В Чтв, 18/12/2008 в 23:37 +0300, Alexey Pechnikov пишет:
Hello!
Примерно так: у каждого датацентра есть по своей внутренней
управляющей сетке, только внутри которой разрешены ssh (и иные вещи
типа telnet-ов на коммутаторы и Security is Not My Problem (SNMP),
например). А в эту сетку уже
В Чтв, 18/12/2008 в 20:56 +0300, Denis B. Afonin пишет:
Здравствуйте.
On Thu, 18 Dec 2008 17:05:22 +0300
Artem Chuprina r...@ran.pp.ru wrote:
DBA Именно поэтому после него идет аутентификация по PKI ;)
Угу. А теперь подумай, что будет, если этот shared secret
скомпрометирован
On 2008.12.19 at 12:10:58 +0200, Покотиленко Костик wrote:
В перспективе, да. Но, если в VPN нужен, как без него?
Вообще-то openssh начиная с версии по-моему 4 сам умеет быть VPN
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble?
В Птн, 19/12/2008 в 13:31 +0300, Victor Wagner пишет:
On 2008.12.19 at 12:10:58 +0200, Покотиленко Костик wrote:
В перспективе, да. Но, если в VPN нужен, как без него?
Вообще-то openssh начиная с версии по-моему 4 сам умеет быть VPN
Вы про что? Если про -L -R, то это не VPN, а
Покотиленко Костик пишет:
-
Народ, Вы тут правильные вещи обсуждаете. Предлагаю, только раз и на
всегда определиться в тем, что VPN и SSH это разные вещи, они решают
разные задачи, поэтому сравнивать их можно ТОЛЬКО в контексте вариантов
решения конкретной задачи.
SSH: даёт доступ на машину
On 2008.12.19 at 12:37:52 +0200, Покотиленко Костик wrote:
В Птн, 19/12/2008 в 13:31 +0300, Victor Wagner пишет:
On 2008.12.19 at 12:10:58 +0200, Покотиленко Костик wrote:
В перспективе, да. Но, если в VPN нужен, как без него?
Вообще-то openssh начиная с версии по-моему 4 сам
Игорь Чумак - debian-russian@lists.debian.org @ Fri, 19 Dec 2008 12:44:45
+0200:
Народ, Вы тут правильные вещи обсуждаете. Предлагаю, только раз и на
всегда определиться в тем, что VPN и SSH это разные вещи, они решают
разные задачи, поэтому сравнивать их можно ТОЛЬКО в контексте
Hello!
Неверно. Во-первых, у меня не смартфон, а максимально простой телефон на
S40. Но там есть midpssh, и если очень нужно, то можно.
Так что linux на клиенском устройстве - совершенно необязателен для
того, чтобы там был ssh.
Не знал про midpssh, это интересно.
Стирать надо уметь. Если
On 2008.12.19 at 17:07:01 +0300, Alexey Pechnikov wrote:
Не верю я виндам в этом вопросе - запросто где-то в темпах может
оказаться временная копия файла,
А я не верю, я знаю. Для виндов я тоже программирую.
И что нужно сделать с ключом, чтобы он никуда там не попал, более менее
Twas brillig at 17:07:01 19.12.2008 UTC+03 when pechni...@sandy.ru did gyre and
gimble:
AP Большие мониторы видел, но это в основном для игрушек или
AP дизайнеров/картографов, для работы они не нужны.
Дада. А теперь объясни мне, почему мне не нужно для работы видеть три
файла с исходным кодом
Hello!
В сообщении от Friday 19 December 2008 18:03:29 Mikhail Gusarov написал(а):
AP Большие мониторы видел, но это в основном для игрушек или
AP дизайнеров/картографов, для работы они не нужны.
Дада. А теперь объясни мне, почему мне не нужно для работы видеть три
файла с исходным кодом
Twas brillig at 18:53:41 19.12.2008 UTC+03 when pechni...@sandy.ru did gyre and
gimble:
Дада. А теперь объясни мне, почему мне не нужно для работы видеть три
файла с исходным кодом на всю высоту экраан одновременно.
AP Метод copy-past изучен в совершенстве? :-)
Для copy-pastE три файла
Hello!
В сообщении от Friday 19 December 2008 18:00:10 Victor Wagner написал(а):
On 2008.12.19 at 17:07:01 +0300, Alexey Pechnikov wrote:
Не верю я виндам в этом вопросе - запросто где-то в темпах может
оказаться временная копия файла,
А я не верю, я знаю. Для виндов я тоже программирую.
19:00 Fri 19 Dec, Alexey Pechnikov wrote:
На большом экране приходится взгляд перемещать, 15 - это предел окна,
которое можно зафиксировать
одним взглядом. Наверное, привычка к книжке, где удобно запоминать страницу
целиком, а не бегать по
ней глазами.
Вот именно, что скорее привычка.
On Thu, 18 Dec 2008, Peter Teslenko wrote:
Покотиленко Костик wrote:
Кстати, народ, давно хотел спросить. Есть ПО анализирующее логи того же
ssh и банящее ботов в iptables. Сам по себе анализ постоянный логов как
процесс у меня вызывает отвращение, может есть в виде плагинов или ещё
чего
Вы можете назвать случаи, чтобы взламывали именно openssh-server и
не методом подбора/кражи пароля?
Помнится, какие-то секьюрити апдейты у openssh были.
Являлись ли они критичными для openssh,
- собранного со stack-smashing-protection,
- работающего на аппаратной платформе со стеком,
В Срд, 17/12/2008 в 16:27 +0300, Mikhail A Antonov пишет:
-[ Покотиленко Костик 17/12/2008 16:05 (GMT +3)
Кстати, народ, давно хотел спросить. Есть ПО анализирующее логи того же
ssh и банящее ботов в iptables. Сам по себе анализ постоянный логов как
процесс у меня вызывает отвращение, может
В Чтв, 18/12/2008 в 10:57 +0300, Peter Teslenko пишет:
Покотиленко Костик wrote:
Кстати, народ, давно хотел спросить. Есть ПО анализирующее логи того же
ssh и банящее ботов в iptables. Сам по себе анализ постоянный логов как
процесс у меня вызывает отвращение, может есть в виде плагинов или
В Срд, 17/12/2008 в 19:54 +0300, Dmitry Marin пишет:
George Shuklin wrote:
17.12.08, 19:35, Mikhail Gusarov dotted...@dottedmag.net:
VW Увы, если уж мы про remote root exploit, или хотя бы remote shell,
VW то его достаточно одного. Во внешнем слое защиты.
Ну почему же? Сервер OpenVPN
Hello!
Так секьюрити апдейты должны быть как раз превентивной мерой.
Race condititon получается.
Что произойдет быстрее - багу обнаружат хорошие парни, исправят,
выпустят апдейт, ты об этом узнаешь и установишь, или ее обнаружат
плохие парни и проэксплойтят?
Шансы на первое велики, но
Hello!
В сообщении от Thursday 18 December 2008 11:45:26 yuri.nefe...@gmail.com
написал(а):
Программа хорошая, использую уже несколько лет, но к iptables
не имеет никакого отношения. Она тупо заносит ip в hosts.deny.
Соответственно если тот же host занесён в hosts.allow, то
-[ Покотиленко Костик 17/12/2008 16:36 (GMT +3)
Fail2ban scans log files like /var/log/pwdfail
or /var/log/apache/error_log and bans IP
^^^
that makes too many password failures. It updates firewall rules to
reject the IP address.
Тем не менее, ssh оно умеет смотреть.
On 2008.12.18 at 13:23:57 +0300, Alexey Pechnikov wrote:
Hello!
Так секьюрити апдейты должны быть как раз превентивной мерой.
Race condititon получается.
Что произойдет быстрее - багу обнаружат хорошие парни, исправят,
выпустят апдейт, ты об этом узнаешь и установишь, или ее
Hello!
Вопрос не в вооруженной группе. Вопрос в китайском спаммере.
То что китайский спаммер читает багтрак и узнает о дырке в openssh
на некоторое время раньше, чем большинство адаминов я уверен.
Вопрос в том, успеет ли он проэксплойтить твою машину, прежде чем ты
прочитаешь
В Чтв, 18/12/2008 в 13:40 +0300, Mikhail A Antonov пишет:
-[ Покотиленко Костик 17/12/2008 16:36 (GMT +3)
Fail2ban scans log files like /var/log/pwdfail
or /var/log/apache/error_log and bans IP
^^^
that makes too many password failures. It updates firewall rules to
Aleksey Cheusov wrote:
Вот не знаю, lenny уже собирают с SSP или нет?
Нет. По крайней мере, большинство пакетов.
--
Eugene V. Lyubimkin aka JackYF, JID: jackyf.devel(maildog)gmail.com
Ukrainian C++ Developer, Debian Maintainer, APT contributor
signature.asc
Description: OpenPGP digital
Alexey Pechnikov - debian-russian@lists.debian.org @ Thu, 18 Dec 2008
13:23:57 +0300:
Так секьюрити апдейты должны быть как раз превентивной мерой.
Race condititon получается.
Что произойдет быстрее - багу обнаружат хорошие парни, исправят,
выпустят апдейт, ты об этом узнаешь и
Dmitry Marin - debian-russian@lists.debian.org @ Wed, 17 Dec 2008 23:06:47
+0300:
Так что в линии паранойи всё начинается с наличия пароля на ssh
С каких пор паранойя стало явлением, на котрое надо равняться? ;)
Довольно давно в некоторых отраслях IT паранойя - критерий
George Shuklin - debian-russian@lists.debian.org @ Wed, 17 Dec 2008 22:56:27
+0300:
GS Тезис же о том, что увеличение уровня безопасности уменьшает
GS надёжность системы совершенно правильный. Разумеется, машина без
GS файрвола, пускающая без паролей надёжнее, чем спрятанная за
GS отдельным
Вот не знаю, lenny уже собирают с SSP или нет?
Нет. По крайней мере, большинство пакетов.
Жаль. А надо бы.
--
Best regards, Aleksey Cheusov.
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
George Shuklin - debian-russian@lists.debian.org @ Thu, 18 Dec 2008 00:49:09
+0300:
GS Есть ещё одна сложность - это сложность обслуживания. В
GS переводе на мелкософтовского-буржуйский - TCO. Сколько денег нам
GS потребуется на стаю спецов по каждой из железок. Причём, в месяц (а
GS ещё
Покотиленко Костик - debian-russian@lists.debian.org @ Thu, 18 Dec 2008
12:12:59 +0200:
VW Увы, если уж мы про remote root exploit, или хотя бы remote shell,
VW то его достаточно одного. Во внешнем слое защиты.
Ну почему же? Сервер OpenVPN сделать изолированным от всего остального
Denis B. Afonin - debian-russian@lists.debian.org @ Wed, 17 Dec 2008 22:24:25
+0300:
DBA PS До сих пор еще встречаю идиотов, у которых ssh открыт на
DBA весь мир :)
У меня нет уверенности, что openvpn, открытый на весь мир,
лучше...
DBA См. man openvpn на предмет tls-auth
On 2008.12.18 at 17:00:17 +0300, Artem Chuprina wrote:
GS Так что в схеме с двумя хостами под одной ОС я не вижу смысла - она
GS увеличивает парк железа без осмысленного увеличения безопасности.
Кто-то, кстати, делал файрвол виртуальной машиной на защищаемом хосте...
Это что-то из
Victor Wagner - debian-russian@lists.debian.org @ Thu, 18 Dec 2008 17:07:17
+0300:
GS Так что в схеме с двумя хостами под одной ОС я не вижу смысла - она
GS увеличивает парк железа без осмысленного увеличения безопасности.
Кто-то, кстати, делал файрвол виртуальной машиной на
Wed, 17 Dec 2008 16:27:18 +0300
Mikhail A Antonov b...@solarnet.ru wrote:
-[ Покотиленко Костик 17/12/2008 16:05 (GMT +3)
Кстати, народ, давно хотел спросить. Есть ПО анализирующее логи
того же ssh и банящее ботов в iptables. Сам по себе анализ
постоянный логов как процесс у меня вызывает
18.12.08, 16:48, Artem Chuprina r...@ran.pp.ru:
Довольно давно в некоторых отраслях IT паранойя - критерий
профпригодности.
А Эйрел Форкосиган, помнится, говаривал паранойя - залог здоровья.
DM Не знаком :) Я там не случайно поставил ехидный смайл. Давно знаком
DM с концепцией
Здравствуйте.
On Thu, 18 Dec 2008 17:05:22 +0300
Artem Chuprina r...@ran.pp.ru wrote:
DBA Именно поэтому после него идет аутентификация по PKI ;)
Угу. А теперь подумай, что будет, если этот shared secret
скомпрометирован (украли одну из машин, которая его знала).
Правильно, ситуация
Hello!
В сообщении от Thursday 18 December 2008 20:56:10 Denis B. Afonin написал(а):
Согласен. Shared key - фактически лишь защита от флуда и от
посторонних глаз, больше никак её рассматривать нельзя. И с этой
задачей он справляется вполне неплохо.
Я лишь предлагаю использовать openvpn для
Здравствуйте.
On Thu, 18 Dec 2008 22:08:08 +0300
Alexey Pechnikov pechni...@sandy.ru wrote:
Я лишь предлагаю использовать openvpn для доступа к некой
промежуточной сети, из-под которой уже можно входить на ssh
серверов. Контролировать одну маленькую внутреннюю сеточку намного
проще, чем
Hello!
Примерно так: у каждого датацентра есть по своей внутренней
управляющей сетке, только внутри которой разрешены ssh (и иные вещи
типа telnet-ов на коммутаторы и Security is Not My Problem (SNMP),
например). А в эту сетку уже пускает openvpn с (назовем её так)
машины-файрвола.
Хотя у
Denis B. Afonin - debian-russian@lists.debian.org @ Thu, 18 Dec 2008 20:56:10
+0300:
DBA Я лишь предлагаю использовать openvpn для доступа к некой
DBA промежуточной сети, из-под которой уже можно входить на ssh
DBA серверов. Контролировать одну маленькую внутреннюю сеточку намного
DBA
Hello!
Ну так это PasswordAuthentication no
в /etc/sshd/sshd_config.
И пусть уподбираются. Естественно, на каждом носимом с собой устройстве
(ноутбуке, наладоннике, телефоне) должен быть индивидуальный секретный
ключ, который в случае утраты данного устройства можно оперативно из
всех
Здравствуйте.
On Thu, 18 Dec 2008 23:37:29 +0300
Alexey Pechnikov pechni...@sandy.ru wrote:
Если у вас на одной машине и openvpn и openssh то вы тратите время на
иллюзию защиты. Установив на одном сервере больше софта, вы теряете в
управляемости и получаете больше уязвимостей.
С теорией я
Здравствуйте.
On Thu, 18 Dec 2008 23:33:41 +0300
Artem Chuprina r...@ran.pp.ru wrote:
DBA Я лишь предлагаю использовать openvpn для доступа к некой
DBA промежуточной сети, из-под которой уже можно входить на ssh
DBA серверов. Контролировать одну маленькую внутреннюю сеточку
DBA намного
On 2008.12.18 at 23:43:09 +0300, Alexey Pechnikov wrote:
Hello!
Ну так это PasswordAuthentication no
в /etc/sshd/sshd_config.
И пусть уподбираются. Естественно, на каждом носимом с собой устройстве
(ноутбуке, наладоннике, телефоне) должен быть индивидуальный секретный
ключ, который
Alexey Pechnikov - debian-russian@lists.debian.org @ Thu, 18 Dec 2008
23:43:09 +0300:
Ну так это PasswordAuthentication no
в /etc/sshd/sshd_config.
И пусть уподбираются. Естественно, на каждом носимом с собой устройстве
(ноутбуке, наладоннике, телефоне) должен быть индивидуальный
Hello!
В последнем, кстати, в конце строчки ключа обычно присутствует hostname
машины, на котором он генерировался. А уж hostname своих устройств я
помню.
И в самом деле перепутал.
А как вы зайдете с _чужого_ компьютера или устройства?
о паролю вход запрещен, а свой ключ
А зачем? У
On 2008.12.19 at 02:26:32 +0300, Alexey Pechnikov wrote:
А как вы зайдете с _чужого_ компьютера или устройства?
о паролю вход запрещен, а свой ключ
А зачем? У меня своих устройств откуда я могу зайти в норме с собой три.
Наверное, ноут + смартфон, а что еще? Притом линуксовых
Denis B. Afonin - debian-russian@lists.debian.org @ Wed, 17 Dec 2008 12:56:11
+0300:
DBA PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир :)
У меня нет уверенности, что openvpn, открытый на весь мир, лучше...
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber:
Denis B. Afonin - debian-russian@lists.debian.org @ Wed, 17 Dec 2008 17:45:26
+0300:
DBA PS До сих пор еще встречаю идиотов, у которых ssh открыт на
DBA весь мир :)
У меня нет уверенности, что openvpn, открытый на весь мир, лучше...
DBA См. man openvpn на предмет tls-auth (плюс
Twas brillig at 19:34:02 17.12.2008 UTC+03 when vi...@wagner.pp.ru did gyre and
gimble:
VW Увы, если уж мы про remote root exploit, или хотя бы remote shell,
VW то его достаточно одного. Во внешнем слое защиты.
Ну почему же? Сервер OpenVPN сделать изолированным от всего остального
гейтом
17.12.08, 19:35, Mikhail Gusarov dotted...@dottedmag.net:
VW Увы, если уж мы про remote root exploit, или хотя бы remote shell,
VW то его достаточно одного. Во внешнем слое защиты.
Ну почему же? Сервер OpenVPN сделать изолированным от всего остального
гейтом внутрь.
--
Вообще, если
Denis B. Afonin пишет:
On Fri, 12 Dec 2008 13:45:22 +0300
Artem Chuprina r...@ran.pp.ru wrote:
У openvpn, начнем с, есть принципиальные грабли в безопасности по
сравнению с ssh. Обходить их можно, но очень геморройно получается.
Они становятся заметны, когда разным VPN-клиентам нужно давать
17.12.08, 19:54, Dmitry Marin cor...@corvax.ru:
VW Увы, если уж мы про remote root exploit, или хотя бы remote shell,
VW то его достаточно одного. Во внешнем слое защиты.
Ну почему же? Сервер OpenVPN сделать изолированным от всего остального
гейтом внутрь.
Вообще, если говорить про
17.12.08, 13:38, Игорь Чумак i.chu...@generali.garant.ua:
Ну почему же совсем не годится... Само по себе - соглашусь, а вот в
совокупности с ssh как дополнительная прослойка, пускающая в некую
промежуточную псевдопривилигированную сеть, откуда уж пускают на ssh -
вполне себе ничего ;)
On Wed, 17 Dec 2008 15:27:54 +0300
Artem Chuprina r...@ran.pp.ru wrote:
DBA PS До сих пор еще встречаю идиотов, у которых ssh открыт на
DBA весь мир :)
У меня нет уверенности, что openvpn, открытый на весь мир, лучше...
См. man openvpn на предмет tls-auth (плюс нестандартный UDP-порт и,
Denis B. Afonin пишет:
Здравствуйте.
On Wed, 17 Dec 2008 12:38:19 +0200
Игорь Чумак i.chu...@generali.garant.ua wrote:
PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь
мир :)
И чем это им (идиотам) грозит?
Минимум - постоянные посторонние записи в логах от
On 2008.12.17 at 18:13:50 +0600, Mikhail Gusarov wrote:
Twas brillig at 14:56:43 17.12.2008 UTC+03 when chi...@chindi.su did gyre and
gimble:
DBA Минимум - постоянные посторонние записи в логах от ботов,
DBA пытающихся подобрать пароль на логины а-ля vanya (пусть даже и с
DBA
В Срд, 17/12/2008 в 21:40 +0300, George Shuklin пишет:
Так что в линии паранойи всё начинается с наличия пароля на ssh
С каких пор паранойя стало явлением, на котрое надо равняться? ;)
Моё имхо, что здравое место в этой линейке - в просто хорошем пароле
на ssh. Хотя, конечно, если
Здравствуйте.
On Wed, 17 Dec 2008 19:10:24 +0300
Artem Chuprina r...@ran.pp.ru wrote:
DBA PS До сих пор еще встречаю идиотов, у которых ssh открыт на
DBA весь мир :)
У меня нет уверенности, что openvpn, открытый на весь мир,
лучше...
DBA См. man openvpn на предмет tls-auth (плюс
On Fri, 12 Dec 2008 13:45:22 +0300
Artem Chuprina r...@ran.pp.ru wrote:
У openvpn, начнем с, есть принципиальные грабли в безопасности по
сравнению с ssh. Обходить их можно, но очень геморройно получается.
Они становятся заметны, когда разным VPN-клиентам нужно давать разный
доступ.
Хотя
On 2008.12.17 at 22:38:20 +0300, Dmitry Marin wrote:
В Срд, 17/12/2008 в 21:40 +0300, George Shuklin пишет:
Так что в линии паранойи всё начинается с наличия пароля на ssh
С каких пор паранойя стало явлением, на котрое надо равняться? ;)
Довольно давно в некоторых отраслях IT паранойя -
On 2008.12.17 at 14:56:43 +0300, Denis B. Afonin wrote:
Здравствуйте.
On Wed, 17 Dec 2008 12:38:19 +0200
Игорь Чумак i.chu...@generali.garant.ua wrote:
PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь
мир :)
И чем это им (идиотам) грозит?
Минимум - постоянные
17.12.08, 22:38, Dmitry Marin cor...@corvax.ru:
Так что в линии паранойи всё начинается с наличия пароля на ssh
С каких пор паранойя стало явлением, на котрое надо равняться? ;)
Моё имхо, что здравое место в этой линейке - в просто хорошем пароле
на ssh. Хотя, конечно, если конфигурация
В Срд, 17/12/2008 в 22:47 +0300, Victor Wagner пишет:
On 2008.12.17 at 22:38:20 +0300, Dmitry Marin wrote:
В Срд, 17/12/2008 в 21:40 +0300, George Shuklin пишет:
Так что в линии паранойи всё начинается с наличия пароля на ssh
С каких пор паранойя стало явлением, на котрое надо
В Срд, 17/12/2008 в 15:22 +0300, George Shuklin пишет:
17.12.08, 13:38, Игорь Чумак i.chu...@generali.garant.ua:
Ну почему же совсем не годится... Само по себе - соглашусь, а вот в
совокупности с ssh как дополнительная прослойка, пускающая в некую
промежуточную
Twas brillig at 17:01:19 17.12.2008 UTC+03 when vi...@wagner.pp.ru did gyre and
gimble:
Минимум неинтересен. Каков максимум?
VW Максимум - рут эксплойт в sshd и машина поиметая до того, как ты
VW успел поставить апдейт.
Да, пожалуй, имеет смысл. Два эксплоита в одно время на два разных
12:56 Wed 17 Dec , Denis B. Afonin wrote:
PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир :)
И чем это плохо? Если у админа голова на плечах + что-то типа ssh+fail2ban
вполне себе решение.
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a
-[ Покотиленко Костик 17/12/2008 16:05 (GMT +3)
Кстати, народ, давно хотел спросить. Есть ПО анализирующее логи того же
ssh и банящее ботов в iptables. Сам по себе анализ постоянный логов как
процесс у меня вызывает отвращение, может есть в виде плагинов или ещё
чего нечто, что по данным
On 2008.12.17 at 20:07:21 +0600, Mikhail Gusarov wrote:
Twas brillig at 17:01:19 17.12.2008 UTC+03 when vi...@wagner.pp.ru did gyre
and gimble:
Минимум неинтересен. Каков максимум?
VW Максимум - рут эксплойт в sshd и машина поиметая до того, как ты
VW успел поставить апдейт.
В Срд, 17/12/2008 в 18:13 +0600, Mikhail Gusarov пишет:
Twas brillig at 14:56:43 17.12.2008 UTC+03 when chi...@chindi.su did gyre and
gimble:
DBA Минимум - постоянные посторонние записи в логах от ботов,
DBA пытающихся подобрать пароль на логины а-ля vanya (пусть даже и с
DBA sshguard,
Hello!
В сообщении от Wednesday 17 December 2008 12:56:11 Denis B. Afonin написал(а):
PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир
За пределами локалки тоже есть сервера и с ними надо работать. Про датацентры,
к примеру, в сша, вы
хотя бы слышали? Если же вы на сервере
Здравствуйте.
On Wed, 17 Dec 2008 12:38:19 +0200
Игорь Чумак i.chu...@generali.garant.ua wrote:
PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь
мир :)
И чем это им (идиотам) грозит?
Минимум - постоянные посторонние записи в логах от ботов, пытающихся
подобрать пароль на
George Shuklin wrote:
17.12.08, 19:35, Mikhail Gusarov dotted...@dottedmag.net:
VW Увы, если уж мы про remote root exploit, или хотя бы remote shell,
VW то его достаточно одного. Во внешнем слое защиты.
Ну почему же? Сервер OpenVPN сделать изолированным от всего остального
гейтом внутрь.
--
В Срд, 17/12/2008 в 22:56 +0300, George Shuklin пишет:
Из-за увеличения сложности повышается вероятность как отказа так и
Паранойя - это проф. ориентир для администраторов безопасности. Если что-то
(кто-то) в теории может сделать что-то плохое, то значит надо исходить из
того, что он это
Hello!
В сообщении от Wednesday 17 December 2008 22:47:58 Victor Wagner написал(а):
Так что в линии паранойи всё начинается с наличия пароля на ssh
С каких пор паранойя стало явлением, на котрое надо равняться? ;)
Довольно давно в некоторых отраслях IT паранойя - критерий
On 2008.12.17 at 15:27:54 +0300, Artem Chuprina wrote:
Denis B. Afonin - debian-russian@lists.debian.org @ Wed, 17 Dec 2008
12:56:11 +0300:
DBA PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир :)
У меня нет уверенности, что openvpn, открытый на весь мир, лучше...
Twas brillig at 14:56:43 17.12.2008 UTC+03 when chi...@chindi.su did gyre and
gimble:
DBA Минимум - постоянные посторонние записи в логах от ботов,
DBA пытающихся подобрать пароль на логины а-ля vanya (пусть даже и с
DBA sshguard, все равно анализировать такие логи на попытки
DBA
On 2008.12.17 at 23:48:28 +0300, Alexey Pechnikov wrote:
Вы можете назвать случаи, чтобы взламывали именно openssh-server и не методом
подбора/кражи пароля?
Помнится, какие-то секьюрити апдейты у openssh были. Не считая
последнего, связанного с отрыванием случайности от openssl.
Я вот не
В Срд, 17/12/2008 в 12:56 +0300, Denis B. Afonin пишет:
PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир :)
Подробнее можно?
--
Покотиленко Костик cas...@meteor.dp.ua
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe.
17.12.08, 23:47, Dmitry Marin cor...@corvax.ru:
Из-за увеличения сложности повышается вероятность как отказа так и
Паранойя - это проф. ориентир для администраторов безопасности. Если что-то
(кто-то) в теории может сделать что-то плохое, то значит надо исходить из
того, что он это
Hello!
В сообщении от Wednesday 17 December 2008 23:58:51 Victor Wagner написал(а):
On 2008.12.17 at 23:48:28 +0300, Alexey Pechnikov wrote:
Вы можете назвать случаи, чтобы взламывали именно openssh-server и не
методом подбора/кражи пароля?
Помнится, какие-то секьюрити апдейты у openssh
On 2008.12.18 at 01:08:20 +0300, Alexey Pechnikov wrote:
Hello!
В сообщении от Wednesday 17 December 2008 23:58:51 Victor Wagner написал(а):
On 2008.12.17 at 23:48:28 +0300, Alexey Pechnikov wrote:
Вы можете назвать случаи, чтобы взламывали именно openssh-server и не
методом
Покотиленко Костик wrote:
Кстати, народ, давно хотел спросить. Есть ПО анализирующее логи того же
ssh и банящее ботов в iptables. Сам по себе анализ постоянный логов как
процесс у меня вызывает отвращение, может есть в виде плагинов или ещё
чего нечто, что по данным демонов (ssh, smtpd, etc)
Покотиленко Костик пишет:
Не хотелось бы расстраивать, но как навнедрявшийся IPSec VPN-ов хочу
сказать,
что это как раз вполне часто встречается, к сожалению. И что самое
печальное - часто бить таких админов невозможно по тем или иным
причинам. Вот и приходится людям изобретать IKE
Покотиленко Костик пишет:
Данная проблема бывает ровно от соединения PMTU discovery с brain-dead
администратором. По отдельности оно не ломается. И поскольку хану мы
не лечим, то чинить можно только зажиманием MTU.
ПК Где почитать можно, я неверное с этой разновидностью не
В Пнд, 15/12/2008 в 16:16 +0300, Max Kosmach пишет:
Покотиленко Костик пишет:
Не хотелось бы расстраивать, но как навнедрявшийся IPSec VPN-ов хочу
сказать,
что это как раз вполне часто встречается, к сожалению. И что самое
печальное - часто бить таких админов невозможно по тем или иным
Max Kosmach wrote:
Не хотелось бы расстраивать, но как навнедрявшийся IPSec VPN-ов хочу
сказать,
что это как раз вполне часто встречается, к сожалению. И что самое
печальное - часто бить таких админов невозможно по тем или иным
причинам. Вот и приходится людям изобретать IKE Fragmentation,
В Пнд, 15/12/2008 в 13:59 +0300, Max Kosmach пишет:
Покотиленко Костик пишет:
Данная проблема бывает ровно от соединения PMTU discovery с brain-dead
администратором. По отдельности оно не ломается. И поскольку хану мы
не лечим, то чинить можно только зажиманием MTU.
ПК Где
Peter Teslenko пишет:
Max Kosmach wrote:
Не хотелось бы расстраивать, но как навнедрявшийся IPSec VPN-ов хочу
сказать,
что это как раз вполне часто встречается, к сожалению. И что самое
печальное - часто бить таких админов невозможно по тем или иным
причинам. Вот и приходится людям
Только вот Cisco IOS почему-то не поддерживает ГОСТ 28147-89,
34.10-2001 и т.д.
Ставьте NME-RVPN ;)
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
На Fri, 12 Dec 2008 20:23:06 +0200
Покотиленко Костик cas...@meteor.dp.ua записано:
Отослал письмо не дописав, сорьки.
Зачем гадать, и так ясно, бить таких админов надо. Только это очень
большая редкость когда блокируют исходящие icmp, по сравнению с тем,
как блокируют входящие.
Ой как тебе
На Wed, 10 Dec 2008 22:48:17 +0300
Victor Wagner vi...@wagner.pp.ru записано:
On 2008.12.10 at 18:33:56 +0300, Artem Chuprina wrote:
Если мне надо дать возможность (плюс-минус любому) юзеру
передернуть, допустим, принт-сервер, я пишу скрипт и пишу в sudoers
%users (ALL) = NOPASSWD:
Hello!
В сообщении от Friday 12 December 2008 22:40:33 Artem Chuprina написал(а):
Так вот, собственно. Когда у тебя свой туннель и есть проблемы с PMTU
discovery, часто стоит подрезать MTU на его входе на 40 байт один-два
раза.
А почему именно 40 байт? Это эмпирика или теория?
Best
Alexey Pechnikov - debian-russian@lists.debian.org @ Sun, 14 Dec 2008
16:59:39 +0300:
Так вот, собственно. Когда у тебя свой туннель и есть проблемы с PMTU
discovery, часто стоит подрезать MTU на его входе на 40 байт один-два
раза.
AP А почему именно 40 байт? Это эмпирика или теория?
Покотиленко Костик - debian-russian@lists.debian.org @ Sat, 13 Dec 2008
14:57:45 +0200:
ПК Если подытожить, PMTU и MSS=PMTU спасают от 99% проблем для TCP, а
ПК UDP и остальные как повезёт, или пройдут по PMTU или будут
ПК фрагментированы. Есть поправки?
Чтобы MSS=PMTU спасло,
В Fri, 12 Dec 2008 22:40:33 +0300, Artem Chuprina пишет:
Покотиленко Костик - debian-russian@lists.debian.org @ Fri, 12 Dec
2008 20:16:23 +0200:
ПК Если подытожить, PMTU и MSS=PMTU спасают от 99% проблем для TCP, а
ПК UDP и остальные как повезёт, или пройдут по PMTU или будут
ПК
В Fri, 12 Dec 2008 22:35:10 +0300, Artem Chuprina пишет:
Покотиленко Костик - debian-russian@lists.debian.org @ Fri, 12 Dec
2008 20:23:06 +0200:
3) Продвинутые сисадмины по дороге не слышали про
PMTU, и вместо
возвращения Fragmentation needed пакет просто пропадет.
2008/12/12 Покотиленко Костик cas...@meteor.dp.ua:
В Птн, 12/12/2008 в 09:03 +0300, DamirX пишет:
Позволю себе вставить слово.
Сервер, как описано в задаче - это сервер за пределами локальной сети.
Насколько я понимаю, публично-доступные сервисы (на нем запущенные)
предоставляют доступ к
Результаты 1 - 100 из 190 matches
Mail list logo
