| |
| 2.4, Аноним (4), 21:52, 29/08/2018 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Мб некоторые ставят слабый пароль на обычного юзера в расчёте на то, что 1) атакующему неизвестен логин, 2) юзер без рутовых прав не так опасен.
Понятно что оба прероложения обходятся уязвимостями. В частности вот этой из новости.
| | |
| |
| 3.41, x3who (?), 15:22, 30/08/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
В любом случае, угадать логин и пароль значительно сложнее чем перебрать логины а потом пароли к найденному логину. (да не услышат меня писатели ентерпрайзных полиси и да не заэнфорсят ограничения на простоту логинов)
| | |
|
| 2.17, Анонимусис (?), 23:54, 29/08/2018 [^] [^^] [^^^] [ответить]
| +3 +/– | |
Рубежи обороны
"... а еще они узнали что в системе Х есть юзер с тем же именем что и в системе У, и попробовав пароль из системы У, смогли войти в систему Х"
| | |
| |
| 3.25, Волжанин (?), 06:35, 30/08/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
 А ещё, зная пароль пользователя в системе Y, можно сразу попытаться войти в систему X с именем пользователя и паролем из системы Y. Вне зависимости от того, точно известно, что в системе X есть такой пользователь, или только предполагается.
| | |
| |
| 4.33, Урри (?), 11:57, 30/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
Что лучше - подбирать по словарю существующего пользователя, или вероятно не существующего?
| | |
|
|
| 2.18, pavard (ok), 00:37, 30/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
 дальше пробуются пароли для аналогичного ника, утекшие через какой-нибудь форум.
| | |
| |
| 3.19, Сигизмунд Точка (?), 00:54, 30/08/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
 > ssh
> пароли
ССЗБ.
У всех у кого не рвота вместо мозга - либо ключи, либо сертификаты с своим PKI.
| | |
| |
| 4.23, pavard (ok), 01:32, 30/08/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
почти никто не отклчючает аутентификацию по паролю, разместив свой ключ на машине. это раз. два - по моим представлениям( субъективным ощущениям ) людей живущих исключительно на паролях - в районе половины. тобишь как не крути...
| | |
| |
| 5.24, angra (ok), 03:50, 30/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
 Для того чтобы отключить что-нибудь ненужное, надо сначала включить это ненужное. Зачем устанавливать юзеру пароль, если можно сразу поставить публичный ключ?
| | |
|
| 4.34, metakeks (?), 12:30, 30/08/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Тоже есть обратная сторона. Ключ так же можно угнать. А на 100 серверов 100 ключей запароленных держать - это мало кто возьмётся.
| | |
| |
| 5.37, pavard (ok), 13:54, 30/08/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
ты похоже не пользуешься ключами( не понимаешь как они работают ).
| | |
| |
| |
| 7.42, x3who (?), 15:27, 30/08/2018 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> А как они работают?
Они лежат на диске клиентского компа и поэтому могут оказаться недоступны в критический момент если этот комп внезапно и случайно сдох. И ты остаёшься без связи со своим сервером, к которому мог бы подключиться по SSH с любого утюга, если бы не запретил логины по паролю. Примерно как-то так они работают.
| | |
| |
| 8.44, Аноним (44), 15:33, 30/08/2018 [^] [^^] [^^^] [ответить] | +/– | Ох, малыш Про то, что можно иметь несколько ключей в разных местах хранящихся т... текст свёрнут, показать | | |
| |
| 9.48, AS (??), 16:17, 30/08/2018 [^] [^^] [^^^] [ответить] | +/– | а мой старый ноут как раз 11 лет проработал и сдох HDD а флешку с ключами запас... текст свёрнут, показать | | |
|
| 8.46, pavard (ok), 15:44, 30/08/2018 [^] [^^] [^^^] [ответить] | +/– | если ты мог подключиться с утюга - значит на нем есть копия приватного ключа, на... текст свёрнут, показать | | |
| |
| 9.47, x3who (?), 16:01, 30/08/2018 [^] [^^] [^^^] [ответить] | +/– | С утюга - значит любого устройства, подключенного к сети и имеющего экран и клав... текст свёрнут, показать | | |
| 9.49, Аноним (44), 18:52, 30/08/2018 [^] [^^] [^^^] [ответить] | +/– | За копию приватного ключа нужно бить по роже На каждом девайсе должен быть свой... текст свёрнут, показать | | |
|
|
|
|
|
|
|
| 2.32, ЖопорукийТорвальдс (?), 11:02, 30/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
А то что брут форсу теперь легче логин подобрать.
Шаг 1. Проверяем наличие Лузера по имени
Шаг 2. Брутфорсим парольчик
Шаг 3. ...
Шаг 4. Профит
Да да... количество всяких там уников с 2048+ ключами можно в 8-битный int записать. Все остальные пользуют пароли, дай бог не просто одно словарное слово по дефолту (тут должна быть ссылка к адинам на работе которые на root ставят слово из словаря, но ее не будет ибо жало если кто-то за 3 дня подберёт единый пароль от систем за $12м ).
| | |
|
| 1.5, Аноним (-), 21:54, 29/08/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Чото странное в новости, у меня все новые sshd всегда ругаются на too many даже при наличии пользователя
| | |
| 1.7, Аноним (7), 22:10, 29/08/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Ну так весь фикс в том, чтобы система обрубала соединение при множестве ошибках аутентификации при любом раскладе, есть такой пользователь или нет.
| | |
| 1.8, Аноним (8), 22:19, 29/08/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Извиняюсь за оффтоп, но может быть кто-нибудь знает, можно ли на манке настроить возможность подключения по ссш когда пользователь не залогинен графически?
| | |
| |
| 2.11, Аноним (10), 22:43, 29/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
Хорошо у всех машин на облачном хостинге есть пользователь root с паролем из 32 символов.
Дальше что?
| | |
| |
| 3.20, Сигизмунд Точка (?), 00:58, 30/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
Есть пользователь root с passwd -l. и PermitRootLogin no. И еще по 30-50 пользователей с такими же параметрами. Удачи в переборе.
| | |
|
|
| 1.12, Аноним (-), 22:49, 29/08/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +13 +/– |
Не люблю когда меня определяют. Я сам решаю, определяться или нет, а вот когда майор влезает и начинает чего-то определять за меня, шпионством заниматься, то это такое...
| | |
| |
| 2.43, x3who (?), 15:32, 30/08/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Я сам решаю, определяться или нет, а вот когда майор влезает и начинает чего-то определять за меня
Ну ты хватил. Ещё товарища генерал-майора бы вписал. В современном мире это задача уровня не выше ефрейтора.
| | |
|
| 1.15, PereresusNeVlezaetBuggy (ok), 22:54, 29/08/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
 На всякий случай: очень, очень мало существует ПО, которое аналогично SSH реально пытается противодействовать атакам на определение факта существования пользователя (то есть не просто возвращают одинаковое «access denied», а нивелируют как минимум тайминг-атаки). Так что если это считать реальной уязвимостью, то что тогда делать с 99% других сервисов, позволяющих получить аналогичную информацию ровно такими же методами?
| | |
| |
| 2.21, Сигизмунд Точка (?), 01:01, 30/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
Это считается просто раскрытием информации но никак не критической уязвимостью. В oss-security уже обсосали. Весь шум подняли параноики не разобравшись в вопросе. В том же Apache таких дырок по 30 штук в год находят и всем (ну почти) нет до них дела.
| | |
| |
| 3.27, Ленивый Перерезус (?), 09:21, 30/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Это считается просто раскрытием информации но никак не критической уязвимостью. В oss-security
> уже обсосали. Весь шум подняли параноики не разобравшись в вопросе. В
> том же Apache таких дырок по 30 штук в год находят
> и всем (ну почти) нет до них дела.
Истинно так.
| | |
|
|
| 1.22, Сигизмунд Точка (?), 01:05, 30/08/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Специально для параноиков:
Crazy workaround - создать пару десятков тысяч пользователей с disabled login.
Ну и классику в виде изменения id 0 на foobar/toor/doom. никто не отменял.
| | |
| |
| 2.26, lone_wolf (ok), 09:07, 30/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
 > Crazy workaround - создать пару десятков тысяч пользователей с disabled login.
Это вы имеете виду установить shell для юзера в /sbin/noligin ???
> Ну и классику в виде изменения id 0 на foobar/toor/doom. никто не отменял.
А вот это как реализовать подскажите пожалуйста?
| | |
| 2.28, Нанобот (ok), 09:23, 30/08/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
 для параноиков не катит - они будут бояться, что какой-то из этих тысяч пользователей сможет залогиниться, несмотря на запрет
| | |
|
| 1.30, lone_wolf (ok), 09:41, 30/08/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Самое обидное что в CentOS до сих пор не бекпортировали исправления из версии 7.8, для предыдущей уязвимости. Хотя о чем это я в Fedora 7.8 есче пока в тестовом репозитории.
| | |
| |
| 2.31, Andrey Mitrofanov (?), 09:47, 30/08/2018 [^] [^^] [^^^] [ответить]
| –3 +/– | |
>в CentOS до сих пор не бекпортировали исправления из
Ты хотел сказать, обидно, что редхет не выпустил следующий пойнт-релиз рхела, не подождал недкльку-другую, и выложил src.rpm так необходимого тебе openssh в wault.как его там, а центов не подпереразнапрягся, ежё через недулю-другую!, и и не пересобрал твой насущный патчонный .rpm ???
Обидно, да. Не то слово, прям, как обидно.
| | |
| |
| 3.35, lone_wolf (ok), 12:41, 30/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
Причем тут новый релиз к накладыванию патчей? Если бы я сказал про новые фичи да тут бы был уместен ваш сарказм, и т.д.
И опять же когда intel выпустил новый микрокод RHEL быстро выкатил обновленное ядро, вас это не смущает? А когда была найдена уязвимость в openssh и разрабы выпустили свежую версию с исправлением, RHEL должен по вашей логике сидеть и ждать с моря погоды, вот про новые фичи и т.д я согласен их надо проверить обкатать а уже потом выкатывать в стабильную ветку.
| | |
| |
| 4.36, Andrey Mitrofanov (?), 12:58, 30/08/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Причем тут новый релиз к накладыванию патчей? Если бы я сказал про
> новые фичи да тут бы был уместен ваш сарказм, и т.д.
> И опять же когда intel выпустил новый микрокод RHEL быстро выкатил обновленное
> ядро, вас это не смущает?
Ты ж про центос там выше "скучал"? Мне казалось, что они из исходников всё пересобирают, а рхел исходники не сразу даёт. Я о них "плохо подумал"?
> openssh и разрабы выпустили свежую версию с исправлением, RHEL должен по
> вашей логике сидеть и ждать с моря погоды,
Не rhel. а cantos твой. Так именно и делает, нет?
> фичи и т.д я согласен их надо проверить обкатать а уже
> потом выкатывать в стабильную ветку.
Федору не приплетай. Сказал "центос" -- полезай в кузовок.
| | |
| |
| 5.39, lone_wolf (ok), 14:02, 30/08/2018 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Ты ж про центос там выше "скучал"? Мне казалось, что они из исходников всё пересобирают, а рхел исходники не сразу даёт. Я о них "плохо подумал"?
Совершенно верно про CentOS, и да из исходников, и да не сразу.
> Не rhel. а cantos твой. Так именно и делает, нет?
CentOS реально ожидает когда RHEL выпустит сорци, я это и не отрицаю. Вот привожу вашу цитату
> Ты хотел сказать, обидно, что редхет не выпустил следующий пойнт-релиз рхела, не подождал недкльку-другую, и выложил src.rpm
на основании которой и говорю что по вашей логике RHEL должен сидеть ждать с моря погоды а не выкатывать пусть и сначала для себя обновленный пакет с исправлением уязвимости. А CentOS этот пакет достанется дня через 3-4 + пусть 2-3 дня они его будут пересобирать и в общей сложности продет 6-7 дней. Да признаю я поспешил орать на перекрёстке ибо прошло всего лишь 5-6 дней.
> Федору не приплетай. Сказал "центос" -- полезай в кузовок.
А я и не отрицаю что я сказал CentOS. Внесу ясность почему я упомянул Fedora. Как известно очередная ветка RHEL базируется на релизе Fedora, и как следствие Fedora является в какой то степени "тестовым полигоном" для RHEL, хоть уже давно и стал самостоятельным и довольно таки стабильным дистрибутивом который некоторые используют для серверов, и довольно таки часто для десктопов. По моей логике RedHat для начала проверяет те или иные фичи на сообществе а потом уже пихает их корпоративным клиентам. (Всё выше сказанное мной это сугубо моё ИМХО и я его некому не навязываю, и да вполне возможно я не прав.)
| | |
|
|
|
|
| 1.50, Аноним (50), 04:32, 31/08/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Что плохого в подключении по паролю к root с 60-значным паролем? Например 82wH7BSVF5oEhVF8c9RvN7Gll2ycFZIorygBsmoSIfYclPTSLHqwmGoq8tPC
Это намного хуже подключения по ключу?
| | |
| |
| |
| 3.53, Аноним (50), 11:13, 31/08/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
Так что плохого-то? Кто сможет перебрать длюннющий пароль, тем более при включенном fail2ban?
| | |
| |
| 4.54, nox (??), 13:53, 03/09/2018 [^] [^^] [^^^] [ответить]
| +/– |
 Его не нужно перебирать, если у тебя на лэптопе завёлся кейлоггер или еще какая гадость. Конечно троян и ключ может увести, но поменять/ревокнуть ключ на 1000 серверов много проще, чем тоже самое с паролем (они же уникальные должны быть)
| | |
| |
| 5.57, 1 (??), 16:50, 05/09/2018 [^] [^^] [^^^] [ответить]
| +/– | |
>Конечно троян и ключ может увести
С железного ключа (например, Yubikey) - не сможет.
| | |
|
|
|
|
| 1.55, Аноним (55), 18:25, 03/09/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Воспользовался уязвимостью в OpenSSH и с уверенностью могу сказать пользователи существуют ;)
| | |
|
