Re: sudo ws root
Здравствуйте. On Thu, 18 Dec 2008 17:05:22 +0300 Artem Chuprina r...@ran.pp.ru wrote: DBA Именно поэтому после него идет аутентификация по PKI ;) Угу. А теперь подумай, что будет, если этот shared secret скомпрометирован (украли одну из машин, которая его знала). Правильно, ситуация становится эквивалентной ситуации его нет вообще на время, необходимое для доведения нового секрета до всех остальных машин _по альтернативному каналу связи_. Либо, если угроза проникновения с украденной машины выше, все остальные лишаются доступа на то же самое время. Согласен. Shared key - фактически лишь защита от флуда и от посторонних глаз, больше никак её рассматривать нельзя. И с этой задачей он справляется вполне неплохо. Я лишь предлагаю использовать openvpn для доступа к некой промежуточной сети, из-под которой уже можно входить на ssh серверов. Контролировать одну маленькую внутреннюю сеточку намного проще, чем весь интернет.. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
Здравствуйте. On Thu, 18 Dec 2008 22:08:08 +0300 Alexey Pechnikov pechni...@sandy.ru wrote: Я лишь предлагаю использовать openvpn для доступа к некой промежуточной сети, из-под которой уже можно входить на ssh серверов. Контролировать одну маленькую внутреннюю сеточку намного проще, чем весь интернет.. Э-э, не понял - вы рассматриваете абстрактную ситуацию, когда все сервера стоят в одном датацентре? Только в таком случае, напоминающем сферического коня в вакууме, не требуется независимая защита каждого сервера в отдельности. Примерно так: у каждого датацентра есть по своей внутренней управляющей сетке, только внутри которой разрешены ssh (и иные вещи типа telnet-ов на коммутаторы и Security is Not My Problem (SNMP), например). А в эту сетку уже пускает openvpn с (назовем её так) машины-файрвола. Хотя у меня немного не так - машина-файрвол через openvpn пускает меня в свою сетку, с которой пускает меня на _свой_ ssh (да, через ssh-agent), а оттуда я уже попадаю в управляющую сетку и захожу на необходимые мне сервера. И даже если так - чем не устраивает вариант с одним сервером с внешним ip, куда вы входите из интернет и идете дальше опять же через ssh? Как Витус подсказывает, ssh-agent вельми полезен при работе через промежуточный хост. Да. Но я думаю немного вперед - допустим, мой ssh-ключ сопрут.. За то время, пока я это замечу и успею подчистить authorized_keys на серверах, может оказаться, что мне нечего будет уже подчищать. Моя же схема может и тупа, но основная её цель - задержать и запутать атакующего и выиграть время. Еще один плюс - при таком количестве уровней практически невозможно осуществить атаку незаметно, так как каждый уровень логируется по удаленному syslog-у на (так скажем:)) сверх-защищенную машину вообще без ssh. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
Здравствуйте. On Thu, 18 Dec 2008 23:37:29 +0300 Alexey Pechnikov pechni...@sandy.ru wrote: Если у вас на одной машине и openvpn и openssh то вы тратите время на иллюзию защиты. Установив на одном сервере больше софта, вы теряете в управляемости и получаете больше уязвимостей. С теорией я знаком, а также знаком со статистикой, к чему слепое следование теории приводит.. Но тут это оффтопик. Кстати, эта машина у меня изначально считается скомпрометированной. Если сопрут, то к стыренному ключу еще надо пассфразу подобрать. Почему-то вы этот момент не учитываете. Я предполагаю худший вариант, когда завладели моей рабочей машиной, притом включённой, и достали ключ из запущенного ssh-agent-а... В конечном счёте почему-то получается, что слабейшее место в любой компьютерной системе - это человек со своим пресловутым фактором. Имхо ваша схема кроме запутанности для вас же не имеет других достоинств. У неё единственное достоинство - это неочевидность (конечно, в совокупности с некоторыми другими хитростями). В своей системе я все равно никогда не запутаюсь, ну а теоретики пусть себе головы ломают, в конце концов, это, может быть, их главное предназначение в жизни :) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
Здравствуйте. On Thu, 18 Dec 2008 23:33:41 +0300 Artem Chuprina r...@ran.pp.ru wrote: DBA Я лишь предлагаю использовать openvpn для доступа к некой DBA промежуточной сети, из-под которой уже можно входить на ssh DBA серверов. Контролировать одну маленькую внутреннюю сеточку DBA намного проще, чем весь интернет.. Надо только помнить, что маленькой сеточкой, а не всем интернетом в силу своей виртуальности она является лишь с некоторой вероятностью, отнюдь не равной 1... Само собой. Надо помнить, что любая защита, какая изощренная она ни была, есть лишь в лучшем случае стена в чистом поле, а то и и просто калитка... -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
On Wed, 17 Dec 2008 15:27:54 +0300 Artem Chuprina r...@ran.pp.ru wrote: DBA PS До сих пор еще встречаю идиотов, у которых ssh открыт на DBA весь мир :) У меня нет уверенности, что openvpn, открытый на весь мир, лучше... См. man openvpn на предмет tls-auth (плюс нестандартный UDP-порт и, конечно же, PKI - почти рай для параика:)) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
Здравствуйте. On Wed, 17 Dec 2008 19:10:24 +0300 Artem Chuprina r...@ran.pp.ru wrote: DBA PS До сих пор еще встречаю идиотов, у которых ssh открыт на DBA весь мир :) У меня нет уверенности, что openvpn, открытый на весь мир, лучше... DBA См. man openvpn на предмет tls-auth (плюс нестандартный DBA UDP-порт и, конечно же, PKI - почти рай для параика:)) tls-auth - shared secret. Это плохо. Конечно. Именно поэтому после него идет аутентификация по PKI ;) А без правильного shared key ответный openvpn-сервер просто дропает входяшие пакеты (можно и без записи в лог). -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
On Fri, 12 Dec 2008 13:45:22 +0300 Artem Chuprina r...@ran.pp.ru wrote: У openvpn, начнем с, есть принципиальные грабли в безопасности по сравнению с ssh. Обходить их можно, но очень геморройно получается. Они становятся заметны, когда разным VPN-клиентам нужно давать разный доступ. Хотя на своих задачах оно, конечно, удобно, в качестве замены ssh на задаче доступа для обеспечения бэкапа оно не годится. Ну почему же совсем не годится... Само по себе - соглашусь, а вот в совокупности с ssh как дополнительная прослойка, пускающая в некую промежуточную псевдопривилигированную сеть, откуда уж пускают на ssh - вполне себе ничего ;) Хотяб в плане логируемости... PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир :) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: sudo ws root
Здравствуйте. On Wed, 17 Dec 2008 12:38:19 +0200 Игорь Чумак i.chu...@generali.garant.ua wrote: PS До сих пор еще встречаю идиотов, у которых ssh открыт на весь мир :) И чем это им (идиотам) грозит? Минимум - постоянные посторонние записи в логах от ботов, пытающихся подобрать пароль на логины а-ля vanya (пусть даже и с sshguard, все равно анализировать такие логи на попытки несанкционированного доступа врядли будет делом приятным). Ну а воспалённый мозг параноика может многое придумать ;) Есть мнение, что системы безопасности должны строиться так, чтобы выложенный на свободный доступ расшифрованный /etc/shadow ничем никому помочь не мог.. А вообще, конечно, искренне прошу прощения за идиотов - каждый сам кузнец своего счастья. С уважением, Денис Афонин ООО Ивантеевские телекоммуникации -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Медленная загрузк а GRUB
С чем связано вот это утверждение про Reiser на boot? Grub или вообще не умеет, или умеет очень ограниченно реплаить журнал на райзере, так что после нечистого выключения системы можно с большой вероятностью нарваться на grub-овское сообщение Inconsistent file system с полной невозможностью загрузки системы (чтоб исправить, приходится грузиться с какого-нибудь rescue cd или usb).. Я как-то с этим делом намаялся вдоволь и теперь всегда делаю отдельный /boot на ext2 (и в RO) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: где xlock?
On Mon, 27 Oct 2008 12:21:39 +0500 Stanislav Vlasov [EMAIL PROTECTED] wrote: On Mon, Oct 27, 2008 at 10:15:48AM +0300, DX wrote: Вопрос простой: Чем в lenny предлагается блокировать x сессию, например из icewm? xscreensaver-command -lock Оно завязано с gtk2 и требует запуска демона xscreensaver... :( Я использую пакет xlockmore -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Простой учёт трафи ка: ipac-ng
On Wed, 22 Oct 2008 15:01:11 +0600 Бакиров Медер [EMAIL PROTECTED] wrote: почему бы не заюзать netflow, но с умом? То есть, использовать fprobe-ulog, коллектор из арсенала flow-tools, Это, так сказать, поделье знает лишь протоколы TCP, UDP и ICMP, а пакеты с другими протоколами просто молча скипает... ;`-((( Ни о каком серьезном применении тут разговор идти не может. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Простой учёт трафи ка: ipac-ng
On Wed, 22 Oct 2008 20:56:49 +0600 Бакиров Медер [EMAIL PROTECTED] wrote: On Wednesday 22 October 2008 16:10:11 Denis B. Afonin wrote: а пакеты с другими протоколами просто молча скипает... ;`-((( Неправда ваша. Да, неправ был, посыпаю голову пеплом.. Только что исходники посмотрел - не скипает. Но раньше скипал! Я смотрел исходники.. Видимо, исправили это когда-то, а я и не заметил.. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Защита в интернете .
On Tue, 3 Jun 2008 22:16:19 +0400 dr-evil [EMAIL PROTECTED] wrote: Пореккомендуйте программу в Debian'e которая может хорошо защищать от хакеров в сети... iptables -A INPUT -j REJECT во-во и пусть хоть усканятся iptables -A INPUT -j TARPIT ;) -- С уважением, Денис Б. Афонин. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Помогите настроит ь часы
On Tue, 03 Jun 2008 00:03:37 +0400 Юрий Илюшко [EMAIL PROTECTED] wrote: После загрузки системы, часы спешат на три часа. [skip] Часовой пояс: европа/рига Файл /etc/default/rcS, параметр UTC Почитать можно в man rcS -- С уважением, Денис Б. Афонин. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: синхронизация/зер калирование сайта rsync/lftp
On Wed, 28 May 2008 15:53:46 +0400 Andrey Nikitin [EMAIL PROTECTED] wrote: На вышеуказанном конце нет бинарника rsync. В этом-то вся и соль. А если кинуть его туда? :) Да хотя б и статиком слинкованного. -- С уважением, Денис Б. Афонин. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Мониторинг сервер ов. Чем бы?
On Fri, 21 Mar 2008 22:03:17 +0300 Mikhail A Antonov [EMAIL PROTECTED] wrote: P.S.: а еще очень удобно получать уведомления от серверов при отказах на мобильник ввиде SMS-сообщений. У нас стоит zabbix на выделенном сервере, и туда воткнут GSM-модем. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
