subject:"Re\: sudo ws root"

В Срд, 17/12/2008 в 16:27 +0300, Mikhail A Antonov пишет:
 -[ Покотиленко Костик 17/12/2008 16:05 (GMT +3)
  Кстати, народ, давно хотел спросить. Есть ПО анализирующее логи того же
  ssh и банящее ботов в iptables. Сам по себе анализ постоянный логов как
  процесс у меня вызывает отвращение, может есть в виде плагинов или ещё
  чего нечто, что по данным демонов (ssh, smtpd, etc) может делать
  подобное (вызывать команды iptables), без нудного анализа логов?
 fail2ban. Правда оно на питоне и периодически подвисает или кушает много 
 памяти, 
 но как-то не получается воспроизвести почему оно это делает.

Fail2ban scans log files like /var/log/pwdfail
or /var/log/apache/error_log and bans IP
 ^^^
that makes too many password failures. It updates firewall rules to
reject the IP address.

-- 
Покотиленко Костик cas...@meteor.dp.ua


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

В Чтв, 18/12/2008 в 10:57 +0300, Peter Teslenko пишет:
 Покотиленко Костик wrote:
  Кстати, народ, давно хотел спросить. Есть ПО анализирующее логи того же
  ssh и банящее ботов в iptables. Сам по себе анализ постоянный логов как
  процесс у меня вызывает отвращение, может есть в виде плагинов или ещё
  чего нечто, что по данным демонов (ssh, smtpd, etc) может делать
  подобное (вызывать команды iptables), без нудного анализа логов?
 
 Есть такое
 
 Package: denyhosts
 State: not installed
 Version: 2.6-4
 Priority: optional
 Section: net
 Maintainer: Marco Bertorello ma...@bertorello.ns0.it
 Uncompressed Size: 442k
 Depends: lsb-base (= 3.1-10), python, python-central (= 0.6.7)
 Conflicts: denyhosts-common, denyhosts-python2.3, denyhosts-python2.4
 Replaces: denyhosts-common, denyhosts-python2.3, denyhosts-python2.4
 Description: a utility to help sys admins thwart ssh crackers
   DenyHosts is a program that automatically blocks ssh brute-force attacks by 
 adding entries to /etc/hosts.deny. It will 
 also
   inform Linux administrators about offending hosts, attacked users and 
 suspicious logins.
 
   Syncronization with a central server is possible too.
 
   Differently from other software that do same work, denyhosts doesn't need 
 support for packet filtering or any other 
 kind of
   firewall in your kernel
 
 Tags: admin::configuring, admin::logging, implemented-in::python, 
 interface::daemon, protocol::ssh, role::program,
scope::utility, security::forensics

Видел, тоже анализатор логов. Говорят у него на одну функцию больше чем
у fail2ban.

-- 
Покотиленко Костик cas...@meteor.dp.ua


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

В Срд, 17/12/2008 в 19:54 +0300, Dmitry Marin пишет:
George Shuklin wrote:
17.12.08, 19:35, Mikhail Gusarov dotted...@dottedmag.net:

Вообще, если говорить про настоящую паранойю, то требуется использовать
файрвол (с VPN'ом) и систему внутри от разных вендоров и разных платформ.
Например, шлюз - железячный роутер, или (о ужас) Microsoft Windows Server
RRaS. Главное, чтобы разные. И чем более разные (т.е. не два разных
линуха), тем лучше.

Настоящий параноик за ценой не постоит.

--
Покотиленко Костик cas...@meteor.dp.ua

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

Hello!

Так секьюрити апдейты должны быть как раз превентивной мерой.

Race condititon получается.

Что произойдет быстрее - багу обнаружат хорошие парни, исправят,
выпустят апдейт, ты об этом узнаешь и установишь, или ее обнаружат
плохие парни и проэксплойтят?

Шансы на первое велики, но не 100%

100% и не будет. В конце концов, вооруженная группа захвата наверняка сможет
успешно атаковать
датацентр и физически забрать сервер. Притом эта операция может обойтись
существенно дешевле, чем
софтверный взлом openssh. А физически уничтожить датацентр и еще проще. Хорошо
бы оценить, сколько
стоит софтверный взлом разного ПО, чтобы можно было исходя из этого выбирать.
Пока что у меня есть
бездоказательное ощущение, что взлом vpn-сервера не стоит ничего - достаточно в
инете поискать
(имею в виду реализованный на разных железках vpn, вероятно, openvpn все же
понадежнее)...

Вообще говоря, случай практически достижимый. Технологии software
proving существует. И, например, французы там, где пару миллионов
потратить на это не жалко, их применяют. В системе управления парижским
метро, или в ракетах Arian (после того, как оно однажды гробанулось
из-за софтверного бага).

Не думаю, что кто-то потратит эквивалентную сумму на взлом openssh - дешевле
выйдет физический
захват сервера, см. выше. Что касается России, то существующие законы о защите
данных явно не
стимулируют на затраты таких масштабов.

Немножко не так. В памяти при работе ssh-agent бывает незашифрованный
ключ.

Но зато:
1. Это удобно. Это все хосты, на которые я хожу из текущей сессии, что
по ssh, что по imap с ssh-tunneling, что по cvs/svn меня узнают сразу и
дополнительной аутентификации не требуют.

2. На всех остальных машинах, куда я хожу и должен пойти куда-нибудь
дальше, моих аутентификационных credentials НЕТ. Даже кейлоггером
(ttysnoop-ом) мой пароль не перехватить - я его там не ввожу. Агент у
меня здесь, и оттуда прибегают только запросы к нему. А это -
криптография с открытым ключом. Соответственно,
можно пытаться эксплойтить мой ключ в течение моей сессии на удаленную
машину. Но прикопать его там, чтобы проэксплойтить в мое отсутствие - не
получится.

Интересно. Да, если использовать промежуточный хост, плюсы вижу.

Best regards, Alexey.

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

2008-12-18 Пенетрантность Mikhail A Antonov

Hello!

В сообщении от Thursday 18 December 2008 11:45:26 yuri.nefe...@gmail.com 
написал(а):
    Программа хорошая, использую уже несколько лет, но к iptables
    не имеет никакого отношения. Она тупо заносит ip в hosts.deny.
    Соответственно если тот же host занесён в hosts.allow, то
    сработает hosts.allow. Так я с ней порой и борюсь :)

Что вы делаете, если ВАС не заблокирует - меняете работу? :-) А для 
распределенной сети ботов хватит 
и 1-3 попыток с хоста для перебора простых паролей. Имхо ip-адрес не такой 
надежный параметр, чтобы 
на его определение и блокировку тратить ресурсы сервера.

Best regards, Alexey.


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

-[ Покотиленко Костик 17/12/2008 16:36 (GMT +3)
 Fail2ban scans log files like /var/log/pwdfail
 or /var/log/apache/error_log and bans IP
          ^^^
 that makes too many password failures. It updates firewall rules to
 reject the IP address.
Тем не менее, ssh оно умеет смотреть.
Здесь не сказано что этими логами оно ограничивается.
$ aptitude show fail2ban
Пакет: fail2ban
...
Описание: bans IPs that cause multiple authentication errors
 Monitors log files (e.g. /var/log/auth.log, /var/log/apache/access.log) and 
temporarily or persistently bans failure-prone addresses by
 updating existing firewall rules.
...

-- 
Best regards,
 Mikhail


signature.asc
Description: This is a digitally signed message part.

Re: sudo ws root

On 2008.12.18 at 13:23:57 +0300, Alexey Pechnikov wrote:

Hello!

Так секьюрити апдейты должны быть как раз превентивной мерой.

Race condititon получается.

Шансы на первое велики, но не 100%

100% и не будет. В конце концов, вооруженная группа захвата наверняка
сможет успешно атаковать

Вопрос не в вооруженной группе. Вопрос в китайском спаммере.
То что китайский спаммер читает багтрак и узнает о дырке в openssh
на некоторое время раньше, чем большинство адаминов я уверен.

Вопрос в том, успеет ли он проэксплойтить твою машину, прежде чем ты
прочитаешь debian-announce и поставить апдейт.

Не думаю, что кто-то потратит эквивалентную сумму на взлом openssh -
дешевле выйдет физический

Речь идет не о сумме на взлом, а о сумме на доказательство что в
каких-то конкретных условиях openssh абсолютно безопасен. И чтобы
условия не были сетевой кабель из компьютера выдернут.

Взлом - дешевле.

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

Hello!

Вопрос в том, успеет ли он проэксплойтить твою машину, прежде чем ты
прочитаешь debian-announce и поставить апдейт.

Наверняка кто-то из китайских спамеров успеет узнать о баге раньше меня. Но
шансов, что случайно
успеет взломать определенный сервер - ничтожно мало. А вот если кто-то охотится
за конкретным
сервером, вряд ли он будет ждать лет 10, пока в openssh найдут достаточно
серьезный баг, который к
тому же можно эксплуатировать (есть все же некая разница между вероятностью
уязвимости и ее
реализацией).

Не думаю, что кто-то потратит эквивалентную сумму на взлом openssh -
дешевле выйдет физический

Взлом - дешевле.

Какой смысл в этом доказательстве? Пустую машину серьезно защищать редко есть
необходимость, а если
на машине имеются рабочие сервисы, проще ломать их. Притом одни сервисы
обращаются к другим, что
делает анализ фактически неосуществимым. Одно использование клиент-серверных
СУБД уже достаточный
фактор для взлома практически любого сервера, причем многое можно делать
сквозь приложение,
работающее с базой.

Не говоря о еще более простых способах - например, похитить пароль пользователя
с соответствующим
уровнем полномочий, работающего под самой популярной в мире ОС и самым
дырявым... то есть я хотел
сказать, распространенным браузером (а какой браузер не дырявый? например,
файрфокс - решето и в
обозримом будущем таковым и останется).

Опять же, какой смысл делать дорогую защиту сервера, если легитимный
пользователь может построить
отчет по супер-секретным данным и потерять его вместе с флэшкой? Еще вопрос,
что важнее -
набор сырых данных на сервере или один-единственный отчет у аналитика (к
примеру - реквизиты
банковских карт 20-ти крупнейших вкладчиков банка явно интереснее, чем
реквизиты всех эмитированных
банком карт).

Best regards, Alexey.

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

2008-12-18 Пенетрантность Eugene V. Lyubimkin

В Чтв, 18/12/2008 в 13:40 +0300, Mikhail A Antonov пишет:
 -[ Покотиленко Костик 17/12/2008 16:36 (GMT +3)
  Fail2ban scans log files like /var/log/pwdfail
  or /var/log/apache/error_log and bans IP
   ^^^
  that makes too many password failures. It updates firewall rules to
  reject the IP address.
 Тем не менее, ssh оно умеет смотреть.
 Здесь не сказано что этими логами оно ограничивается.
 $ aptitude show fail2ban
 Пакет: fail2ban
 ...
 Описание: bans IPs that cause multiple authentication errors
  Monitors log files (e.g. /var/log/auth.log, /var/log/apache/access.log) and 
 temporarily or persistently bans failure-prone addresses by
  updating existing firewall rules.
 ...

Это глюк переноса строк в моём письме, подчеркивал я scans log files,
и изначально вопрос стоял о ПО НЕ сканирующем логи.

-- 
Покотиленко Костик cas...@meteor.dp.ua


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

Aleksey Cheusov wrote:
 Вот не знаю, lenny уже собирают с SSP или нет?
Нет. По крайней мере, большинство пакетов.

-- 
Eugene V. Lyubimkin aka JackYF, JID: jackyf.devel(maildog)gmail.com
Ukrainian C++ Developer, Debian Maintainer, APT contributor



signature.asc
Description: OpenPGP digital signature

Re: sudo ws root

Alexey Pechnikov - debian-russian@lists.debian.org  @ Thu, 18 Dec 2008 
13:23:57 +0300:

   Так секьюрити апдейты должны быть как раз превентивной мерой.
 
  Race condititon получается.
 
  Что произойдет быстрее - багу обнаружат хорошие парни, исправят,
  выпустят апдейт, ты об этом узнаешь и установишь, или ее обнаружат
  плохие парни и проэксплойтят?
 
  Шансы на первое  велики, но не 100%

 AP 100% и не будет. В конце концов, вооруженная группа захвата
 AP наверняка сможет успешно атаковать датацентр и физически забрать
 AP сервер.

В дополнение к ответу Витуса, замечу еще, что нападение вооруженной
группы захвата на датацентр будет _замечено_.

-- 
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: r...@jabber.ran.pp.ru

Все учтено могучим ураганом...


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

Dmitry Marin - debian-russian@lists.debian.org @ Wed, 17 Dec 2008 23:06:47
+0300:

Так что в линии паранойи всё начинается с наличия пароля на ssh

С каких пор паранойя стало явлением, на котрое надо равняться? ;)

Довольно давно в некоторых отраслях IT паранойя - критерий
профпригодности.

А Эйрел Форкосиган, помнится, говаривал паранойя - залог здоровья.

DM Не знаком :) Я там не случайно поставил ехидный смайл. Давно знаком
DM с концепцией выживают только параноики, но чем чаще какие-то
DM странные решения оправдываются параноидальным так секурнее, тем
DM чаще рука тянется к ружью (да, у меня другое заболевание :-).

Паранойя тоже бывает профессиональная и клиническая. Так секурнее -
это, как правило, клиническая. Профессиональная начинается с раздела
Модель угроз.

--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: r...@jabber.ran.pp.ru

НИИ требуются:
1. Кто бы мог подумать.
Кнышев.

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

George Shuklin - debian-russian@lists.debian.org @ Wed, 17 Dec 2008 22:56:27
+0300:

GS Тезис же о том, что увеличение уровня безопасности уменьшает
GS надёжность системы совершенно правильный. Разумеется, машина без
GS файрвола, пускающая без паролей надёжнее, чем спрятанная за
GS отдельным файрволом железка, проверяющая сертификаты и банящая
GS чуть что.

Отнюдь. Если, конечно, под надежностью понимается вероятность того,
что она будет доступна и способна выполнять свои задачи в тот момент,
когда потребуется. Дырявая машина имеет очень приличную вероятность не
суметь выполнить свою задачу в нужный момент.

GS Нельзя сделать безопасно и удобно, можно только найти компромисс
GS между этими состояниями.

Максимум удобства, точно так же, в минимально длительной перспективе
находится не на нуле безопасности.

--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: r...@jabber.ran.pp.ru

mv /dev/rookie /dev/hands

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

2008-12-18 Пенетрантность Aleksey Cheusov

  Вот не знаю, lenny уже собирают с SSP или нет?
 Нет. По крайней мере, большинство пакетов.
Жаль. А надо бы.

-- 
Best regards, Aleksey Cheusov.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

George Shuklin - debian-russian@lists.debian.org @ Thu, 18 Dec 2008 00:49:09
+0300:

GS Есть ещё одна сложность - это сложность обслуживания. В
GS переводе на мелкософтовского-буржуйский - TCO. Сколько денег нам
GS потребуется на стаю спецов по каждой из железок. Причём, в месяц (а
GS ещё премии/отпуска/больничные/страховки). Но ведь эта сложность
GS это просто сумма денег.

Последнее утверждение неверно. За деньги невозможно купить, во-первых,
время, а во-вторых, внимание. Это две важные составляющие той самой
сложности. Без них вышепоскипанных дыр в системе из 4 узлов будет не
одна, а 16. При этом, чтобы заткнуть их, нужен человек, а чтобы
потыкаться перебором, достаточно робота.

GS Так что в схеме с двумя хостами под одной ОС я не вижу смысла - она
GS увеличивает парк железа без осмысленного увеличения безопасности.

Кто-то, кстати, делал файрвол виртуальной машиной на защищаемом хосте...

--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: r...@jabber.ran.pp.ru

Self-referencing
Five, seven, five syllables
This haiku contains

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

Покотиленко Костик - debian-russian@lists.debian.org @ Thu, 18 Dec 2008
12:12:59 +0200:

Вообще, если говорить про настоящую паранойю, то требуется
использовать файрвол (с VPN'ом) и систему внутри от разных
вендоров и разных платформ. Например, шлюз - железячный роутер,
или (о ужас) Microsoft Windows Server RRaS. Главное, чтобы
разные. И чем более разные (т.е. не два разных линуха), тем лучше.

ПК Настоящий параноик за ценой не постоит.

Настоящий как раз постоит. Иначе он хреновый параноик, и его очень
быстро поимеют.

--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: r...@jabber.ran.pp.ru

Рюкзак не пересобирают, рюкзак укладывают! (c)Руна

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

Denis B. Afonin - debian-russian@lists.debian.org @ Wed, 17 Dec 2008 22:24:25
+0300:

DBA PS До сих пор еще встречаю идиотов, у которых ssh открыт на
DBA весь мир :)
У меня нет уверенности, что openvpn, открытый на весь мир,
лучше...
DBA См. man openvpn на предмет tls-auth (плюс нестандартный
DBA UDP-порт и, конечно же, PKI - почти рай для параика:))

tls-auth - shared secret. Это плохо.
DBA Конечно.
DBA Именно поэтому после него идет аутентификация по PKI ;)

DBA А без правильного shared key ответный openvpn-сервер просто дропает
DBA входяшие пакеты (можно и без записи в лог).

Угу. А теперь подумай, что будет, если этот shared secret
скомпрометирован (украли одну из машин, которая его знала).

--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: r...@jabber.ran.pp.ru

Нажатие на кнопку Запомнить пароль не поможет ВАМ запомнить пароль.
-- http://bash.org.ru/quote.php?num=101483

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

On 2008.12.18 at 17:00:17 +0300, Artem Chuprina wrote:

 
  GS Так что в схеме с двумя хостами под одной ОС я не вижу смысла - она
  GS увеличивает парк железа без осмысленного увеличения безопасности.
 
 Кто-то, кстати, делал файрвол виртуальной машиной на защищаемом хосте...

Это что-то из области Департамента Имплантации в шумиловском Долге
перед видом. Так там Болан с ними что хотел и  делал.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

2008-12-18 Пенетрантность Alexander GQ Gerasiov

Victor Wagner - debian-russian@lists.debian.org  @ Thu, 18 Dec 2008 17:07:17 
+0300:

   GS Так что в схеме с двумя хостами под одной ОС я не вижу смысла - она
   GS увеличивает парк железа без осмысленного увеличения безопасности.
  
  Кто-то, кстати, делал файрвол виртуальной машиной на защищаемом хосте...

 VW Это что-то из области Департамента Имплантации в шумиловском Долге
 VW перед видом. Так там Болан с ними что хотел и  делал.

Там как раз подобную конструкцию Болан и делал...  Оригинал был нормальным.

-- 
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: r...@jabber.ran.pp.ru

... и углупился в свои мысли
Кнышев


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

Wed, 17 Dec 2008 16:27:18 +0300
Mikhail A Antonov b...@solarnet.ru wrote:

 -[ Покотиленко Костик 17/12/2008 16:05 (GMT +3)
  Кстати, народ, давно хотел спросить. Есть ПО анализирующее логи
  того же ssh и банящее ботов в iptables. Сам по себе анализ
  постоянный логов как процесс у меня вызывает отвращение, может есть
  в виде плагинов или ещё чего нечто, что по данным демонов (ssh,
  smtpd, etc) может делать подобное (вызывать команды iptables), без
  нудного анализа логов?
 fail2ban. Правда оно на питоне и периодически подвисает или кушает
 много памяти, но как-то не получается воспроизвести почему оно это
 делает.
В lenny оно стабильное. В etch - дурит.

-- 
Best regards,
 Alexander GQ Gerasiov

 Contacts:
 e-mail:g...@cs.msu.su Jabber:  g...@jabber.ru
 Homepage:  http://gq.net.ru ICQ: 7272757
 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D  79B8 0641 D82A E3E3 CE1D


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

2008-12-18 Пенетрантность George Shuklin

18.12.08, 16:48, Artem Chuprina r...@ran.pp.ru:

Довольно давно в некоторых отраслях IT паранойя - критерий
профпригодности.
А Эйрел Форкосиган, помнится, говаривал паранойя - залог здоровья.
DM Не знаком :) Я там не случайно поставил ехидный смайл. Давно знаком
DM с концепцией выживают только параноики, но чем чаще какие-то
DM странные решения оправдываются параноидальным так секурнее, тем
DM чаще рука тянется к ружью (да, у меня другое заболевание :-).
Паранойя тоже бывает профессиональная и клиническая. Так секурнее -
это, как правило, клиническая. Профессиональная начинается с раздела
Модель угроз.

О, а вот такая формулировка мне нравится. Хотя это не отменяет локального
затыкания на авось всего того, что не нужно для работы. Я пару раз у себя уже
столкнулся с дырами (в силу работы - преимущественно в виндах), когда
оказывалось, что заткнутая на авось фича (по принципу а что это оно тут
делает? Не нужно для работы - нафиг) оказывалась задней дверцей в потроха
системы (и узнавал я об этом позже, чем затыкал).

--
wBR,George.

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

Здравствуйте.

On Thu, 18 Dec 2008 17:05:22 +0300
Artem Chuprina r...@ran.pp.ru wrote:
DBA Именно поэтому после него идет аутентификация по PKI ;)

Угу. А теперь подумай, что будет, если этот shared secret
скомпрометирован (украли одну из машин, которая его знала).

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

Hello!

В сообщении от Thursday 18 December 2008 20:56:10 Denis B. Afonin написал(а):
Согласен. Shared key - фактически лишь защита от флуда и от
посторонних глаз, больше никак её рассматривать нельзя. И с этой
задачей он справляется вполне неплохо.

Э-э, не понял - вы рассматриваете абстрактную ситуацию, когда все сервера стоят
в одном датацентре?
Только в таком случае, напоминающем сферического коня в вакууме, не требуется
независимая защита
каждого сервера в отдельности.

И даже если так - чем не устраивает вариант с одним сервером с внешним ip, куда
вы входите из
интернет и идете дальше опять же через ssh? Как Витус подсказывает, ssh-agent
вельми полезен при
работе через промежуточный хост.

Best regards, Alexey.

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

Здравствуйте.

On Thu, 18 Dec 2008 22:08:08 +0300
Alexey Pechnikov pechni...@sandy.ru wrote:
Я лишь предлагаю использовать openvpn для доступа к некой
промежуточной сети, из-под которой уже можно входить на ssh
серверов. Контролировать одну маленькую внутреннюю сеточку намного
проще, чем весь интернет..
Э-э, не понял - вы рассматриваете абстрактную ситуацию, когда все
сервера стоят в одном датацентре? Только в таком случае, напоминающем
сферического коня в вакууме, не требуется независимая защита
каждого сервера в отдельности.
Примерно так: у каждого датацентра есть по своей внутренней
управляющей сетке, только внутри которой разрешены ssh (и иные вещи
типа telnet-ов на коммутаторы и Security is Not My Problem (SNMP),
например). А в эту сетку уже пускает openvpn с (назовем её так)
машины-файрвола.

И даже если так - чем не устраивает вариант с одним сервером с
внешним ip, куда вы входите из интернет и идете дальше опять же через
ssh? Как Витус подсказывает, ssh-agent вельми полезен при работе
через промежуточный хост.
Да.

Но я думаю немного вперед - допустим, мой ssh-ключ сопрут.. За то
время, пока я это замечу и успею подчистить authorized_keys на серверах,
может оказаться, что мне нечего будет уже подчищать. Моя же схема может
и тупа, но основная её цель - задержать и запутать атакующего и выиграть
время. Еще один плюс - при таком количестве уровней практически
невозможно осуществить атаку незаметно, так как каждый уровень
логируется по удаленному syslog-у на (так скажем:)) сверх-защищенную
машину вообще без ssh.

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

Hello!

И даже если так - чем не устраивает вариант с одним сервером с
внешним ip, куда вы входите из интернет и идете дальше опять же через
ssh? Как Витус подсказывает, ssh-agent вельми полезен при работе
через промежуточный хост.

Да.

Если сопрут, то к стыренному ключу еще надо пассфразу подобрать. Почему-то вы
этот момент не
учитываете.

Моя же схема может
и тупа, но основная её цель - задержать и запутать атакующего и выиграть
время. Еще один плюс - при таком количестве уровней практически
невозможно осуществить атаку незаметно, так как каждый уровень
логируется по удаленному syslog-у на (так скажем:)) сверх-защищенную
машину вообще без ssh.

Имхо ваша схема кроме запутанности для вас же не имеет других достоинств.

Best regards, Alexey.

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

Denis B. Afonin - debian-russian@lists.debian.org  @ Thu, 18 Dec 2008 20:56:10 
+0300:

 DBA Я лишь предлагаю использовать openvpn для доступа к некой
 DBA промежуточной сети, из-под которой уже можно входить на ssh
 DBA серверов. Контролировать одну маленькую внутреннюю сеточку намного
 DBA проще, чем весь интернет..

Надо только помнить, что маленькой сеточкой, а не всем интернетом в
силу своей виртуальности она является лишь с некоторой вероятностью,
отнюдь не равной 1...

-- 
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: r...@jabber.ran.pp.ru

Нет применения человеческому разуму! (c)JB


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

Hello!

Ну так это PasswordAuthentication no
в /etc/sshd/sshd_config.
И пусть уподбираются. Естественно, на каждом носимом с собой устройстве
(ноутбуке, наладоннике, телефоне) должен быть индивидуальный секретный
ключ, который в случае утраты данного устройства можно оперативно из
всех authorized_keys поотрывать.

Как это сделать? Вы помните наизусть записи для всех устройств и можете их
найти в known_hosts?

В такой конфигурации у меня, любимого есть возможность попасть на машину
из любой кафешки с wi-fi и через GPRS любого сотового оператора.
А супостату для этого потребуется
1. Стырить мой ноутбук/телефон/наладонник
2. Успеть подобрать пассфразу к моему ключу до того, как я это замечу и
оторву соответствующие ключи воспользовавшись доступом с другого
носимого устройства.

А как вы зайдете с _чужого_ компьютера или устройства? По паролю вход запрещен,
а свой ключ
копировать на ненадежную машину и вводить на ней же пассфразу неразумно. Опять
же, если устройство
потеряется или флэшка с ключом сдохнет, на сервер попасть не удастся _никогда_.

Best regards, Alexey.

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

Здравствуйте.

On Thu, 18 Dec 2008 23:37:29 +0300
Alexey Pechnikov pechni...@sandy.ru wrote:
Если у вас на одной машине и openvpn и openssh то вы тратите время на
иллюзию защиты. Установив на одном сервере больше софта, вы теряете в
управляемости и получаете больше уязвимостей.
С теорией я знаком, а также знаком со статистикой, к чему слепое
следование теории приводит.. Но тут это оффтопик.

Кстати, эта машина у меня изначально считается скомпрометированной.

Если сопрут, то к стыренному ключу еще надо пассфразу подобрать.
Почему-то вы этот момент не учитываете.
Я предполагаю худший вариант, когда завладели моей рабочей машиной,
притом включённой, и достали ключ из запущенного ssh-agent-а...

В конечном счёте почему-то получается, что слабейшее место в любой
компьютерной системе - это человек со своим пресловутым фактором.

Имхо ваша схема кроме запутанности для вас же не имеет других
достоинств.
У неё единственное достоинство - это неочевидность (конечно, в
совокупности с некоторыми другими хитростями).
В своей системе я все равно никогда не запутаюсь, ну а теоретики пусть
себе головы ломают, в конце концов, это, может быть, их главное
предназначение в жизни :)

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

Здравствуйте.

On Thu, 18 Dec 2008 23:33:41 +0300
Artem Chuprina r...@ran.pp.ru wrote:

  DBA Я лишь предлагаю использовать openvpn для доступа к некой
  DBA промежуточной сети, из-под которой уже можно входить на ssh
  DBA серверов. Контролировать одну маленькую внутреннюю сеточку
  DBA намного проще, чем весь интернет..
 Надо только помнить, что маленькой сеточкой, а не всем интернетом в
 силу своей виртуальности она является лишь с некоторой вероятностью,
 отнюдь не равной 1...
Само собой. Надо помнить, что любая защита, какая изощренная она ни
была, есть лишь в лучшем случае стена в чистом поле, а то и и просто
калитка...


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

On 2008.12.18 at 23:43:09 +0300, Alexey Pechnikov wrote:

Hello!

Как это сделать? Вы помните наизусть записи для всех устройств и можете их
найти в known_hosts?

Не путаем known_hosts и authorized_keys.

В последнем, кстати, в конце строчки ключа обычно присутствует hostname
машины, на котором он генерировался. А уж hostname своих устройств я
помню.

А как вы зайдете с _чужого_ компьютера или устройства?
о паролю вход запрещен, а свой ключ

А зачем? У меня своих устройств откуда я могу зайти в норме с собой три.

копировать на ненадежную машину и вводить на ней же пассфразу
неразумно. Опять же, если устройство

Вводить пароль с ненадежной машины неменее неразумно.
Если там keylogger стоит, поимеют с тем же самым успехом.
Если keylogger-а там нету а ключ за собой сотрешь, не поимеют точно так
же.

потеряется или флэшка с ключом сдохнет, на сервер попасть не удастся
_никогда_.

Почему никогда? Генерируешь новый ключ, шлешь его по email-у, jabber-у
или ножками приносишь к другому человеку, который имеет доступ на этот
сервер и sudo/su там, и просишь положить к тебе в authorized_keys.

Или просто доходишь до ближайшей стационарной машины, где у тебя тоже
есть ключ, дающий право доступа на этот сервер, и копируешь ключ через
неё.

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

Alexey Pechnikov - debian-russian@lists.debian.org @ Thu, 18 Dec 2008
23:43:09 +0300:

AP Как это сделать? Вы помните наизусть записи для всех устройств и
AP можете их найти в known_hosts?

Там вообще-то пишут идентификатор ключа, а что?

AP А как вы зайдете с _чужого_ компьютера или устройства? По паролю
AP вход запрещен, а свой ключ копировать на ненадежную машину и
AP вводить на ней же пассфразу неразумно. Опять же, если устройство
AP потеряется или флэшка с ключом сдохнет, на сервер попасть не
AP удастся _никогда_.

Пароль для парольного доступа на такой машине вводить не рекомендуется
ровно с той же, гм, вероятностью. По той же самой причине. Только если
OTP. Но если на ключах OTP сэмулировать на такой случай - задача почти
тривиальная, то научить sshd (и главное, случайного ssh-клиента)
честному OTP, боюсь, не получится.

--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: r...@jabber.ran.pp.ru

Как в notepad тексты редактировать? Руками каждую букву набирать, что ли?
(c)vitus

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

Hello!

И в самом деле перепутал.

А как вы зайдете с _чужого_ компьютера или устройства?
о паролю вход запрещен, а свой ключ

А зачем? У меня своих устройств откуда я могу зайти в норме с собой три.

Наверное, ноут + смартфон, а что еще? Притом линуксовых смартфонов в россии
вроде нет, а если
линуксовый кпк, то к нему еще сотовый нужен, и в любом случае чтоб gprs
ловился... Хотя что-то я
слышал, что в пределах МКАД уже и вайфай везде есть, тогда проще.

Восстановить файл с диска тривиально и это можно сделать уже после, а вот
кейлоггер нужно поставить
заранее.

Это уже не из области технических решений - наличие человека, который может
исправить наши ошибки.
Но видимо иначе не получится :-(

Стационарная машина - это сервер, иначе зачем ей быть стационарной. А для
работы ноутбук.

Вопрос - достаточно ли надежно использование пассфразы, чтобы хранить ключ в
каком-то несекьюрном
месте? Скажем, в гуглмейл и т.п.

Best regards, Alexey.

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

On 2008.12.19 at 02:26:32 +0300, Alexey Pechnikov wrote:

А как вы зайдете с _чужого_ компьютера или устройства?
о паролю вход запрещен, а свой ключ

А зачем? У меня своих устройств откуда я могу зайти в норме с собой три.

Наверное, ноут + смартфон, а что еще? Притом линуксовых смартфонов в россии
вроде нет, а если

Неверно. Во-первых, у меня не смартфон, а максимально простой телефон на
S40. Но там есть midpssh, и если очень нужно, то можно.
Так что linux на клиенском устройстве - совершенно необязателен для
того, чтобы там был ssh.

А то, чем люди на смартфонах занимаются, у меня делает Nokia N800. Вот
она - третье устройство.

Восстановить файл с диска тривиально и это можно сделать уже после, а вот
кейлоггер нужно поставить

Стационарная машина - это сервер, иначе зачем ей быть стационарной. А для
работы ноутбук.

Это ей совершенно не мешает иметь консоль, с которой можно залогиниться
локально. И даже иметь там вполне рабочую среду.

Вопрос - достаточно ли надежно использование пассфразы, чтобы хранить ключ в
каком-то несекьюрном
месте? Скажем, в гуглмейл и т.п.

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

2008-12-17 Пенетрантность Artem Chuprina

Denis B. Afonin - debian-russian@lists.debian.org  @ Wed, 17 Dec 2008 12:56:11 
+0300:

 DBA PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир :)

У меня нет уверенности, что openvpn, открытый на весь мир, лучше...

-- 
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: r...@jabber.ran.pp.ru

Unix-like -- для кинестетиков, Emacs -- для аудиалов, Mac -- для визуалов, 
Windows -- для чайников
 -- RockMover in rm279891167063140rmo...@golovolomka.net


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

2008-12-17 Пенетрантность Artem Chuprina

Denis B. Afonin - debian-russian@lists.debian.org  @ Wed, 17 Dec 2008 17:45:26 
+0300:

   DBA PS До сих пор еще встречаю идиотов, у которых ssh открыт на
   DBA весь мир :)
  У меня нет уверенности, что openvpn, открытый на весь мир, лучше...
 DBA См. man openvpn на предмет tls-auth (плюс нестандартный UDP-порт и,
 DBA конечно же, PKI - почти рай для параика:))

tls-auth - shared secret.  Это плохо.

-- 
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: r...@jabber.ran.pp.ru

Greenspun's Tenth Rule of Programming: any sufficiently complicated C
or Fortran program contains an ad hoc informally-specified bug-ridden
slow implementation of half of Common Lisp.
 -- Phil Greenspun
Including Common Lisp.
 -- Robert Morris


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

2008-12-17 Пенетрантность Mikhail Gusarov

Twas brillig at 19:34:02 17.12.2008 UTC+03 when vi...@wagner.pp.ru did gyre and 
gimble:

 VW Увы, если уж мы про remote root exploit, или хотя бы remote shell,
 VW то его достаточно одного. Во внешнем слое защиты.

Ну почему же? Сервер OpenVPN сделать изолированным от всего остального
гейтом внутрь.

--

Re: sudo ws root

2008-12-17 Пенетрантность Игорь Чумак


17.12.08, 19:35, Mikhail Gusarov dotted...@dottedmag.net:

  VW Увы, если уж мы про remote root exploit, или хотя бы remote shell,
  VW то его достаточно одного. Во внешнем слое защиты.
 Ну почему же? Сервер OpenVPN сделать изолированным от всего остального
 гейтом внутрь.
 -- 

Вообще, если говорить про настоящую паранойю, то требуется использовать файрвол 
(с VPN'ом) и систему внутри от разных вендоров и разных платформ. Например, 
шлюз - железячный роутер, или (о ужас) Microsoft Windows Server RRaS. Главное, 
чтобы разные. И чем более разные (т.е. не два разных линуха), тем лучше.

-- 
wBR,George.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root


Denis B. Afonin пишет:

On Fri, 12 Dec 2008 13:45:22 +0300
Artem Chuprina r...@ran.pp.ru wrote:
  

У openvpn, начнем с, есть принципиальные грабли в безопасности по
сравнению с ssh.  Обходить их можно, но очень геморройно получается.
Они становятся заметны, когда разным VPN-клиентам нужно давать разный
доступ.

Хотя на своих задачах оно, конечно, удобно, в качестве замены ssh на
задаче доступа для обеспечения бэкапа оно не годится.


Ну почему же совсем не годится... Само по себе - соглашусь, а вот в
совокупности с ssh как дополнительная прослойка, пускающая в некую
промежуточную псевдопривилигированную сеть, откуда уж пускают на ssh -
вполне себе ничего ;)
Хотяб в плане логируемости...

PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир :)

  

И чем это им (идиотам) грозит?


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

17.12.08, 19:54, Dmitry Marin cor...@corvax.ru:

VW Увы, если уж мы про remote root exploit, или хотя бы remote shell,
VW то его достаточно одного. Во внешнем слое защиты.
Ну почему же? Сервер OpenVPN сделать изолированным от всего остального
гейтом внутрь.
Вообще, если говорить про настоящую паранойю, то требуется использовать
файрвол (с VPN'ом) и систему внутри от разных вендоров и разных платформ.
Например, шлюз - железячный роутер, или (о ужас) Microsoft Windows Server
RRaS. Главное, чтобы разные. И чем более разные (т.е. не два разных
линуха), тем лучше.

Очень спорно. На портяжении всего прощедшего года неоднократно читал
убедительные доказательства, что мультивендорность приносит больше
проблем, нежели пользы. Ключевой момент -- поддержка различных
устрйоств\программ отнимает больше средств, времени и требует куда
больших специальных знаний. Последнее конечно совесм не плохо само по
себе, но часто это выливается в необходимость иметь в штате еще одного
специалиста со всеми вытекабими.

Ну, TCO у мультивендорной системы выше, да. Заметим, у системы из шлюз
раздельно машина раздельно и TCO и начальная стоимость тоже выше, чем у просто
машины, торчащей наружу 22ым портом.

Так что в линии паранойи всё начинается с наличия пароля на ssh (разумный
минимальный уровень безопасности) и заканчивается мультивендорной системой из
двух файрволов с NAT'ом локальной сети относительно DMZ.

Моё имхо, что здравое место в этой линейке - в просто хорошем пароле на ssh.
Хотя, конечно, если конфигурация предусматривает файрвол (да ещё с возможностью
VPN) - почему бы и нет?

--
wBR,George.

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root



17.12.08, 13:38, Игорь Чумак i.chu...@generali.garant.ua:

  Ну почему же совсем не годится... Само по себе - соглашусь, а вот в
  совокупности с ssh как дополнительная прослойка, пускающая в некую
  промежуточную псевдопривилигированную сеть, откуда уж пускают на ssh -
  вполне себе ничего ;)
  Хотяб в плане логируемости...
 
  PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир :)
 И чем это им (идиотам) грозит?
Если у них (идиотов) надёжный пароль (не брутящийся по словарю) - то засраными 
логами и некоторым трафиком (меньшим, чем от долбящихся на 25 порт спамеров). 
Хотя да, существует особый вид ключей RSA для (вымерших) видов, его в виде 
апдейта всем выдают.

Если же у них (не идиотов) пароль, который ломают даже китайские роботы, то 
этот не идиот совсем не идиот, а вид, требующий охраны и занесения в Красную 
Книгу.

Алсо, я не понимаю, в чём разница между долбящимися на ssh ботами и долбящимися 
по pptp на VPN-шлюз роботами. 

-- 
wBR,George.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

2008-12-17 Пенетрантность Игорь Чумак

On Wed, 17 Dec 2008 15:27:54 +0300
Artem Chuprina r...@ran.pp.ru wrote:

  DBA PS До сих пор еще встречаю идиотов, у которых ssh открыт на
  DBA весь мир :)
 У меня нет уверенности, что openvpn, открытый на весь мир, лучше...
См. man openvpn на предмет tls-auth (плюс нестандартный UDP-порт и,
конечно же, PKI - почти рай для параика:))


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root


Denis B. Afonin пишет:

Здравствуйте.

On Wed, 17 Dec 2008 12:38:19 +0200
Игорь Чумак i.chu...@generali.garant.ua wrote:
  

PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь
мир :)
  

И чем это им (идиотам) грозит?


Минимум - постоянные посторонние записи в логах от ботов, пытающихся
подобрать пароль на логины а-ля vanya (пусть даже и с sshguard, все
равно анализировать такие логи на попытки несанкционированного доступа
врядли будет делом приятным).

  
Анализировать логи - само по себе занятие неприятное, для того 
анализаторы логов и придуманы. То есть как минимум == лишний напряг для 
анализатора логов.



Ну а воспалённый мозг параноика может многое придумать ;)
  

Это точно ;)

Есть мнение, что системы безопасности должны строиться так, чтобы
выложенный на свободный доступ расшифрованный /etc/shadow ничем
никому помочь не мог..
  

Где такому учат??

А вообще, конечно, искренне прошу прощения за идиотов - каждый сам
кузнец своего счастья.

С уважением,
Денис Афонин
ООО Ивантеевские телекоммуникации


  



--
Игорь Чумак, системный администратор Generali-Garant
tel (044) 206-88-20
icq 24049904
jabber: i.chu...@jabber.garant.ua
e-mail: i.chu...@generali.garant.ua 




--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

On 2008.12.17 at 18:13:50 +0600, Mikhail Gusarov wrote:

 
 Twas brillig at 14:56:43 17.12.2008 UTC+03 when chi...@chindi.su did gyre and 
 gimble:
 
  DBA Минимум - постоянные посторонние записи в логах от ботов,
  DBA пытающихся подобрать пароль на логины а-ля vanya (пусть даже и с
  DBA sshguard, все равно анализировать такие логи на попытки
  DBA несанкционированного доступа врядли будет делом приятным).
 
 Минимум неинтересен. Каков максимум?

Максимум  - рут эксплойт в sshd и машина поиметая до того, как ты успел
поставить апдейт.



-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

В Срд, 17/12/2008 в 21:40 +0300, George Shuklin пишет:
 Так что в линии паранойи всё начинается с наличия пароля на ssh 

С каких пор паранойя стало явлением, на котрое надо равняться? ;)

 Моё имхо, что здравое место в этой линейке - в просто хорошем пароле
 на ssh. Хотя, конечно, если конфигурация предусматривает файрвол (да
 ещё с возможностью VPN) - почему бы и нет?

Из-за увеличения сложности повышается вероятность как отказа так и
ошибки в конфигурации.
По совпадению, интересная дискуссия на аналогичную тему сейчас
развернулась на http://dom.bankir.ru/showthread.php?t=86941 . Там
упоминается про оценку рисков, а паранойя -- это нехорошее заболевание и
по-моему нелепое оправдание :)

-- 
С уважением, Дмитрий Марин.
cor...@corvax.ru


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

Здравствуйте.

On Wed, 17 Dec 2008 19:10:24 +0300
Artem Chuprina r...@ran.pp.ru wrote:

DBA PS До сих пор еще встречаю идиотов, у которых ssh открыт на
DBA весь мир :)
   У меня нет уверенности, что openvpn, открытый на весь мир,
   лучше...
  DBA См. man openvpn на предмет tls-auth (плюс нестандартный
  DBA UDP-порт и, конечно же, PKI - почти рай для параика:))
 
 tls-auth - shared secret.  Это плохо.
Конечно.
Именно поэтому после него идет аутентификация по PKI ;)

А без правильного shared key ответный openvpn-сервер просто дропает
входяшие пакеты (можно и без записи в лог).


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

On Fri, 12 Dec 2008 13:45:22 +0300
Artem Chuprina r...@ran.pp.ru wrote:
 У openvpn, начнем с, есть принципиальные грабли в безопасности по
 сравнению с ssh.  Обходить их можно, но очень геморройно получается.
 Они становятся заметны, когда разным VPN-клиентам нужно давать разный
 доступ.
 
 Хотя на своих задачах оно, конечно, удобно, в качестве замены ssh на
 задаче доступа для обеспечения бэкапа оно не годится.
Ну почему же совсем не годится... Само по себе - соглашусь, а вот в
совокупности с ssh как дополнительная прослойка, пускающая в некую
промежуточную псевдопривилигированную сеть, откуда уж пускают на ssh -
вполне себе ничего ;)
Хотяб в плане логируемости...

PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир :)


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

On 2008.12.17 at 22:38:20 +0300, Dmitry Marin wrote:

 В Срд, 17/12/2008 в 21:40 +0300, George Shuklin пишет:
  Так что в линии паранойи всё начинается с наличия пароля на ssh 
 
 С каких пор паранойя стало явлением, на котрое надо равняться? ;)

Довольно давно в некоторых отраслях IT паранойя - критерий
профпригодности.

А Эйрел Форкосиган, помнится, говаривал паранойя - залог здоровья.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

On 2008.12.17 at 14:56:43 +0300, Denis B. Afonin wrote:

Здравствуйте.

On Wed, 17 Dec 2008 12:38:19 +0200
Игорь Чумак i.chu...@generali.garant.ua wrote:
PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь
мир :)
И чем это им (идиотам) грозит?
Минимум - постоянные посторонние записи в логах от ботов, пытающихся
подобрать пароль на логины а-ля vanya (пусть даже и с sshguard, все
равно анализировать такие логи на попытки несанкционированного доступа
врядли будет делом приятным).

Ну а воспалённый мозг параноика может многое придумать ;)
Есть мнение, что системы безопасности должны строиться так, чтобы
выложенный на свободный доступ расшифрованный /etc/shadow ничем
никому помочь не мог..

Лучше б, конечно PKI туда прикрутить, чтобы отзывать ключ
централизовано. Но имеющиеся патчи для прикрутки PKI к ssh мне что-то не
очень понравились. Особенно в условиях, когда на некоторую машину имеют
доступ разные люди, каждый из которых хочет менеджить свои ключи сам
(потому что ходит по этим ключам на N машин под разной административной
ответственностью).

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

17.12.08, 22:38, Dmitry Marin cor...@corvax.ru:

Так что в линии паранойи всё начинается с наличия пароля на ssh
С каких пор паранойя стало явлением, на котрое надо равняться? ;)
Моё имхо, что здравое место в этой линейке - в просто хорошем пароле
на ssh. Хотя, конечно, если конфигурация предусматривает файрвол (да
ещё с возможностью VPN) - почему бы и нет?
Из-за увеличения сложности повышается вероятность как отказа так и
ошибки в конфигурации.
По совпадению, интересная дискуссия на аналогичную тему сейчас
развернулась на http://dom.bankir.ru/showthread.php?t=86941 . Там
упоминается про оценку рисков, а паранойя -- это нехорошее заболевание и
по-моему нелепое оправдание :)

Паранойя - это проф. ориентир для администраторов безопасности. Если что-то
(кто-то) в теории может сделать что-то плохое, то значит надо исходить из того,
что он это сделает и принимать меры в упреждающем порядке. За пределами сетей,
это выглядит как вороватый взгляд вокруг, железные решётки в три слоя,
бронежилет и свинцовые трусы. А компьютеры (и сети) всё терпят.

Моё мнение, что компромисс для домашней (околодомашней) машины находится на
уровне хороший пароль. Кто-то может считать, что компромисс находится за
двухуровневым мультивендорным файрволом.

--
wBR,George.

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

2008-12-17 Пенетрантность Покотиленко Костик

В Срд, 17/12/2008 в 22:47 +0300, Victor Wagner пишет:
 On 2008.12.17 at 22:38:20 +0300, Dmitry Marin wrote:
 
  В Срд, 17/12/2008 в 21:40 +0300, George Shuklin пишет:
   Так что в линии паранойи всё начинается с наличия пароля на ssh 
  
  С каких пор паранойя стало явлением, на котрое надо равняться? ;)
 
 Довольно давно в некоторых отраслях IT паранойя - критерий
 профпригодности.
 
 А Эйрел Форкосиган, помнится, говаривал паранойя - залог здоровья.

Не знаком :) Я там не случайно поставил ехидный смайл. Давно знаком с
концепцией выживают только параноики, но чем чаще какие-то странные
решения оправдываются параноидальным так секурнее, тем чаще рука
тянется к ружью (да, у меня другое заболевание :-).


-- 
С уважением, Дмитрий Марин.
cor...@corvax.ru


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

В Срд, 17/12/2008 в 15:22 +0300, George Shuklin пишет:
 
 17.12.08, 13:38, Игорь Чумак i.chu...@generali.garant.ua:
 
   Ну почему же совсем не годится... Само по себе - соглашусь, а вот в
   совокупности с ssh как дополнительная прослойка, пускающая в некую
   промежуточную псевдопривилигированную сеть, откуда уж пускают на ssh -
   вполне себе ничего ;)
   Хотяб в плане логируемости...
  
   PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир :)
  И чем это им (идиотам) грозит?
 Если у них (идиотов) надёжный пароль (не брутящийся по словарю) - то 
 засраными логами и некоторым трафиком (меньшим, чем от долбящихся на 25 порт 
 спамеров). Хотя да, существует особый вид ключей RSA для (вымерших) видов, 
 его в виде апдейта всем выдают.
 
 Если же у них (не идиотов) пароль, который ломают даже китайские роботы, то 
 этот не идиот совсем не идиот, а вид, требующий охраны и занесения в Красную 
 Книгу.
 
 Алсо, я не понимаю, в чём разница между долбящимися на ssh ботами и 
 долбящимися по pptp на VPN-шлюз роботами. 

Кстати, народ, давно хотел спросить. Есть ПО анализирующее логи того же
ssh и банящее ботов в iptables. Сам по себе анализ постоянный логов как
процесс у меня вызывает отвращение, может есть в виде плагинов или ещё
чего нечто, что по данным демонов (ssh, smtpd, etc) может делать
подобное (вызывать команды iptables), без нудного анализа логов?

-- 
Покотиленко Костик cas...@meteor.dp.ua


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

2008-12-17 Пенетрантность Mikhail Gusarov


Twas brillig at 17:01:19 17.12.2008 UTC+03 when vi...@wagner.pp.ru did gyre and 
gimble:

  Минимум неинтересен. Каков максимум?

 VW Максимум - рут эксплойт в sshd и машина поиметая до того, как ты
 VW успел поставить апдейт.

Да, пожалуй, имеет смысл. Два эксплоита в одно время на два разных слоя
защиты случиться могут с гораздо меньшей вероятностью.

--

Re: sudo ws root

2008-12-17 Пенетрантность Andrey Tataranovich

12:56 Wed 17 Dec , Denis B. Afonin wrote:
 
 PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир :)

И чем это плохо? Если у админа голова на плечах + что-то типа ssh+fail2ban 
вполне себе решение.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

2008-12-17 Пенетрантность Mikhail A Antonov

-[ Покотиленко Костик 17/12/2008 16:05 (GMT +3)
 Кстати, народ, давно хотел спросить. Есть ПО анализирующее логи того же
 ssh и банящее ботов в iptables. Сам по себе анализ постоянный логов как
 процесс у меня вызывает отвращение, может есть в виде плагинов или ещё
 чего нечто, что по данным демонов (ssh, smtpd, etc) может делать
 подобное (вызывать команды iptables), без нудного анализа логов?
fail2ban. Правда оно на питоне и периодически подвисает или кушает много 
памяти, 
но как-то не получается воспроизвести почему оно это делает.


-- 
Best regards,
 Mikhail


signature.asc
Description: This is a digitally signed message part.

Re: sudo ws root

2008-12-17 Пенетрантность Покотиленко Костик

On 2008.12.17 at 20:07:21 +0600, Mikhail Gusarov wrote:

 
 Twas brillig at 17:01:19 17.12.2008 UTC+03 when vi...@wagner.pp.ru did gyre 
 and gimble:
 
   Минимум неинтересен. Каков максимум?
 
  VW Максимум - рут эксплойт в sshd и машина поиметая до того, как ты
  VW успел поставить апдейт.
 
 Да, пожалуй, имеет смысл. Два эксплоита в одно время на два разных слоя
 защиты случиться могут с гораздо меньшей вероятностью.
 
Увы, если уж мы про remote root exploit, или хотя бы remote shell, то
его достаточно одного. Во внешнем слое защиты. В этом плане openssh
будет понадежнее openvpn.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

В Срд, 17/12/2008 в 18:13 +0600, Mikhail Gusarov пишет:
 Twas brillig at 14:56:43 17.12.2008 UTC+03 when chi...@chindi.su did gyre and 
 gimble:
 
  DBA Минимум - постоянные посторонние записи в логах от ботов,
  DBA пытающихся подобрать пароль на логины а-ля vanya (пусть даже и с
  DBA sshguard, все равно анализировать такие логи на попытки
  DBA несанкционированного доступа врядли будет делом приятным).
 
 Минимум неинтересен. Каков максимум?
 
  DBA Ну а воспалённый мозг параноика может многое придумать ;) Есть
  DBA мнение, что системы безопасности должны строиться так, чтобы
  DBA выложенный на свободный доступ расшифрованный /etc/shadow ничем
  DBA никому помочь не мог..
 
 Чьё мнение?

А главное - какое решение?

-- 
Покотиленко Костик cas...@meteor.dp.ua


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

2008-12-17 Пенетрантность Alexey Pechnikov

Hello!

В сообщении от Wednesday 17 December 2008 12:56:11 Denis B. Afonin написал(а):
PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир

За пределами локалки тоже есть сервера и с ними надо работать. Про датацентры,
к примеру, в сша, вы
хотя бы слышали? Если же вы на сервере запускаете кроме ssh еще и vpn-сервер,
то уровень
безопасности падает, а отнюдь не повышается.

В силу очень высокой распространенности и относительной простоты openssh ошибки
в нем исправляют
раньше, чем они могут быть использованы для взлома. Более сложные и менее
распространенные решения
намного менее надежны - вы же радуетесь множеству возможностей open или какого
там еще vpn-сервера,
не задумываясь, что больший объем кода содержит большее число ошибок. А
использование нескольких
решений одновременно еще хуже - нет никаких гарантий, что взаимодействие
программ не приведет к
непредсказуемым эффектам, такую ситуацию никто не тестировал и вы это делаете
на свой риск. В
качестве аналогии - комбинация кованого замка и рва с водой при высокой
температуре может привести
к тому, что замок просто сгниет.

Best regards, Alexey.

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

Здравствуйте.

On Wed, 17 Dec 2008 12:38:19 +0200
Игорь Чумак i.chu...@generali.garant.ua wrote:
  PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь
  мир :)
 И чем это им (идиотам) грозит?
Минимум - постоянные посторонние записи в логах от ботов, пытающихся
подобрать пароль на логины а-ля vanya (пусть даже и с sshguard, все
равно анализировать такие логи на попытки несанкционированного доступа
врядли будет делом приятным).

Ну а воспалённый мозг параноика может многое придумать ;)
Есть мнение, что системы безопасности должны строиться так, чтобы
выложенный на свободный доступ расшифрованный /etc/shadow ничем
никому помочь не мог..

А вообще, конечно, искренне прошу прощения за идиотов - каждый сам
кузнец своего счастья.

С уважением,
Денис Афонин
ООО Ивантеевские телекоммуникации


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

George Shuklin wrote:

17.12.08, 19:35, Mikhail Gusarov dotted...@dottedmag.net:

Вообще, если говорить про настоящую паранойю, то требуется использовать файрвол
(с VPN'ом) и систему внутри от разных вендоров и разных платформ. Например,
шлюз - железячный роутер, или (о ужас) Microsoft Windows Server RRaS. Главное,
чтобы разные. И чем более разные (т.е. не два разных линуха), тем лучше.

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

2008-12-17 Пенетрантность Alexey Pechnikov

В Срд, 17/12/2008 в 22:56 +0300, George Shuklin пишет:

Из-за увеличения сложности повышается вероятность как отказа так и

Паранойя - это проф. ориентир для администраторов безопасности. Если что-то
(кто-то) в теории может сделать что-то плохое, то значит надо исходить из
того, что он это сделает и принимать меры в упреждающем порядке. За пределами
сетей, это выглядит как вороватый взгляд вокруг, железные решётки в три слоя,
бронежилет и свинцовые трусы. А компьютеры (и сети) всё терпят.

Допустим. Только не забывайте, что нож еще используется на кухне! :-) А
если компьютеры у вас все терпят, то и работайте на компьютере,
отключенном от ВСЕХ сетей. Шутка.

Если это ехидство, то вы передергиваете. Я писал про увеличение
_сложности_. А оно для меня не является таким уж очевидным критерием
безопасности.

--
С уважением, Дмитрий Марин.
cor...@corvax.ru

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

Hello!

В сообщении от Wednesday 17 December 2008 22:47:58 Victor Wagner написал(а):
   Так что в линии паранойи всё начинается с наличия пароля на ssh
 
  С каких пор паранойя стало явлением, на котрое надо равняться? ;)

 Довольно давно в некоторых отраслях IT паранойя - критерий
 профпригодности.

Вы можете назвать случаи, чтобы взламывали именно openssh-server и не методом 
подбора/кражи пароля? 
Я вот не знаю о таких. Так что это скорее шизофрения, и лечиться надо, а не 
гордиться.

P.S. Сертификат против пароля - это стратегия что имею против что знаю. И 
само по себе 
использование сертификата надежности не прибавляет и не убавляет.

Best regards, Alexey.


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

On 2008.12.17 at 15:27:54 +0300, Artem Chuprina wrote:

 Denis B. Afonin - debian-russian@lists.debian.org  @ Wed, 17 Dec 2008 
 12:56:11 +0300:
 
  DBA PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир :)
 
 У меня нет уверенности, что openvpn, открытый на весь мир, лучше...

Если админ оного vpn знает, зачем придумали CRL, то может и лучше...



-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

2008-12-17 Пенетрантность Mikhail Gusarov


Twas brillig at 14:56:43 17.12.2008 UTC+03 when chi...@chindi.su did gyre and 
gimble:

 DBA Минимум - постоянные посторонние записи в логах от ботов,
 DBA пытающихся подобрать пароль на логины а-ля vanya (пусть даже и с
 DBA sshguard, все равно анализировать такие логи на попытки
 DBA несанкционированного доступа врядли будет делом приятным).

Минимум неинтересен. Каков максимум?

 DBA Ну а воспалённый мозг параноика может многое придумать ;) Есть
 DBA мнение, что системы безопасности должны строиться так, чтобы
 DBA выложенный на свободный доступ расшифрованный /etc/shadow ничем
 DBA никому помочь не мог..

Чьё мнение?

--

Re: sudo ws root

2008-12-17 Пенетрантность Покотиленко Костик

On 2008.12.17 at 23:48:28 +0300, Alexey Pechnikov wrote:
Вы можете назвать случаи, чтобы взламывали именно openssh-server и не методом
подбора/кражи пароля?

Помнится, какие-то секьюрити апдейты у openssh были. Не считая
последнего, связанного с отрыванием случайности от openssl.

Я вот не знаю о таких. Так что это скорее шизофрения, и лечиться надо, а
не гордиться.

Я б не стал так категорично утверждать, что их там быть НЕ МОЖЕТ.
Особенно в сочетании со всем используемым openssh кодом - openssl, libc,
tcpwrappers etc.

К сожалению, чтобы ДОКАЗАТЬ отсутствие эксплойтов у софта такой сложности
(особенно собранного со всякими -fomit-frame-pointer) дороговато выйдет.

P.S. Сертификат против пароля - это стратегия что имею против что знаю. И
само по себе
использование сертификата надежности не прибавляет и не убавляет.

Надежности добавляет двухфакторная аутентификация. что имею+что
знаю. Даже если что знаю это просто пассфраза к секретному ключу в
pkcs8-формате. Об удачных попытках брутфорса PKCS#5 я тоже НЕ СЛЫШАЛ.

Правда, тут требуется еще и аккуратная работа с ssh-agent, особенно на
мобильных устройствах. Чтобы при отсутствии юзера за клавиатурой
ключики из памяти вычищались.

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

В Срд, 17/12/2008 в 12:56 +0300, Denis B. Afonin пишет:

 PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир :)

Подробнее можно?

-- 
Покотиленко Костик cas...@meteor.dp.ua


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

2008-12-17 Пенетрантность Alexey Pechnikov

17.12.08, 23:47, Dmitry Marin cor...@corvax.ru:

Из-за увеличения сложности повышается вероятность как отказа так и
Паранойя - это проф. ориентир для администраторов безопасности. Если что-то
(кто-то) в теории может сделать что-то плохое, то значит надо исходить из
того, что он это сделает и принимать меры в упреждающем порядке. За
пределами сетей, это выглядит как вороватый взгляд вокруг, железные решётки
в три слоя, бронежилет и свинцовые трусы. А компьютеры (и сети) всё терпят.

(задумчиво) Знаете, а ведь у нас на работе такое есть. На производстве стоят
два компьютера (в локальной сети на два компьютера, соеденены кроссом), один из
которых жестоко травмирован уродливыми драйверами производственного
оборудования. Я их от основной сети изолировал для защиты сети от них (там
страшный зоопарк софта, часть из которого ещё времён windows 3.11) - но в общем
случае, именно так. Идеальный уровень защиты подразумевает полное отсутствие
связи между защищённой вычислительной сетью и сетью, имеющей коннективити с
компрометированными машинами (весь мир враги и шпионы).

Тезис же о том, что увеличение уровня безопасности уменьшает надёжность
системы совершенно правильный. Разумеется, машина без файрвола, пускающая
без паролей надёжнее, чем спрятанная за отдельным файрволом железка,
проверяющая сертификаты и банящая чуть что. Нельзя сделать безопасно и
удобно, можно только найти компромисс между этими состояниями.
Если это ехидство, то вы передергиваете. Я писал про увеличение
_сложности_. А оно для меня не является таким уж очевидным критерием
безопасности.
М... получается многозначность слова сложность. Есть сложность, которая
парралельная (т.е. увеличение сложности приводит к потенциальному увеличению
количества дыр), а есть последовательная, когда каждый последующий слой,
конечно, портит жизнь обслуживающему персоналу, но одновременно усложняет жизнь
злоумышленникам. Условно говоря, дорваться до компьютера с Жутко Секретной
Базой Данных в случае мультивендрного решения с двумя файрволами потребует от
злоумышленника:
* Сломать железку первого вендора (комплект навыков, знания дыр и мест, где
админ может ошибиться).
* Сломать ОС компьютера в DMZ (ДРУГОЙ вендор, третий комплект дыр и навыков)
* Сломать железку второго вендора (ТРЕТИЙ комплект навыков, знаний и дыр).
* Сломать ОС с БД (ЧЕТВЁРТЫЙ комплект навыков, знаний и дыр).

При этом, если даже какой-то из них останется насквозь дырявым (например,
второй файрвол имеет телнет в DMZ, логин/пароль admin/1234 и не имеет IDS), то
это означает просто выключение из схемы одного из этапов - она, фактически,
преврашается в схему с 3 активными устройствами.

Есть ещё одна сложность - это сложность обслуживания. В переводе на
мелкософтовского-буржуйский - TCO. Сколько денег нам потребуется на стаю спецов
по каждой из железок. Причём, в месяц (а ещё
премии/отпуска/больничные/страховки). Но ведь эта сложность это просто сумма
денег.

Так что, схема, в которой у нас SSH находится за VPN, при условии, что VPN на
той же машине, что и SSH - это увеличение дырявости (мы увеличиваем
параллельную сложность).

Схема, в которой SSH за VPN за другим хостом с одинаковой ОС - это частичная
последовательная сложность. С одной стороны, два хоста ломать, с другой - одни
и те же дыры, одни и те же дурные привычки админа и т.д.

Так что в схеме с двумя хостами под одной ОС я не вижу смысла - она увеличивает
парк железа без осмысленного увеличения безопасности.

Хотя, если уже шлюз и так и так есть (обычная офисная сетка с шлюзом и машинами
за NAT'ом) - почему бы и нет? Но это не специализированное для безопасности,
это просто для удобства.

--
wBR,George.

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root

Hello!

В сообщении от Wednesday 17 December 2008 23:58:51 Victor Wagner написал(а):
On 2008.12.17 at 23:48:28 +0300, Alexey Pechnikov wrote:
Вы можете назвать случаи, чтобы взламывали именно openssh-server и не
методом подбора/кражи пароля?

Так секьюрити апдейты должны быть как раз превентивной мерой. Раз они выходят
раньше, чем уязвимость
начинают эксплуатировать, это лучший из _практически_ достижимых случаев (не
считая идеального
случая отсуствия уязвимостей - как багов реализации, так и ошибок
алгоритмических).

Я вот не знаю о таких. Так что это скорее шизофрения, и лечиться надо, а
не гордиться.

Да, но openssh это самое простое из обсуждаемых решений...

Вот насчет этого большие сомнения - меня, собственно, как раз это соображение
останавливает от
использования предлагаемого вами варианта. Да и присутствие юзера не
гарантирует безопасности,
все-таки лучше пароль не кэшировать. А так получается - сертификат на диске,
пароль в памяти
компьютера... Лучше уж просто пароль в памяти _пользователя_.

Best regards, Alexey.

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: sudo ws root