https://opennet.ru/openforum/vsluhforumID3/115140.html Спустя менее недели с момента обнаружения прошлой проблемы (https://www.opennet.ru/opennews/art.shtml?num=49142) в OpenSSH, позволявшей удалённо определить существует ли пользователь с данным именем в системе, выявлена (http://openwall.com/lists/oss-security/2018/08/28/2) ещё одна аналогичная уязвимость (CVE-2018-15919 (https://security-tracker.debian.org/tracker/CVE-2018-15919)). Проблема присутствует с 2011 года и проявляется в том числе в несколько дней назад опубликованном выпуске OpenSSH 7.8.<br><br><br>Предложенный метод основан на различном поведении кода аутентификации на базе API GSS2 для существующих и не существующих пользователей. В частности, если пользователь не существует, то повторяющиеся попытки аутентификации приводят к обрыву соединения с возвратом ошибки "Too many authentication failures". Для существующих пользователей подобная ошибка не выводится.<br><br><br>Дополнительно можно отметить выявление (http://lists.ucc.gu.uwa.edu.au/pipermail/dropbear/2018q3/002108.html) возможности определения существова https://opennet.ru/openforum/vsluhforumID3/115140.html#57 Wed, 05 Sep 2018 13:50:34 GMT &gt;Конечно троян и ключ может увести<br><br>С железного ключа (например, Yubikey) - не сможет.<br> https://opennet.ru/openforum/vsluhforumID3/115140.html#56 Tue, 04 Sep 2018 08:00:17 GMT &gt;пользователи существуют <br>&gt; ;) <br><br>Тс-с-с! Не пали главную Уязвимость.<br> https://opennet.ru/openforum/vsluhforumID3/115140.html#55 Mon, 03 Sep 2018 15:25:04 GMT Воспользовался уязвимостью в OpenSSH и с уверенностью могу сказать пользователи существуют ;)<br> https://opennet.ru/openforum/vsluhforumID3/115140.html#54 Mon, 03 Sep 2018 10:53:59 GMT Его не нужно перебирать, если у тебя на лэптопе завёлся кейлоггер или еще какая гадость. Конечно троян и ключ может увести, но поменять/ревокнуть ключ на 1000 серверов много проще, чем тоже самое с паролем (они же уникальные должны быть)<br> https://opennet.ru/openforum/vsluhforumID3/115140.html#53 Fri, 31 Aug 2018 08:13:55 GMT Так что плохого-то? Кто сможет перебрать длюннющий пароль, тем более при включенном fail2ban?<br> https://opennet.ru/openforum/vsluhforumID3/115140.html#52 Fri, 31 Aug 2018 07:01:09 GMT да<br> https://opennet.ru/openforum/vsluhforumID3/115140.html#51 Fri, 31 Aug 2018 04:11:50 GMT Всё верно сказал. Я как-то почти наступил на эти грабли и осознав последствия хожу по случайному паролю из 20 символов.<br> Ключ удобен если скрипту надо лазить на другой хост периодически.<br> https://opennet.ru/openforum/vsluhforumID3/115140.html#50 Fri, 31 Aug 2018 01:32:56 GMT Что плохого в подключении по паролю к root с 60-значным паролем? Например 82wH7BSVF5oEhVF8c9RvN7Gll2ycFZIorygBsmoSIfYclPTSLHqwmGoq8tPC<br>Это намного хуже подключения по ключу?<br> https://opennet.ru/openforum/vsluhforumID3/115140.html#49 Thu, 30 Aug 2018 15:52:30 GMT За копию приватного ключа нужно бить по роже. На каждом девайсе должен быть свой ключ чья публичная часть должна быть на сервере.<br>