https://www.opennet.ru/openforum/vsluhforumID3/113924.html Исследователь безопасности Giovanni Collazo опубликовал (https://elweb.co/the-security-footgun-in-etcd/) результат анализа некорректно настроенных распределённых хранилищ etcd (https://www.opennet.ru/opennews/art.shtml?num=48024), принимающих запросы из внешней сети без аутентификации. При помощи поисковой системы Shodan было выявлено (https://www.shodan.io/search?query=etcd) 2284 общедоступных сервера etcd, отправив запросы на 1485 из которых удалось загрузить около 750 Мб данных.<br><br><br>Для получения данных использовался рекурсивный запрос всех ключей ("GET http://host:2379/v2/keys/?recursive=true"). в ходе изучения извлечённых данных было выявлено 8781 паролей, 650 ключей доступа к окружениям Amazon AWS, 23 секретных ключа и 8 закрытых ключей. Etcd обычно используется как хранилище конфигурации для групп серверов, изолированных контейнеров с типовой начинкой и как хранилище параметров в кластерах Kubernetes. Судя по связанным с полученными параметрами аутентификации ключам они применялись для доступа к https://www.opennet.ru/openforum/vsluhforumID3/113924.html#90 Thu, 05 Apr 2018 11:02:58 GMT &gt; Внезапный вывод.<br><br>Это не внезапный выход, а перенос "Театра безопасности" в компьютерную сферу.<br>На фоне недавних событий определение "Театр безопасности" так и остается театром. То что я написал это вредно для действия, а не как руководство сделать себе инфраструктуру безопаснее в угоду юзабильности.<br><br>А те негативные комментарии оставленные ниже это комментарии тех людей которые восприняли моё сообщение буквально плюсом люди поставившие минуса тоже восприняли сообщение буквально, а не как вредный совет.<br> https://www.opennet.ru/openforum/vsluhforumID3/113924.html#89 Wed, 28 Mar 2018 20:21:21 GMT <br>&gt; так и получаеться что на сервер <br>&gt; ходи и правь сам<br><br>Ежели юзать конфигманагер, то ВСЕ изменения должны выполняться плейбуками/манифестами/как-их-там и ни в коем случае не ручками на хостах.<br><br>Ты в любое время должен поднять нулёвый инстанс, накатить на него конфиг и получить конечный рабочий экземпляр. Автоматом, без всяких ручек.<br> https://www.opennet.ru/openforum/vsluhforumID3/113924.html#88 Wed, 28 Mar 2018 20:05:15 GMT etcd supports SSL/TLS as well as authentication through client certificates, both for clients to server as well as peer (server to server / cluster) communication.<br> https://www.opennet.ru/openforum/vsluhforumID3/113924.html#87 Tue, 27 Mar 2018 14:00:29 GMT Я по большей части троил. Но если серьезно то автомацией не все проблемы решаются.<br>Наши крап-о-аднины юзают puppet, все началось очень даже хорошо - общие шаблончики, а закончилось тем что оказывается на каждую пару а то и индивидуальный сервер нужны свои поправки, так и получаеться что на сервер ходи и правь сам или ставь процесс от рута чтобы делать за тебя. Мне как бы было бы пох если бы не infosec, иметь процессы которые работают от root и послушно выполняет все поручения, меня пугают. <br> https://www.opennet.ru/openforum/vsluhforumID3/113924.html#86 Tue, 27 Mar 2018 13:34:32 GMT Попробуй обосновать. Или ты привык следовать догмам, а не пользоваться мозгом?<br>Практика показывает, что открытый фаервол можно даже сейчас использовать, если на серверах нет модно-молодежных сервисов. И оно работает без взломов, годами, на сотнях серверов по всему миру. <br> https://www.opennet.ru/openforum/vsluhforumID3/113924.html#85 Tue, 27 Mar 2018 11:43:00 GMT Ничего этого не будет. Я просто посмеюсь с очередного дурачка, списавшего удобный инструмент потому, что ему там жупел в виде каких-то хипстеров померещился.<br> https://www.opennet.ru/openforum/vsluhforumID3/113924.html#84 Tue, 27 Mar 2018 11:37:10 GMT Нужно было всегда, и 10 лет тому, и 20, и 500. До идеи &#171;кого надо пущать, остальных не пущать&#187; додумались ещё задолго до этих наших интренетов. Но до админов локалхостов и ланчиков на 10 пользователей начало доходить только когда &#171;хипстеры пришли в IT&#187;, а влияние эффекта неуловимого Джо сильно уменьшилось.<br> https://www.opennet.ru/openforum/vsluhforumID3/113924.html#83 Tue, 27 Mar 2018 10:00:13 GMT &gt; для существующих нужно все менять в ручную с полной проверкой на каждом сервере. <br><br>Разве что если тебе платят почасово, совести не хватает, чтобы отказаться от развода заказчика на бабки, а ума на применение эффективного решения с последующим указанием времени неэффективного. <br><br>&gt; Если твой ansible хост скомпрометирован, можно смело сжигать сервера. <br><br>Даю хинт, ansible можно юзать с любой машины. Он не требует выделенного сервера как "puppet, и cheff и salt и т.п и т.д)"<br>Ну и при компрометации гейта или машины админа придется это делать в любом случае, даже если там не было ansible. Вот только с ansible переустановка займет значительно меньше времени. <br> https://www.opennet.ru/openforum/vsluhforumID3/113924.html#82 Tue, 27 Mar 2018 09:56:07 GMT &gt; умным не нужен ansible - они создают свой. Заточенный строго под их задачи.<br><br>И это тоже. Но только если задачу действительно неудобно решать имеющимися инструментами. <br><br>&gt; ansible позволяет растиражировать упущенные действия на все десять, а то и все пять тысяч, ага. Быстро, очень быстро.<br><br>И точно также быстро их исправить. Причем исправлять надо будет везде одинаково и найти проблемное место легко, а при ручной работе на каждом сервере могут быть разные ошибки и их поиск будет тем еще квестом. <br><br>&gt; к тому же для цели растиражировать просто свежеустановленный сервер никакой ansible даром не нужен - все вменяемые дистрибутивы умеют автоустановку с заданными параметрами. <br><br>Во-первых, это больше возни. Во-вторых, значительная часть хостеров дает выбор из имеющихся у них образов, а не возможность проинсталлить свой. <br><br>&gt; Он или что-то другое становится нужным, когда серверов уже сотни, и на них что-то надо _поменять_.<br><br>Или применить композицию. Или разбиение задач на "кубики" и сборка из них это слишком