https://www.opennet.ru/openforum/vsluhforumID3/110145.html В системе управления конфигурацией Ansible (https://www.ansible.com/) выявлена (https://www.computest.nl/advisories/CT-2017-0109_Ansible.txt) уязвимость (CVE-2016-9587 (https://security-tracker.debian.org/tracker/CVE-2016-9587)), позволяющая организовать выполнение команд на стороне управляющего сервера Ansible (Controller) через манипуляции на подчинённых хостах. Например, в случае компрометации одного из клиентских серверов, конфигурация которого настраивается через Ansible, атакующие могут получить доступ к управляющему серверу и через него ко всем остальным управляемым через Ansible хостам сети. <br><br><br><br>Проблема проявляется во всех выпусках Ansible и устранена (http://www.mail-archive.com/ansible-project@googlegroups.com/msg29406.html) в предварительных выпусках 2.1.4 и 2.2.1, которые пока имеют статус кандидатов в релизы. Исправление также доступно (https://github.com/ansible/ansible/commit/ec84ff6de6eca9224bf3f22b752bb8da806611ed) в виде патча. Уязвимость связана с возможностью применения в команде loo https://www.opennet.ru/openforum/vsluhforumID3/110145.html#56 Sat, 14 Jan 2017 20:57:18 GMT &gt; Правильный способ, если боишься компрометации бастиона - <br>&gt; ProxyJump или ProxyCommand: https://en.wikibooks.org/wiki/OpenSSH/Cookbook/Proxies_and_Jump_Hosts#Jump_Hosts_--_Passing_Through_a_Gateway_or_Two <br><br>Спасибо, хорошее описание, особенно начиная с https://en.wikibooks.org/wiki/OpenSSH/Cookbook/Proxies_and_Jump_Hosts#Passing_Through_One_or_More_Gateways_Using_ProxyJump (выше этого места описаны и небезопасные способы тоже). Добавил эту ссылку на Openwall wiki.<br> https://www.opennet.ru/openforum/vsluhforumID3/110145.html#55 Fri, 13 Jan 2017 07:41:35 GMT Это хреновый способ, т.к. надо вручную пробрасывать порты, что довольно геморно и люди на это забьют. Правильный способ, если боишься компрометации бастиона - ProxyJump или ProxyCommand: https://en.wikibooks.org/wiki/OpenSSH/Cookbook/Proxies_and_Jump_Hosts#Jump_Hosts_--_Passing_Through_a_Gateway_or_Two<br> https://www.opennet.ru/openforum/vsluhforumID3/110145.html#54 Fri, 13 Jan 2017 04:27:42 GMT А говорили питон безопаснее пхп. А оказалось одинаково.<br> https://www.opennet.ru/openforum/vsluhforumID3/110145.html#52 Fri, 13 Jan 2017 03:37:04 GMT &gt; Ну, огороднику виднее...<br><br>А что, садоводы уже вынесли у себя третий баш, чтобы над огородниками стебаться?<br><br> https://www.opennet.ru/openforum/vsluhforumID3/110145.html#49 Thu, 12 Jan 2017 21:53:54 GMT &gt; Впрочем огород на баше и ССШ будет с большой вероятностью ещё хуже. <br><br>Ну, огороднику виднее...<br> https://www.opennet.ru/openforum/vsluhforumID3/110145.html#48 Thu, 12 Jan 2017 20:58:21 GMT &gt; А каким ещё образом можно использовать бастион-хост?<br><br>Вот таким: http://openwall.info/wiki/internal/ssh#How-to-access-intranet-servers<br> https://www.opennet.ru/openforum/vsluhforumID3/110145.html#47 Thu, 12 Jan 2017 19:45:19 GMT Я бы не стал надеяться на то, что кто-то что-то не найдёт хоть на тысячной странице, хоть на десятитысячной. Искать всё равно будут &#8212; если будут &#8212; не вручную. А боту всё равно сколько страниц, он железный.<br> https://www.opennet.ru/openforum/vsluhforumID3/110145.html#46 Thu, 12 Jan 2017 19:41:43 GMT $ grep -i 'forwardagent.*yes' ~/.ssh/config &#124; wc -l<br>14<br><br>Приезжай в любое время и погибни меня, ламер.<br><br>Понабирали каких-то попугаев в админы и на опеннет комментировать отправили.<br> https://www.opennet.ru/openforum/vsluhforumID3/110145.html#43 Thu, 12 Jan 2017 18:42:14 GMT &gt; Даже если у вас левая админка на сайте доступна для всех у кого есть url (admin.site.zone/dgosidhygwut3oihgfwpeoriwpifpfs) то ожидать взлома можно только при индивидуальном подходе.<br><br>А потом однажды обнаруживается, что подобный суперсекретный путь проиндексировался Google... Знаем, проходили.<br>