The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Утечка параметров аутентификации через незащищённые серверы ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Утечка параметров аутентификации через незащищённые серверы ..."  +/
Сообщение от opennews (ok) on 25-Мрт-18, 22:25 
Исследователь безопасности Giovanni Collazo опубликовал (https://elweb.co/the-security-footgun-in-etcd/) результат анализа  некорректно настроенных распределённых хранилищ  etcd (https://www.opennet.dev/opennews/art.shtml?num=48024), принимающих запросы из внешней сети без аутентификации. При помощи поисковой системы Shodan было выявлено (https://www.shodan.io/search?query=etcd) 2284 общедоступных сервера etcd, отправив запросы на 1485 из которых удалось загрузить около 750 Мб  данных.


Для получения данных использовался рекурсивный запрос всех ключей ("GET http://host:2379/v2/keys/?recursive=true"). в ходе изучения извлечённых данных было выявлено 8781 паролей, 650 ключей доступа к окружениям Amazon AWS, 23 секретных ключа и 8 закрытых ключей. Etcd обычно используется как хранилище конфигурации для групп серверов,  изолированных контейнеров с типовой начинкой и как хранилище параметров в кластерах Kubernetes.  Судя по связанным с полученными параметрами аутентификации ключам они применялись для доступа к   различным серверам, системам управления контентом, СУБД MySQL и PostgreSQL.


Администраторам etcd рекомендуется проверить свои системы на предмет должной изоляции межсетевым экраном и включения доступа с применением аутентификации (https://github.com/coreos/etcd/blob/master/Documentation/op-...) (до версии 2.1 etcd не поддерживал аутентификацию, а в более новых выпусках для обеспечения обратной совместимости в настройках по умолчанию  аутентификация отключена). Общедоступные серверы etcd представляют угрозу не только как источник утечки паролей к другим серверам и сервисам, но и как объект для вандализма и применения вредоносных шифровальщиков, которые в своё время активно атаковали незащищённые MongoDB, CouchDB, Hadoop и ElasticSearch (https://www.opennet.dev/opennews/art.shtml?num=45903).

URL: https://elweb.co/the-security-footgun-in-etcd/
Новость: https://www.opennet.dev/opennews/art.shtml?num=48329

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Утечка параметров аутентификации через незащищённые серверы ..."  –4 +/
Сообщение от AntonAlekseevich email(ok) on 25-Мрт-18, 22:25 
Мораль такова, надо нормально настраивать конфиги демонов.
А ещё лучше обкатывать каждый .+ конфиг через каждый эксплоит-тест.
А ЕЩЁ лучше не использовать etcd на критических объектах.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Утечка параметров аутентификации через незащищённые серверы ..."  +/
Сообщение от Аноним (??) on 26-Мрт-18, 00:48 
> А ЕЩЁ лучше не использовать etcd на критических объектах.

Внезапный вывод. Может поделишься с менее смышлёными, чем же так плох etcd на «критических объектах»?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

22. "Утечка параметров аутентификации через незащищённые серверы ..."  +12 +/
Сообщение от Аноним (??) on 26-Мрт-18, 01:55 
> чем же так плох etcd на «критических объектах»?

Тем, что до версии 2.1 etcd не поддерживал аутентификацию, а в более новых выпусках для обеспечения обратной совместимости в настройках по умолчанию аутентификация отключена.

Практически наверняка есть ещё какие-то проблемы, не с безопасностью, так с надёжностью.

Теперь вы попросите ткнуть вас носом в эти проблемы, чтобы убедиться, что я не пустомеля.

В ответ я пробормочу что-то невнятное. Возможно, честно признаюсь, что об etcd слышу исключительно из новостей типа этой. Возможно, скажу, что всё современное хипстерское, коим является и etcd, вообще не ориентировано ни на стабильность, ни на безопасность, а рассчитано лишь на пересоздание с нуля виртуалки в случае любых проблем.

Объясню, что по финансовым/политическим/маркетинговым причинам авторам надо быстрее и больше, а потому в таком софте априори отсутствуют особенности систем (безопасность, надёжность, отлаженность), требующие при разработке длительного погружения в какой-то аспект (анализ, продумывание, изучение вариантов, хотя бы минимальное изучение предметной области) без достижения видимого для инвестора результата (функционала, который можно потыкать).

Вы, конечно, на эти оправдания не поведётесь и будете правы: ведь раз на ошибку вам не могу указать я, значит её и вовсе нет.

Через какое-то время (от нескольких месяцев до пары лет) появится похожая новость об уязвимости.

Вы опять напишите традиционное "не бывает софта без глупых ошибок" и пойдёте пересоздавать образы виртуалок.

Кто-то на форуме вам напишет, что ЭТО не предназначено для использования в продакшне и делать этого не стоит.

И всё повторится заново.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

25. "Утечка параметров аутентификации через незащищённые серверы ..."  –1 +/
Сообщение от Аноним (??) on 26-Мрт-18, 04:23 
Полно протаколов не поддерживающих аудантифирацию и шифрование и что?
Если очень надо из интернета соединяться можно ssh тунель делать
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

58. "Утечка параметров аутентификации через незащищённые серверы ..."  +9 +/
Сообщение от XoRe (ok) on 26-Мрт-18, 16:04 
> Полно протаколов не поддерживающих аудантифирацию и шифрование и что?

Вы заставляете мои глаза кровоточить.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

27. "Утечка параметров аутентификации через незащищённые серверы ..."  +1 +/
Сообщение от Аноним (??) on 26-Мрт-18, 05:03 
etcd — специализированное хранилище. Его в основном используют для взаимодействия микросервисов внутри облачной среды. При нормальном использовании, оно не должно торчать наружу. Именно в нем, зачастую, хранятся параметры для аутентификации в других сервисах (что, в общем-то, и показало исследование).

По хорошему, если защитить etcd, то придется хранить пароль/ключи на каждой ноде. Из-за этого это будет никогда не меняемый пароль, который будут руками забивать в каждый образ. Секьюрности от такого решения не особо прибавится, а гемморой вырастет.

Именно по этому никто не выставляет etcd наружу и именно поэтому долгого времени в нём в принципе не было аутентификации. Проблемы с серверами из текущего исследования в ошибках конфигурации сети. Даже в статье написано о том, что нужно использовать фаервол, а не паролить etcd.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

37. "Утечка параметров аутентификации через незащищённые серверы ..."  +/
Сообщение от Moomintroll (ok) on 26-Мрт-18, 10:56 
> будет никогда не меняемый пароль, который будут руками забивать в каждый образ

Puppet/Ansible/Chef/Saltstack...

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

41. "Утечка параметров аутентификации через незащищённые серверы ..."  +1 +/
Сообщение от Аноним (??) on 26-Мрт-18, 13:12 
А плейбуки с паролями будут на гитхабе лежать?
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

42. "Утечка параметров аутентификации через незащищённые серверы ..."  +/
Сообщение от kazh on 26-Мрт-18, 13:43 
А плейбуки умеют генерить пароли.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

44. "Утечка параметров аутентификации через незащищённые серверы ..."  +/
Сообщение от Аноним (??) on 26-Мрт-18, 14:05 
Пересобирать весь кластер ежемесячно ради смены пароля?
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

75. "Утечка параметров аутентификации через незащищённые серверы ..."  –1 +/
Сообщение от mogwai (ok) on 27-Мрт-18, 07:16 
Или использовать лдап и цербера
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

68. "Утечка параметров аутентификации через незащищённые серверы ..."  +/
Сообщение от angra (ok) on 26-Мрт-18, 21:14 
“Vault” is a feature of ansible that allows keeping sensitive data such as passwords or keys in encrypted files, rather than as plaintext in your playbooks or roles. These vault files can then be distributed or placed in source control.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

47. "Утечка параметров аутентификации через незащищённые серверы ..."  +1 +/
Сообщение от пох on 26-Мрт-18, 14:17 
> Его в основном используют для взаимодействия микросервисов внутри облачной среды.

в этом месте обычно поднимают табличку BULLSHIT!
(три слова совпали,ага)

> По хорошему, если защитить etcd, то придется хранить пароль/ключи на каждой ноде.

поскольку это микросервисы и по ним никто не лазит, ибо некуда (а при взломе сервиса у тебя проблема посерьезнее etcd), да и живут недолго - в общем-то, это значительно безопаснее, чем не иметь их вообще. А если серьезно - отсутствие аутентификации на запись (зачем она микросервису вообще сдалась?) в сервере конфигураций(!) - это, простите, п-ц в головах.

но чем дальше ухожу от тех ребят, которые на моих глазах строили сервисные архитектуры во времена, когда инструментов для убогих еще в помине не было (даже ansible не было - а автоматическая настройка прода у нас - была, и нет, при проломе продовской машины ты не мог вжух и поперезаписывать конфиги других машин, такого маразма нам и в голову бы не пришло соорудить), тем больше понимаю, что времена адекватных девопов давно прошли и времена адекватного софта тоже.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

76. "Утечка параметров аутентификации через незащищённые серверы ..."  +/
Сообщение от Аноним (??) on 27-Мрт-18, 07:45 
В hashicorp эту проблему помешали, но красношляпа такая шляпа
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

85. "Утечка параметров аутентификации через незащищённые серверы ..."  +/
Сообщение от Аноним (??) on 27-Мрт-18, 14:43 
Ничего этого не будет. Я просто посмеюсь с очередного дурачка, списавшего удобный инструмент потому, что ему там жупел в виде каких-то хипстеров померещился.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

90. "Утечка параметров аутентификации через незащищённые серверы ..."  +/
Сообщение от AntonAlekseevich email(ok) on 05-Апр-18, 14:02 
> Внезапный вывод.

Это не внезапный выход, а перенос "Театра безопасности" в компьютерную сферу.
На фоне недавних событий определение "Театр безопасности" так и остается театром. То что я написал это вредно для действия, а не как руководство сделать себе инфраструктуру безопаснее в угоду юзабильности.

А те негативные комментарии оставленные ниже это комментарии тех людей которые восприняли моё сообщение буквально плюсом люди поставившие минуса тоже восприняли сообщение буквально, а не как вредный совет.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

24. "Утечка параметров аутентификации через незащищённые серверы ..."  +2 +/
Сообщение от Аноним (??) on 26-Мрт-18, 04:21 
мораль такова. Нужно включить фаервол на блокирование всех входящих соединений кроме нескольких нужных.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

46. "Утечка параметров аутентификации через незащищённые серверы ..."  +2 +/
Сообщение от Crazy Alex (ok) on 26-Мрт-18, 14:14 
Причём этой морали лет 20 уже как минимум. А дле некоторых оно до сих пор не очевидно почему-то
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

62. "Утечка параметров аутентификации через незащищённые серверы ..."  –2 +/
Сообщение от anonymous (??) on 26-Мрт-18, 17:07 
Это понятно. Но куча серверного софта становится не нужна при таком раскладе. Тот же мускуль. Нафиг ему сервер, когда его уже никто в здравом уме наружу не выставляет?
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

69. "Утечка параметров аутентификации через незащищённые серверы ..."  +1 +/
Сообщение от angra (ok) on 26-Мрт-18, 21:20 
Не знаю как 20, но 10 лет назад это было не особо нужно на линуксе, так как хипстеры еще не пришли в IT и не наделали всяких nosql БД без аутентификации.
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

84. "Утечка параметров аутентификации через незащищённые серверы ..."  –1 +/
Сообщение от Аноним (??) on 27-Мрт-18, 14:37 
Нужно было всегда, и 10 лет тому, и 20, и 500. До идеи «кого надо пущать, остальных не пущать» додумались ещё задолго до этих наших интренетов. Но до админов локалхостов и ланчиков на 10 пользователей начало доходить только когда «хипстеры пришли в IT», а влияние эффекта неуловимого Джо сильно уменьшилось.
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

86. "Утечка параметров аутентификации через незащищённые серверы ..."  +1 +/
Сообщение от angra (ok) on 27-Мрт-18, 16:34 
Попробуй обосновать. Или ты привык следовать догмам, а не пользоваться мозгом?
Практика показывает, что открытый фаервол можно даже сейчас использовать, если на серверах нет модно-молодежных сервисов. И оно работает без взломов, годами, на сотнях серверов по всему миру.
Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

49. "Утечка параметров аутентификации через незащищённые серверы ..."  +1 +/
Сообщение от пох on 26-Мрт-18, 14:17 
> мораль такова. Нужно включить фаервол на блокирование всех входящих соединений

еще лет через двадцать ты поймешь, что и исходящих тоже.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

88. "Утечка параметров аутентификации через незащищённые серверы ..."  +/
Сообщение от Легион on 28-Мрт-18, 23:05 
etcd supports SSL/TLS as well as authentication through client certificates, both for clients to server as well as peer (server to server / cluster) communication.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Утечка параметров аутентификации через незащищённые серверы ..."  –22 +/
Сообщение от Анотоним on 25-Мрт-18, 22:29 
>Исследователь безопасности Giovanni Collazo опубликовал результат

Он русские сервра проанализировал? Давайте пригласим на семинар.

Статья 272 УК РФ. Неправомерный доступ к компьютерной информации (действующая редакция)
1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло копирование компьютерной информации, -
наказывается штрафом в размере до двухсот тысяч рублей или ограничением свободы на срок до двух лет.

2. То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности, (напр за зарплату)-
наказывается штрафом в размере до трехсот тысяч рублей либо лишением свободы на срок до четырех лет.

3. Деяния, предусмотренные частями первой или второй настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, -
наказываются штрафом в размере до пятисот тысяч рублей либо лишением свободы на срок до пяти лет.

4. Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, -

наказываются лишением свободы на срок до семи лет.

Примечания. 1. Под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.

2. Крупным ущербом в статьях настоящей главы признается ущерб, сумма которого превышает один миллион рублей.

3. Угроза наступления последствий - публикация результатов неправомерного доступа.


>Администраторам etcd рекомендуется проверить свои системы на предмет

Как хочу, так и храню.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Утечка параметров аутентификации через незащищённые серверы ..."  +21 +/
Сообщение от Crazy Alex (ok) on 25-Мрт-18, 22:32 
Кхм, какой коллекционный экземпляр. И что ж такое админишь, родимый, что взбеленился? Обидно, что носом ткнули в твою же дурость?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Утечка параметров аутентификации через незащищённые серверы ..."  +10 +/
Сообщение от ага on 25-Мрт-18, 22:52 
Таков типичный девопс
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

21. "Утечка параметров аутентификации через незащищённые серверы ..."  +4 +/
Сообщение от vantoo (ok) on 26-Мрт-18, 01:21 
Тогда нечего удивляться. Новомодные хипстеры-девопсы это такие мартышки, которые только и умеют, что плодить виртуалки-клоны, управляя ими через оркестровки. А в случае проблемы у них одно решение, удалить и накатать по-новой образ.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

39. "Утечка параметров аутентификации через незащищённые серверы ..."  –3 +/
Сообщение от Аноним (??) on 26-Мрт-18, 12:25 
удалить и накатать образ стоит 15 минут и 2 бакса на админа,
разобраться что же не так - потребует 2 часа и дорогого админа.

Сами же понимаете что лучше для бизнеса ?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

50. "Утечка параметров аутентификации через незащищённые серверы ..."  +1 +/
Сообщение от пох on 26-Мрт-18, 14:19 
> Сами же понимаете что лучше для бизнеса ?

угу, а когда залетевший дятел все это разрушит - бизнес объявляет банкротство. двухбаксовые девопы немедленно находят новый такой же, инвестор "фиксирует убытки" (и не платит налогов, так что он в общем ничего и не потерял), эффективные менеджеры улетают на золотом парашутике, вернуться не обещают, но обязательно где-нибудь приземляются.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

63. "Утечка параметров аутентификации через незащищённые серверы ..."  –1 +/
Сообщение от anonymous (??) on 26-Мрт-18, 17:09 
Через пару месяцев про этот "бизнес" никто не вспомнит. А банкротство - это часть рабочего процесса. И никакие 5-10 килобаксовые девопсы это не изменят.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

45. "Утечка параметров аутентификации через незащищённые серверы ..."  +/
Сообщение от Crazy Alex (ok) on 26-Мрт-18, 14:12 
Ну я вот более вменяемых вижу. А здесь карикатура какая-то
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

7. "Утечка параметров аутентификации через незащищённые серверы ..."  +3 +/
Сообщение от anonymous (??) on 25-Мрт-18, 23:24 
Это он намекает на то, что исследователь безопасности у нас рискует присесть. Поэтому и чесаться, будучи админом, не имеет смысла.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

13. "Утечка параметров аутентификации через незащищённые серверы ..."  –2 +/
Сообщение от pavlinux (ok) on 26-Мрт-18, 00:28 
>... исследователь безопасности у нас рискует присесть.

Ну не присесть, но объяснительную напишешь :)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

28. "Утечка параметров аутентификации через незащищённые серверы ..."  –1 +/
Сообщение от anonymous (??) on 26-Мрт-18, 08:56 
Лет 10 назад может быть. Сейчас уже не уверен.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

71. "Утечка параметров аутентификации через незащищённые серверы ..."  +/
Сообщение от Анотоним on 26-Мрт-18, 21:46 
Есть разница, исследовать безопасность по заказу владельца инфраструктуры ИЛИ по собственной инициативе имея целью личную выгоду.

Если у Giovanni Collazo со всем 2284 владельцами серверов etcd есть договора предусматривающие публикацию в свободном доступе результатов исследования объектов относящихся к внутренней инфраструктуре, тогда у меня нет вопросов.

Если у него нет таких договоров, то очень СОМНИТЕЛЬНО выглядит его публикация.
Вместо того, чтобы напрямую связаться с владельцами плохо сконфигурированных систем и предупредить (а за деньги помочь конкретным советом) сей персонаж открыто публикует результаты. зарабатывает себе деньги/репу неправомерным доступом к информации.

В оригинальной статье от March 16, 2018 нет ни слова о попытках свзаться с владельцами или админами, но зато есть любезно представленный всяким туповатым безответственным школьникам-хулиганам пример поискового запроса.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

6. "Утечка параметров аутентификации через незащищённые серверы ..."  +5 +/
Сообщение от Аноним (??) on 25-Мрт-18, 23:18 
>>Исследователь безопасности Giovanni Collazo опубликовал результат
> Он русские сервра проанализировал? Давайте пригласим на семинар.

Поэтому надо оставаться анонимом. Слишком много сброда всякого кругом.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

26. "Утечка параметров аутентификации через незащищённые серверы ..."  +2 +/
Сообщение от YetAnotherOnanym (ok) on 26-Мрт-18, 04:37 
> копирования не было

Кагбэ, именно что было: "рекурсивный запрос всех ключей ("GET http://..."

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

43. "Утечка параметров аутентификации через незащищённые серверы ..."  –3 +/
Сообщение от Аноним (??) on 26-Мрт-18, 13:48 
Запрос ключей чтобы посчитать статистику.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

9. "Утечка параметров аутентификации через незащищённые серверы ..."  +2 +/
Сообщение от IRASoldier on 25-Мрт-18, 23:27 
Лучшая защита хранилища данных - запрет начальства доступаться к хранилищу не имеющим нарочитого предписания, за неисполнение коего запрета долженствует быть применена к неисполнившему кара уголовная.

А мы-то тут, простаки, файерволы налаживаем, шифрование поднимаем... Где ж ты раньше был? Это ж революция в IT!

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

11. "Утечка параметров аутентификации через незащищённые серверы ..."  –2 +/
Сообщение от anonymous (??) on 25-Мрт-18, 23:56 
> Лучшая защита хранилища данных - запрет начальства доступаться к хранилищу не имеющим
> нарочитого предписания, за неисполнение коего запрета долженствует быть применена к неисполнившему
> кара уголовная.

Ты прям Америку переоткрыл. Статей уголовных вагон. Поэтому любая деятельность, связанная с исследованием безопасности, чревата рисками. И не только в этой стране. Новость пробегала несколько лет назад https://habrahabr.ru/post/166459/ Я фигею, какая у людей короткая память.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

17. "Утечка параметров аутентификации через незащищённые серверы ..."  +1 +/
Сообщение от Аноним (??) on 26-Мрт-18, 00:38 
А можно как-нибиудь на тянуть в наш инженерно-технический мир все это гуманитарное дерьмо под названием закон и власть? Это же наиотвратительнейшая сущность созданная человеком для регулирования процессов. Нормально это не функционирует и в таком виде работать это нормально не будет никогда.

> "Студент получил 2,5 года колонии за экстремизм в дипломной работе об экстремизме"
> https://echo.msk.ru/news/2146678-echo.html

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

23. "Утечка параметров аутентификации через незащищённые серверы ..."  +/
Сообщение от anon66 on 26-Мрт-18, 03:30 
если хотите разобраться ищите "яхве против баала". как осилите копайте дальше. всё не так просто как малюют уже 6 тыс. лет.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

38. "Утечка параметров аутентификации через незащищённые серверы ..."  +2 +/
Сообщение от IRASoldier on 26-Мрт-18, 11:19 
...когда вместо мануалов по сетевым протоколам курил протоколы сионских мудрецов facepalm.jpg
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

29. "Утечка параметров аутентификации через незащищённые серверы ..."  –2 +/
Сообщение от anonymous (??) on 26-Мрт-18, 08:59 
Какая есть. Никто же не виноват, что людишки не могут без регулирования.


Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

33. "Утечка параметров аутентификации через незащищённые серверы ..."  –2 +/
Сообщение от anonymous (??) on 26-Мрт-18, 10:13 
да да да
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

34. "Утечка параметров аутентификации через незащищённые серверы ..."  –2 +/
Сообщение от anonymous (??) on 26-Мрт-18, 10:14 
Я  так думаю!
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

12. "Утечка параметров аутентификации через незащищённые серверы ..."  +/
Сообщение от Аноним (??) on 26-Мрт-18, 00:06 
может, появились какие-то надежные средства у "крыши"? не может же быть человеку всё равно ушли данные или нет.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

36. "Утечка параметров аутентификации через незащищённые серверы ..."  +2 +/
Сообщение от amonymous on 26-Мрт-18, 10:15 
> А мы-то тут, простаки, файерволы налаживаем, шифрование поднимаем... Где ж ты раньше был? Это ж революция в IT!

Тычо. Это щаз не модно, и без смузи. Контейнерчик в докере запилил - и хорошо.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

32. "Утечка параметров аутентификации через незащищённые серверы ..."  +/
Сообщение от Sindzicat email on 26-Мрт-18, 09:37 
Простите, вы когда уходите, дом не запираете? Если запираете, то почему?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

51. "Утечка параметров аутентификации через незащищённые серверы ..."  +1 +/
Сообщение от Аноним (??) on 26-Мрт-18, 14:22 
> Простите, вы когда уходите, дом не запираете? Если запираете, то почему?

иначе ты можешь нечаянно зайти, исключительно в целях сбора статистики о моих вещах и нычках, и тебя съест моя собачка. А вот это - в нашей дурацкой стране уголовно наказуемо, даже если на двери висит табличка.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

64. "Утечка параметров аутентификации через незащищённые серверы ..."  +/
Сообщение от anonymous (??) on 26-Мрт-18, 17:34 
> Простите, вы когда уходите, дом не запираете? Если запираете, то почему?

Начнём, с того, что домушники стимулируют людишек хранить деньги в банках. Поэтому вполне может случиться, что сферический домушник, зашедший в открытую дверь, рискует гораздо меньше мамкиного хакера, который залез в админку по дефолтному паролю.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

30. "Утечка параметров аутентификации через незащищённые серверы ..."  –1 +/
Сообщение от рыба ест людей on 26-Мрт-18, 09:25 
а майнить через etcd можно? говорят, сейчас только ради этого и ломают сервера.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

52. "Утечка параметров аутентификации через незащищённые серверы ..."  –1 +/
Сообщение от пох on 26-Мрт-18, 14:24 
> а майнить через etcd можно? говорят, сейчас только ради этого и ломают
> сервера.

вы никуда не годный хипстер, не видать вам халявных монерок. Через etcd нужно раздать задания на майнинг по всей ферме.
(уж что-нибудь, умеющее exec, среди мусорных конфигов найдется)


Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

31. "Утечка параметров аутентификации через незащищённые серверы ..."  –1 +/
Сообщение от Нанобот (ok) on 26-Мрт-18, 09:34 
имхо, если придумать любую ошибку конфигурации, а потом просканировать 0.0.0.0/0 на её наличие, всегда можно найти тысячи хостов, где эта ошибка имеет место.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Утечка параметров аутентификации через незащищённые серверы ..."  –2 +/
Сообщение от amonymous on 26-Мрт-18, 10:15 
Жесть блин. Все вот эти вот монго-редисы-этцды - это ж стильно-модный-молодёжный девопс. Таки лучше переесть, чем недоспать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Утечка параметров аутентификации через незащищённые серверы ..."  +4 +/
Сообщение от Аноним (??) on 26-Мрт-18, 12:34 
Новость! срочно в номер! Если приехать на парковку у супермаркета и оставить машину с незакрытым окном и пойти часа на 3 за покупками, то по возвращению скорее всего из салона пропадет барсетка и все остальное ценное... а то и сама машина.
Если выставить сервис без авторизации голой жопой в интернет, то его найдут и так или иначе попользуют.. Если там лежат деньги^W логины пароли, то их сможет прочитать любой желающий..

И да, процентов 80 народу чтото творящего в интернетах этого не понимает, а еще и обижается, что "работать мешают", на попытку обрезать доступы.. Это ни новость ни разу..

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

48. "Утечка параметров аутентификации через незащищённые серверы ..."  +/
Сообщение от Crazy Alex (ok) on 26-Мрт-18, 14:17 
В основном ругаются потому что доступы режут совершенно невменяемо и не предоставляют при этом каких-то осмысленных способов решать текущие задачи. Админ или security officer, пытающийся закрыть всё и пофиг, как дальше работать ничем не лучше идиота, открывающего всё в мир.
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

59. "Утечка параметров аутентификации через незащищённые серверы ..."  +/
Сообщение от пох on 26-Мрт-18, 16:26 
угу, в результате - по джампхосту на каждой кастрюле, имеющей внешний интерфейс (потому что работать-то надо), половина - осталась на память от давно уволившихся сотрудников, и о них вообще никто не знает. (обновления, что характерно, ставились пять лет назад)

А когда того уберсекьюрити админа спрашивают "что за херня вот прямо сейчас происходит" - выясняется, что у него ни логов, ни умения.

ничем не лучше девопа, у которого все настежь, потому что "я контейнер развернул" (а контейнера с файрволлом ему почему-то не завозят)

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

53. "Утечка параметров аутентификации через незащищённые серверы ..."  +2 +/
Сообщение от Аноним (??) on 26-Мрт-18, 14:30 
> Новость! срочно в номер!

дружище, новость-то не об этом.

> Если приехать на парковку у супермаркета и оставить
> машину с незакрытым окном и пойти часа на 3 за покупками,

если бы все так делали, я бы давно на работу не ходил.

> Это ни новость ни разу..

тут новость ровно в том, что "а вон у того супермаркета-  полная парковка таких лохов".

P.S. на самом деле в какой-нибудь Норвегии вполне народ и ключи в замке оставляет. Но ты если там будешь, сперва по сторонам оглядись - если рядом стоит еще одна грязная тачка с русскими или польскими номерами, или вокруг бродят ниггеры - то не будь таким лохом.
(их ловят, и отправляют коленом под зад обратно в родные бантустаны, но помогает плохо)

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

57. "Утечка параметров аутентификации через незащищённые серверы ..."  +/
Сообщение от anonymouse on 26-Мрт-18, 15:40 
Оо, жаркий спор ansible-docker хомячков. Лол.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

60. "Утечка параметров аутентификации через незащищённые серверы ..."  +/
Сообщение от freehck email(ok) on 26-Мрт-18, 16:32 
А что не так с ansible?
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

61. "Утечка параметров аутентификации через незащищённые серверы ..."  –1 +/
Сообщение от MoronDude on 26-Мрт-18, 16:50 
То что каждый сервер должен быть конфигурирован вручную, и пропущен через цыпочку валидаций и проверок безопасности.
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

70. "Утечка параметров аутентификации через незащищённые серверы ..."  +/
Сообщение от angra (ok) on 26-Мрт-18, 21:35 
Ansible это инструмент, как нож или топор. Если его использует умный человек, то сплошная польза. Но в руках дурака  он опасен для него самого и окружающих.
Дураки используют чужие плейбуки и докерфайлы, получая неизвестно что. Умные создают свои. И в этом случае один сервер настраивается тщательно и вручную, может быть даже на протяжении нескольких дней, а вот потом его копии создаются быстро в любом количестве. И это куда лучше, чем вручную создать за то же время десять однотипных серверов, в половине из них упустив какие-то важные действия и не доведя до нужной кондиции ни один.
Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

72. "Утечка параметров аутентификации через незащищённые серверы ..."  +1 +/
Сообщение от нах on 26-Мрт-18, 22:24 
> Дураки используют чужие плейбуки и докерфайлы, получая неизвестно что. Умные создают свои.

умным не нужен ansible - они создают свой. Заточенный строго под их задачи.

И это быстрее, чем разбираться в существующих нагромождениях на уровне, большем, чем чтобы использовать чужие/наспех поправленные конфиги (а потом больно стукнуться об ограничения модели и все равно начать колхозить).

> И это куда лучше, чем вручную создать за то же время десять однотипных серверов
> в половине из них упустив какие-то важные действия

ansible позволяет растиражировать упущенные действия на все десять, а то и все пять тысяч, ага. Быстро, очень быстро.

для того и брали.

P.S. к тому же для цели растиражировать просто свежеустановленный сервер никакой ansible даром не нужен - все вменяемые дистрибутивы умеют автоустановку с заданными параметрами. Он или что-то другое становится нужным, когда серверов уже сотни, и на них что-то надо _поменять_.
Причем без гарантии, что поменять надо одинаково.

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

73. "Утечка параметров аутентификации через незащищённые серверы ..."  +/
Сообщение от MoronDude on 27-Мрт-18, 02:10 
Согласен. Если нужно настроить новые сервера с одинаковой конфигурацие можно воспользоваться автоустановкой, для существующих нужно все менять в ручную с полной проверкой на каждом сервере.

Если твой ansible хост скомпрометирован, можно смело сжигать сервера. Если ты конечно не «я у мамы хакер localhost’а».
(Тоже с puppet, и cheff и salt и т.п и т.д)

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

77. "Утечка параметров аутентификации через незащищённые серверы ..."  –2 +/
Сообщение от foobar email(??) on 27-Мрт-18, 07:55 
"Как заданием об изменении одной строки на тысяче серверов обеспечить мамкиному админу работу на год".

Кроме мартышкиного ручного "труда" и создания видимости работы наши бородатые админы ничего и не умеют. За что и были закономерно выброшены на обочину рынка.

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

80. "Утечка параметров аутентификации через незащищённые серверы ..."  –1 +/
Сообщение от забыл_пароль_от_тигар on 27-Мрт-18, 09:29 
> "Как заданием об изменении одной строки на тысяче серверов обеспечить мамкиному админу
> работу на год".
> Кроме мартышкиного ручного "труда" и создания видимости работы наши бородатые админы ничего
> и не умеют. За что и были закономерно выброшены на обочину
> рынка.

только почему-то зовут именно их оттуда, когда девопсики обосpались и "щас контейнер перезалью" уже не помогает, ибо оно снова начинает майнить монетки спустя несколько минут :-)

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

81. "Утечка параметров аутентификации через незащищённые серверы ..."  –1 +/
Сообщение от ыы on 27-Мрт-18, 09:32 
не, этих не зовут :)
нафиг они нужны если ansible не знают?
пусть продолжают локалхосты админить.
Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

79. "Утечка параметров аутентификации через незащищённые серверы ..."  +1 +/
Сообщение от ыы on 27-Мрт-18, 09:25 
ansible  -это такой, своеобразный (ну.. какой есть) аналог групповых политик от домена активдиректори.
вы не понимаете зачем нужен ансибл? зачем нужны групповые политики? рассуждаете о компрометации контроллера домена?

Претензии которые вы высказываете - смехотворны.

Я еще раз повторю ранее высказанную кем -то мысль:

"сначала я думал что это троли, но потом понял [с ужасом] что они всерьез."

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

87. "Утечка параметров аутентификации через незащищённые серверы ..."  +/
Сообщение от MoronDude on 27-Мрт-18, 17:00 
Я по большей части троил. Но если серьезно то автомацией не все проблемы решаются.
Наши крап-о-аднины юзают puppet, все началось очень даже хорошо - общие шаблончики, а закончилось тем что оказывается на каждую пару а то и индивидуальный сервер нужны свои поправки, так и получаеться что на сервер ходи и правь сам или ставь процесс от рута чтобы делать за тебя.  Мне как бы было бы пох если бы не infosec, иметь процессы которые работают от root и послушно выполняет все поручения, меня пугают.
Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

89. "Утечка параметров аутентификации через незащищённые серверы ..."  +/
Сообщение от Легион on 28-Мрт-18, 23:21 

> так и получаеться что на сервер
> ходи и правь сам

Ежели юзать конфигманагер, то ВСЕ изменения должны выполняться плейбуками/манифестами/как-их-там и ни в коем случае не ручками на хостах.

Ты в любое время должен поднять нулёвый инстанс, накатить на него конфиг и получить конечный рабочий экземпляр. Автоматом, без всяких ручек.

Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

83. "Утечка параметров аутентификации через незащищённые серверы ..."  +/
Сообщение от angra (ok) on 27-Мрт-18, 13:00 
> для существующих нужно все менять в ручную с полной проверкой на каждом сервере.

Разве что если тебе платят почасово, совести не хватает, чтобы отказаться от развода заказчика на бабки, а ума на применение эффективного решения с последующим указанием времени неэффективного.

> Если твой ansible хост скомпрометирован, можно смело сжигать сервера.

Даю хинт, ansible можно юзать с любой машины. Он не требует выделенного сервера как "puppet, и cheff и salt и т.п и т.д)"
Ну и при компрометации гейта или машины админа придется это делать в любом случае, даже если там не было ansible. Вот только с ansible переустановка займет значительно меньше времени.

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

82. "Утечка параметров аутентификации через незащищённые серверы ..."  –1 +/
Сообщение от angra (ok) on 27-Мрт-18, 12:56 
> умным не нужен ansible - они создают свой. Заточенный строго под их задачи.

И это тоже. Но только если задачу действительно неудобно решать имеющимися инструментами.

> ansible позволяет растиражировать упущенные действия на все десять, а то и все пять тысяч, ага. Быстро, очень быстро.

И точно также быстро их исправить. Причем исправлять надо будет везде одинаково и найти проблемное место легко, а при ручной работе на каждом сервере могут быть разные ошибки и их поиск будет тем еще квестом.

> к тому же для цели растиражировать просто свежеустановленный сервер никакой ansible даром не нужен - все вменяемые дистрибутивы умеют автоустановку с заданными параметрами.

Во-первых, это больше возни. Во-вторых, значительная часть хостеров дает выбор из имеющихся у них образов, а не возможность проинсталлить свой.

> Он или что-то другое становится нужным, когда серверов уже сотни, и на них что-то надо _поменять_.

Или применить композицию. Или разбиение задач на "кубики" и сборка из них это слишком по-программерски для тру админов?
Как раз для регулярных изменений лучше использовать не ansible, а свой инструмент.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру