходит из-за установки на сервера плагинов с бэкдорами (уязвимости, с помощью которых любой игрок, зная эту уязвимость, может получить доступ к серверу , либо к данным доступа к базе данных, rcon-пароль и другим данным).
Таких плагинов существует достаточно много, поэтому чтобы обезопасить свой сервер следуйте данным советам:
- Устанавливайте плагины только из проверенных источников, если не проверяете исходник каждого плагина (файл с расширением
.sma
, который должен поставляться с каждым плагином).
Проверенными источниками могут являться такие ресурсы, как forums.alliedmods.net, amxmodx.org
С других источников скомпилированные плагины без исходников крайне не рекомендуем устанавливать. - Компилируйте каждый плагин перед установкой. И только скомпилированный Вами плагин (файл с расширением .amxx) устанавливайте на сервер. Компилировать плагины довольно просто. Можно как воспользоваться онлайн-компиляторами, таки скомпилировать плагин в игровом моде Amxmodx для ОС Windows у себя на ПК. Для этого загрузите архив мода, откройте его в любое место. Скопируйте исходник плагина (с расширением .sma) в папку
addons\amxmodx\scripting\
из этого архива и перетащите исходник плагина на файлcompile.exe
в данном каталоге. После компиляции плагин окажется в папкеaddons\amxmodx\scripting\comiled
и Вы можете его скопировать и использовать на сервере - не устанавливайте плагины из этого списка на сервер. Они вероятнее всего будут с бэкдорами
Galileo MastaMan Edition 1.1.290 MastaMOTD's 2.5.0 statsx_shell 2.0.0 RS UAIO R3 1.51 Weapon Lights (Beta) 0.71 Stop Chat AD 2.0.0 Plugin Manager 1.1 In Game Advertisement System (MastaMan Edition) 1.83 GameNameChanger 1.1 FPD + HSE CFG 1.0.0 CZ Style Missions 0.7.0 - БЕЗ ИСХОДНИКА
В случае с плагином statsx_shell, Вы можете смело установить его из Панели управления сервером, раздел Плагины на сайте 1game.ua не опасаясь , что там присутствует бэкдор. - Перед компиляцией исходников плагинов их также проверять на наличие подозрительных команд. Для того, чтобы полность анализировать весь файл .sma , нужно заниматься скриптингом плагинов. В нашем случае достаточно найти части кода, команды , которые могут вызывать те или иные вредоносные действия. Примеры:
server_cmd - Выполнения команд в консоль сервера get_cvar_string - получение настроек( К примеру получение rcon_password ) set_user_flags - Присвоение административных флагов Connect - Редирект bind - Редирект и т.д
Это лишь малая часть, что можно поискать. Бекдоры могут быть очень хорошо замаскированы, которые без анализа кода не разобрать. Если Вы обнаружили подобные команды в исходнике плагина, есть повод насторожиться и не использовать данный плагин. Но зачастую бэкдоры встречаются только в уже скомпилированных плагинах,а не в их исходниках.
0
2243
Теги:
відсутні