| |
| 2.2, Аноним (-), 11:09, 10/07/2016 [^] [^^] [^^^] [ответить]
| +5 +/– |
А представь, как весело разработчикам дистрибутивов, которые в 2016 поставляют софт с открытым нараспашку Redis и доступом по SSH по паролю из коробки.
| | |
| |
| 3.3, angra (ok), 11:34, 10/07/2016 [^] [^^] [^^^] [ответить]
| –2 +/– |
 Аргументы против парольного входа по ssh сможешь привести?
| | |
| |
| |
| 5.6, Аноним (-), 12:03, 10/07/2016 [^] [^^] [^^^] [ответить]
| +5 +/– |
Кто сказал "Правильные пароли"? И тогда можно годами брутфорсить.
| | |
| |
| 6.11, й (?), 12:47, 10/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
эм, скажем так: в "правильном пароле" у вас вряд ли будет больше 256 бит энтропии. а ключик двухкилобайтный. да и подбирать сложнее существенно.
| | |
| |
| 7.56, Аноним (-), 12:18, 11/07/2016 [^] [^^] [^^^] [ответить]
| –2 +/– |
В пароле и 128 хватит. Навсегда.
А вот ключ скоро сломают квантовые компьютеры.
| | |
|
|
| 5.8, Аноним (-), 12:06, 10/07/2016 [^] [^^] [^^^] [ответить]
| +3 +/– |
Кто сказал файерволл? Ограничить количество новых коннектов для ssh в единицу времени не судьба?
| | |
| |
| 6.9, Аноним (-), 12:19, 10/07/2016 [^] [^^] [^^^] [ответить]
| +8 +/– |
Есть вариант проще. Я на сервере в предприятии, где работаю, снизил нагрузку на проц на 10%, выбрав нестандартный порт для ssh. Сразу все брутфорсеры отвалились.
| | |
| |
| |
| 8.52, Аноним (-), 23:12, 10/07/2016 [^] [^^] [^^^] [ответить] | +2 +/– | Потому что большинство брутфорсов делается ботами, которые просто сканят сеть и ... текст свёрнут, показать | | |
|
|
| 6.12, й (?), 12:48, 10/07/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Кто сказал файерволл? Ограничить количество новых коннектов для ssh в единицу времени
> не судьба?
и не смочь попасть на сервер, когда кто-то другой активно подбирает пароль с десятка таких же публичных адресов?
| | |
| 6.14, anonymous (??), 12:54, 10/07/2016 [^] [^^] [^^^] [ответить]
| +3 +/– |
Я напомню: мы обсуждаем новость о гарантированном обнаружении 6k+ идиотов, которые не смогли добавить 'listen' в конфиг Redis. А ты мне про настройки firewall. LOL.
| | |
| 6.15, anonymous (??), 12:57, 10/07/2016 [^] [^^] [^^^] [ответить]
| +3 +/– |
> Кто сказал файерволл? Ограничить количество новых коннектов для ssh в единицу времени
> не судьба?
P.S. Не говоря уже о том, что security-by-default гораздо лучше, чем security-by-overpaid-motherfucker-who-spent-the-whole-day-making-our-server-at-least-decently-secure.
| | |
| 6.29, ъ (?), 17:43, 10/07/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
Не флейма ради, но хотелось бы узнать, как имено искать доки в гугле, что бы это сделать. Что то прямой поиск по "Ограничить количество новых коннектов для ssh в единицу времени" на первых 20 страницах ничего _рабочего_ не дал.
| | |
| |
| 7.30, Аноним (-), 18:21, 10/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
iptables recent
Способ в каком-то виде можно применить для аппаратных роутеров, только синтаксис другой будет.
| | |
| 7.41, Аноним (-), 20:13, 10/07/2016 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Ищи по iptables connlimit или iptables limit
Вот пример из гугла на вскидку
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m limit --limit 50/minute --limit-burst 200 -j ACCEPT
| | |
|
|
|
| 4.17, й (?), 13:00, 10/07/2016 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Аргументы против парольного входа по ssh сможешь привести?
есть такая штука как аудит безопасности. т.е. в логах я вижу "в этот аккаунт вошли с этим ключом, а теперь -- с этим". т.к. ключи у разных людей разные, это даёт некоторую информацию. а вот при парольной аутентификации этой информации в логах нет. т.е. "кто-то вошёл с этого адреса" -- и всё.
далее. есть типичная ситуация: аккаунт используют A и B. надо бы сегодня в полночь отобрать доступ у B. что с ключами делать -- понятно. а вот если пароли -- надо менять пароль и рассылать его всем, кому он нужен, т.е. головная боль на пустом месте.
ну, и это ведь действительно неудобно. ни тебе key forwarding, ни приличной автоматизации (вот только не надо про то, что пароли надо "запоминать" в ssh-клиентах или вводить expect'ом), зато куча лишних движений на пустом месте.
| | |
| |
| 5.18, й (?), 13:02, 10/07/2016 [^] [^^] [^^^] [ответить]
| +/– | |
>> Аргументы против парольного входа по ssh сможешь привести?
ах, и да, несколько лет назад в openssh была эпичная дырка, позволяющая удалённо получить рута на незнакомом сервере, если не оторвана парольная аутентификация. что характерно -- не первая и не факт, что последняя.
| | |
| |
| 6.23, angra (ok), 14:28, 10/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
А перед этим была дыра с ключами в debian, так что теперь ключи тоже не использовать?
| | |
| |
| 7.35, й (?), 19:21, 10/07/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
скорее, debian, если вы помните суть той дыры.
| | |
| |
| 8.47, Аноним (-), 21:47, 10/07/2016 [^] [^^] [^^^] [ответить] | –3 +/– | Суть дыры сводилась к тому, что вместо использования ваниллы в дебиане пропатчил... текст свёрнут, показать | | |
| |
| 9.58, Аноним (-), 14:25, 11/07/2016 [^] [^^] [^^^] [ответить] | +/– | Справедливости ради, посмотри, что там патчили Инициализация локальной переменн... текст свёрнут, показать | | |
|
|
|
|
| 5.22, angra (ok), 14:27, 10/07/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
Я просил аргументы против паролей, а не за ключи. Наличие аутентификации по паролям не запрещает использовать аутентификацию по ключам. Так что все аргументы мимо.
| | |
| |
| 6.31, Аноним (-), 18:23, 10/07/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Я просил аргументы против паролей, а не за ключи. Наличие аутентификации по
> паролям не запрещает использовать аутентификацию по ключам. Так что все аргументы
> мимо.
Без паролей сон более длительный и глубокий.
| | |
| 6.36, й (?), 19:31, 10/07/2016 [^] [^^] [^^^] [ответить]
| +/– | |
ну, а смысл использовать пароль, если все всё равно ходят по ключам? когда в 2011 году обнаружился zero day для включённых паролей в ssh, я их выключил и с тех пор не включал. это было быстрее, чем ждать патча. повторюсь, я не уверен, что это последний баг в openssh на эту тему, меньше возможный вектор атаки и все дела. иллюстрация:
1. включите сервер с ssh на 22 порту на белый адрес в интернет
2. спустя сутки посмотрите логи
3. вы найдёте куче попыток подобрать пароль и ни одной попытки подобрать ключ
| | |
| |
| 7.40, angra (ok), 20:11, 10/07/2016 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> ну, а смысл использовать пароль, если все всё равно ходят по ключам?
1. Возможность зайти на сервер не с основной машины.
2. Передать сервер клиенту.
| | |
| |
| 8.44, й (?), 20:23, 10/07/2016 [^] [^^] [^^^] [ответить] | +/– | ага, из интернет-кафе с кейлоггером в комплекте для такого случая можно сгенери... текст свёрнут, показать | | |
| |
| 9.46, angra (ok), 21:11, 10/07/2016 [^] [^^] [^^^] [ответить] | +/– | 1 То есть кроме как своя машина и интернет-кафе других вариантов у вас нет Мои... текст свёрнут, показать | | |
| |
| 10.67, XoRe (ok), 20:50, 12/07/2016 [^] [^^] [^^^] [ответить] | +1 +/– |  Можно иметь приватный ключ и не на основной машине При желании, можно наделать ... текст свёрнут, показать | | |
|
| 9.63, scorry (ok), 10:59, 12/07/2016 [^] [^^] [^^^] [ответить] | –1 +/– |  Ты, милок, и клавиатуру к народу поворачиваешь, небось, когда пароли набираешь, ... текст свёрнут, показать | | |
|
|
|
|
| 5.25, anonymous (??), 15:40, 10/07/2016 [^] [^^] [^^^] [ответить]
| –3 +/– | |
Очень интересно узнать как Вы охарактеризуете следующую ситуацию:
есть такая штука как аудит безопасности. т.е. в логах я вижу "в этот аккаунт вошли, а теперь в этот аккаунт". т.к. аккаунты у разных людей разные, это даёт некоторую информацию. а вот при аутентификации с ключом этой информации в логах нет. т.е. "кто-то вошёл с этого адреса" -- и всё.
далее. есть типичная ситуация: ключ используют A и B. надо бы сегодня в полночь отобрать доступ у B. что с аккаунтами делать -- понятно (echo "passwd -l B" | sudo at 00:00). а вот если ключ -- надо менять его и рассылать всем, кому он нужен, т.е. головная боль на пустом месте.
И не могли бы Вы показать что делать с ключом (да или даже с разными ключами)
в ситуации "надо бы сегодня в полночь отобрать доступ у B",
то есть когда при парольной аутентификации достаточно
"echo "passwd -l B" | sudo at 00:00"
| | |
| |
| 6.28, angra (ok), 17:40, 10/07/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
Данная ситуация характеризуется просто: кто-то очень плохо разобрался в том, что такое ключи и как с ними работать, в результате наделал кучу глупостей. Более того, либо все остальные коллеги этого кого-то тоже некомпетентны, либо этот кто-то не желает слушать, что они ему говорят.
| | |
| 6.38, й (?), 19:45, 10/07/2016 [^] [^^] [^^^] [ответить]
| +/– | |
очень нецензурно охарактеризую. да, я видел случаи, когда люди не знали, что ключей можно прописать несколько, и шарили один по почте. они дураки.
> что делать с ключом (да или даже с разными ключами) в ситуации "надо бы сегодня в полночь отобрать доступ у B", то есть когда при парольной аутентификации достаточно "echo "passwd -l B" | sudo at 00:00"
cp /tmp/new.keys ~user/.ssh/authorized_keys в тот же atd, например. или через вашу любимую систему управления конфигурацией.
| | |
| |
| 7.60, anonymous (??), 01:04, 12/07/2016 [^] [^^] [^^^] [ответить]
| +/– | |
Не думал что намёк получится настолько тонким.
У Вас какая-то ошибка
$ cp /tmp/new.keys ~user/.ssh/authorized_keys
cp: cannot stat '/tmp/new.keys': No such file or directory
И задача звучит (Вы её так поставили) так - "_отобрать_ доступ у B".
Не изменить ему пароль, не удалить его ключ (или каким-то образом старый authorized_keys где-то сохранен?)
| | |
| |
| 8.68, й (?), 21:20, 12/07/2016 [^] [^^] [^^^] [ответить] | +/– | эм, ещё раз вводные A и B оба используют аккаунт Y нам надо отозвать доступы у... текст свёрнут, показать | | |
|
|
|
| |
| 6.39, й (?), 20:09, 10/07/2016 [^] [^^] [^^^] [ответить]
| +/– | |
вы это серьёзно?
во-первых, юзер, имеющий хоть какой доступ к серверу (будь то его код или шелл или что ещё) поимеет всех юзеров и их пароли. в аутентификацию эта чудо-админка не умеет вообще.
во-вторых, админка для сброса пароля на _любого_ юзера без аутентификации -- дурная идея. даже если она запущена только на 127.0.0.1.
| | |
|
|
| 4.53, Аноним (-), 04:44, 11/07/2016 [^] [^^] [^^^] [ответить]
| +1 +/– | |
У меня есть железобетонный аргумент.
Хочет человек получить ssh-доступ на сервер, говоришь человеку "дай pubkey", если он не понимает, чего я хочу - нечего ему на сервере делать.
| | |
| |
| 5.62, sendlettersmail.ru (?), 10:53, 12/07/2016 [^] [^^] [^^^] [ответить]
| +/– | |
Высылай IP
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCgIuuS4+bKXbm8Cbg61K33TeJiJ+cxozzoHIt3au3OncL2gxz4+QvvZLPwTsmmbyt8H4ssBnnWEXR+iyadL/QXbGBMmygCaODxZOk6RgifFVnLiZsOKHOESyEeVuGcopQUBdNmgwuj6FTQ6jQtvwb6fYYBrm58BSUPeTI7IqXy9+JGEPgEX2qd7/S03kCTpDTC4Cd5ck6FvEUvzH7ERRZx04konz3vV/TYcqHz8RwoBuwP01KSIPFClwClyeCbbsqD+izjlMfX0WVtT8wgVQveQfaD5Rfeqxuumn1TCM8qY/2MvbdcRrRoJtBQm7WrHGBxJNIaf1Re+K9uNmxFF7hV sendletters@mail.ru
| | |
|
|
| 3.7, Аноним (-), 12:04, 10/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
Они тебе что должны что-то или ты им деньги платишь? Они поставляют дефолтную конфигурацию, которая позволяет быстро поднять сервис. Дальше ты уже сам.
| | |
| |
| 4.10, Аноним (-), 12:20, 10/07/2016 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Можно подумать, что платящие получат безопасную конфигурацию.
А потом кто-то, используя хакнутые компьютеры, имеет сервера Gentoo, Debian и RedHat.
| | |
|
| 3.20, й (?), 13:18, 10/07/2016 [^] [^^] [^^^] [ответить]
| –1 +/– | |
есть ещё такая штука как vnc. предустановленная что в маке, что в убунте.
так вот, у этой штуки до сих пор в 2016 году лимит на пароль в 8 символов. т.е. больше можно, но остальные символы просто игнорируются.
это тоже разработчики дистрибутивов виноваты?
хрен с ним, с парольным доступом, но редис на 0.0.0.0 по умолчанию нигде не вешается, это постараться надо, чтобы такое получить.
| | |
| |
| 4.32, Аноним (-), 18:28, 10/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
> есть ещё такая штука как vnc. предустановленная что в маке, что в
> убунте.
Короткие пароли - не самая большая его проблема. Оно тормозное, да и реализации его в разных программах не всегда совместимы.
В дефолте пароль не установлен и доступа нет.
| | |
| |
| 5.37, й (?), 19:35, 10/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
я про это же. редис по дефолту слушает только 127.0.0.1 во всех распространённых дистрибутивах. т.е. чтобы выставить его всем в интернет -- нужно постараться. ну, и отсутствие головы.
| | |
|
|
|
| 2.16, Наркоман (?), 12:58, 10/07/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ты каждое утро встаёшь и весь день начинаешь ныть про хипстеров в комментариях к новостям на опеннете. Как оно, интересно?
| | |
|
| 1.5, depeche (??), 11:51, 10/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Вы же и сказали. Относительно серьезные несловарные пароли ломаются долго.
| | |
| 1.21, t28 (?), 13:33, 10/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
>из-за ненадлежащей настройки доступа, тысячи различных NoSQL-систем (MongoDB,
>Memcached, Redis, CouchDB, Cassandra, Riak) принимают внешние сетевые запросы,
>отдавая свои данные всем желающим без аутентификации.
В CentOS-е default config memcached такой, что по умолчанию слушается порт на INADDR_ANY. Eстественно, безо всякой аутентификации доступен извне сразу после запуска. :)
| | |
| |
| 2.34, Crazy Alex (??), 19:12, 10/07/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
Редис и подобные по большому счёту не рассчитаны на использование на локалхосте. Поэтому даже если по бедности или для разработки их поднимают на одной машине с клиентом - логично всю конфу делать под TCP, чтобы потом было проще растащить на разные хосты.
| | |
| 2.42, angra (ok), 20:18, 10/07/2016 [^] [^^] [^^^] [ответить]
| +6 +/– |
Ну а TCP уже чем не угодил?
Школоло узнало про unix socket?
| | |
| |
| 3.49, Аноним (-), 22:11, 10/07/2016 [^] [^^] [^^^] [ответить]
| –2 +/– |
Чем вам unix socket не нравится помимо некроссплатформенности?
| | |
| |
| 4.57, angra (ok), 13:26, 11/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
С чего вы взяли, что они мне не нравятся? Отличная вещь, активно использую, также как и TCP/IP сокеты и другие варианты IPC. А если посмотреть выше по треду, то я еще и использую для аутенификации как ключи, так и пароли. Ужас, правда? Настоящее школоло должно выбрать только что-то одно и необосновано называть идиотами всех, кто использует другое.
| | |
| 4.59, Аноним (-), 14:28, 11/07/2016 [^] [^^] [^^^] [ответить]
| –2 +/– |
"для кросплатформенности" WebSockets давно есть, призваные кстати все три версии HTTP заменить, но увы. "неосиляторов" - преобладание в вебмастеринге и пр.
| | |
| |
| 5.65, count0krsk (ok), 20:45, 12/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
 > "для кросплатформенности" WebSockets давно есть, призваные кстати все три версии HTTP заменить
А там будет DRM? Или уже всё потоковое, через жабу скрипт с рекламой, который пока её не покажет, кина не будет?
Как же собако стремно, что с каждым годом инет превращается в чертов Телик, который не смотрю с 7 класса. Зла не хватает на уродов-копирастов. И веб-мастеров, которые им подмахивают, думая лишь о сиюминутной наживе. Сейчас ещё пакет Яровой приняли сраный. Теперь перед тем как гуглить, надо думать будет, то ли пишешь.
| | |
|
|
|
|
| 1.48, Аноним (-), 22:03, 10/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Документацию не читал, но осуждаю - это нарушает полную открытость Web и Gnu.
| | |
| 1.50, A.Stahl (ok), 22:58, 10/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
 90% проблемных серверов в руках админов подкроватных локалхостов.
Еще 9.99% -- тестовые и/или экспериментальные серверы.
Оставшаяся сотая процента это результат пьянства админов в результате которой злоумышленники смогут получить доступ к кешу сисек, писек и котиков.
Короче -- спецам пофиг, а любителям нафиг.
Жертв нет.
| | |
|
