Jak zapobiegać atakom SSRF na serwer Synology Chat Server?
Jak zapobiegać atakom SSRF na serwer Synology Chat Server?
Niektóre artykuły zostały przetłumaczone maszynowo z języka angielskiego i mogą zawierać nieścisłości lub błędy gramatyczne.
Szczegóły
SSRF (Server Side Request Forgery) to rodzaj ataku, w ramach którego osoba atakująca wysyła spreparowane żądania z serwera zagrożonej aplikacji internetowej. Ma to na celu naruszenie bezpieczeństwa systemów wewnętrznych, które nie są dostępne z sieci zewnętrznej. W celu ochrony przed atakami SSRF zaleca się ustawienie czarnej listy na serwerze Synology Chat Server. W tym artykule przedstawiono sposób dodawania adresów IP innych serwerów w sieci wewnętrznej (np. MailPlus Server i Synology Drive Server) do czarnej listy serwera Synology Chat Server.
Rozwiązanie
Umieszczanie adresu IP na czarnej liście
- Zaloguj się do systemu DSM przy użyciu uprawnień typu root za pośrednictwem SSH/Telnet (Samouczek).
- Wprowadź następujące polecenie, aby dodać lub edytować czarną listę serwera Synology Chat Server:
vi /var/packages/Chat/etc/og_black_list.conf
- Wpisz
i
, aby włączyć tryb wstawiania. - Użyj notacji CIDR (Classless Inter-Domain Routing), aby wprowadzić adresy IP, które chcesz umieścić na czarnej liście. Przykładowo adres IP „10.17.29.22” z maską podsieci „255.255.255.0” w notacji CIDR jest zapisywany jako „10.17.29.22/24”. Aby uzyskać prawidłowe adresy, można skorzystać z wykresu CIDR lub internetowego kalkulatora podsieci.
- Po zakończeniu edycji naciśnij klawisz Esc, aby wyjść z trybu wstawiania.
- Wpisz
:x
i naciśnij klawisz Enter, aby zapisać. - Wprowadź następujące polecenie, aby upewnić się, że pozycja zostanie umieszczona na czarnej liście:
chmod a+r /var/packages/Chat/etc/og_black_list.conf