Как не допустить Слив Базы Данных и сборки Майнкрафт Сервера

О том, как не допустить слива БД своего Майнкрафт сервера — есть 5 простых шагов. Я счёл верным решением отдельно опубликовать выдержку из моей прошлой статьи — Как сделать базу данных MYSQL для своего Майнкрафт сервера и подключить Плагины

Это реальные советы от опытного Администратора Петра (for_users), с опытом создания Майнкрафт серверов более 10 лет.

Воды, воздуха и словесного мусора здесь не будет, совсем. Статья очень короткая, но ОЧЕНЬ ПОЛЕЗНАЯ И МЕТКАЯ:

Как защитить базу данных Майнкрафт сервера от слива

💡 Совет от опытного Администратора for_users: лучше не светить порт базы данных в открытый доступ. Если нужды нет — пусть слушает ТОЛЬКО localhost.

Если нужда всё-таки есть (большой проект с несколькими дедиками, например), то запомните 5 Простых правил (часть из них актуальная и для localhost).

1. СТРОГО пароль МИНИМУМ 25 символов, английские буквы, цифры, спец символы @%!!#$, ПОЛНОСТЬЮ УНИКАЛЬНЫЙ, знать должны только Вы.
2. Установленный TLS сертификат для MYSQL и включённый SSL в конфиге самих плагинов. В противном случае, провайдер и другие лица смогут читать данные, которые идут с 1 сервера на сервер БД
3. Очень важно — через iptables разрешить доступ к порту 3306 ТОЛЬКО и ТОЛЬКО Вашим машинам, остальное -j DROP
4. Забудьте обо всех внешних дорках и доп ходах по типу PHPMyAdmin — опытные админы не юзают эту небезопасную фигню. А если и юзают — со строгой настройкой безопасности и контроля доступа. Проще научиться управлять всем через CLI.
5. НИКАКИХ SHA-256, MD5, CRC32, SHA512 и ПРОЧЕГО БОЛЕЕ НЕ БЕЗОПАСНОГО И НЕ ЛИКВИДНОГО В ПЛАНЕ ПРИМИТИВОВ ХЭШИРОВАНИЯ — Либо BCRYPT, либо ARGON2ID, который есть в плагине MCAuth от MCDev, например.

Как защитить сборку Майнкрафт сервера от выкачки и слива

А что ещё более важно, без чего все советы выше будут бесполезны — не продавать OP и *, да и в целом никаких прав с * — например worldedit.* позволит не только сетнуть ваш сервер (что легко откатить), но и выгрузить все логи и инфу о системе командой /we debugpaste

Ставить LPX, GreenAnti, Блокировщики Команд, BlockSyntax.

Порт 22 должен быть доступен только для Ваших айпи адресов, пароль так же от 25 символов.

Никакого FTP, ТОЛЬКО SFTP.

Сервер НЕ ДОЛЖЕН БЫТЬ ЗАПУЩЕН от root, ТОЛЬКО ОТ ОТДЕЛЬНОГО ПОЛЬЗОВАТЕЛЯ.

⚠️ Очень важная статья по теме защиты сборки Майнкрафт сервера от слива и выкачки: Команды для взлома Сервера Майнкрафт, которые необходимо заблокировать

Сразу в блок должны идти команды /papi, /placeholderapi, /jsexp, /jsexpansion

‼️ Особо критично: НЕ СТАВЬТЕ МУСОР СО СЛИВОВ НЕПОНЯТНО ОТКУДА. Проверенных ресурсов со сливами Только 2: MineLeak и forum-minecraft. Всё остальное может привести к поимке мальвара, того же PluginMetrics.jar, или bStats.jar, которые анулируют все советы выше создав бэкдор на Вашей машине / Хосте, дав прямой доступ ко всему.

✅ И самый важный и универсальный совет: всегда ДУМАЙТЕ СВОЕЙ ГОЛОВОЙ. Безопасность должна быть ОСНОВОЙ И СИСТЕМОЙ, а не мимолётной данностью. Все советы выше АНУЛИРУЮТСЯ, если условный модератор с какими-то правами сидит без привязки аккаунта, без /pas, без надёжного пароля. Рано/поздно в каком то из плагинов опять найдут уязвимость, в духе того же /holo readtext — а ведь когда-то право на голограммы считалось прикольным и давалось донатерам.

И если после этой статьи вы начали параноить — не зря. Заразите свою сборку бэкдорами, которые отстучат Вам при запуске где-либо. А для базы данных паролей используйте BCRYPT/ARGON2ID, чтобы сделать данными бесполезными даже при сливе.

Удачи, Администраторы!

Статья открыта к обсуждению и правкам в комментариях. Если я что-то упустил, поправьте меня. Спасибо!