https://www.opennet.ru/openforum/vsluhforumID3/120528.html Разработчики мобильной платформы LineageOS, пришедшего на смену CyanogenMod, предупредили о выявлении следов взлома инфраструктуры проекта. Отмечается, что в 6 часов утра (MSK) 3 мая атакующему удалось получить доступ к основному серверу системы централизованного управления конфигурацией SaltStack через эксплуатацию неисправленной уязвимости. В настоящий момент идёт разбор инцидента и подробности пока недоступны. Сообщается только, что атака не затронула ключи для формирования цифровых подписей, систему сборки и исходные тексты платформы...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52872<br> https://www.opennet.ru/openforum/vsluhforumID3/120528.html#79 Sat, 16 May 2020 20:33:56 GMT Вам он может и не нужен, он в основном важен для больших количествах серверов в тысячах. <br> https://www.opennet.ru/openforum/vsluhforumID3/120528.html#78 Fri, 08 May 2020 14:27:45 GMT а, и правда, киснет (неудачное название дало пачку false positives и даже внутри самого шитхаба - а на собственно сайте автора, куда до сих пор смотрит ссылка с шитхаба - 404 без редиректа - видимо, ему стало стыдно), я с первого тыка живых ссылок не нашел, а дальше лень было.<br>Судя по тому что почти все правки десятилетней давности - можно не париться.<br><br>(я уже не помню деталей, что там не работало или работало не так как нам хотелось, но что-то мы его много патчили в свое время. К сожалению, те патчи сгинули вместе с лавкой.)<br><br>Скорее надо на clusterssh смотреть - он вроде живой, и, помнится, я на него уже где-то натыкался, но забыл за ненадобностию. А теперь под столом завелся настоящий кластер, и тюнить все вручную несколько осточертело.<br> https://www.opennet.ru/openforum/vsluhforumID3/120528.html#77 Fri, 08 May 2020 14:17:26 GMT &gt; Ну, хреновая организация конторы - это другая проблема.<br><br>ну ты продолжай, продолжай мантру - что это все конторы хреново организованные, вот у тебя-то - и что тебя не поломали именно потому что ты охрененно организованный, а не потому что неуловимый джо.<br><br>&gt; И я сказал что нужно И то И другое, а всякие ансиблы и папиды, лезущие в ссш от рута, в <br>&gt; интернете ну никак не нуждаются,<br><br>ну то есть продолжаешь накручивать костыли на подпорки, потому что слаще морковки не едал, и надеяться что чудо-вепеэн и сесехе тебя спасет?<br><br>Какое слово тебе непонятно в описанной мной схеме, когда в системе НЕТ вообще никакого места с ключами-от-всего - и она в нем совершенно не нуждается?<br>(теоретически ансибл так умеет, а для салт это основной рабочий вариант, но оба переусложнены и умеют много фатально-лишнего из-за необходимости угодить одновременно всем)<br><br> https://www.opennet.ru/openforum/vsluhforumID3/120528.html#76 Thu, 07 May 2020 18:00:18 GMT Ну, хреновая организация конторы - это другая проблема.<br>И я сказал что нужно И то И другое, а всякие ансиблы и папиды, лезущие в ссш от рута, в интернете ну никак не нуждаются, а узел, который их контролирует, тоже не в другом государстве находится. Ну, если вы вместо ансибла 200 индусов из аутсосинга не наняли, конечно )<br> https://www.opennet.ru/openforum/vsluhforumID3/120528.html#75 Thu, 07 May 2020 16:52:48 GMT в смысле удалил? автор все на гитхаб вынес, там оно и киснет.<br> https://www.opennet.ru/openforum/vsluhforumID3/120528.html#74 Thu, 07 May 2020 16:51:17 GMT и вовсе необязательно девжопсы.<br><br>тебя история с heartbleed в том числе во всемилюбимом openvpn не заставила ничего такого заподозрить-насторожиться?<br><br>И это пока ты один - а когда тебя станет человек десять из разных отделов - ты изумишься, если каким-то образом узнаешь, сколько они себе понаделали джампхостов и вебшеллов в обход твоего чудовепене.<br><br>"у одного моего друга" (там не сто, а, наверное, под полтысячи если не больше человек могущих порулить теми или иными частями энтерпрайзной помойки, как впрямую, так и косвенно, выкатив какие-нибудь изменения в обход стандартных процедур) вот слуцилась - так до сих пор понять не можем, кто и откуда. Понятно что кто-то то ли свой, то ли бывший свой, слишком много знал - но совершенно непонятно ни как попал, ни что делал, ни кто это был.<br><br>Правильная система управления (правильно) торчащая наружу - имеет _меньшую_ attack surface.<br>Потому что прикольно, наверное, продолбать доступ, позволяющий добавить или поменять роли десятку коробок, или, даже, в модных совр https://www.opennet.ru/openforum/vsluhforumID3/120528.html#73 Thu, 07 May 2020 14:03:53 GMT О, заминусовали, девжопсы )<br>У кого-то прогорело.<br> https://www.opennet.ru/openforum/vsluhforumID3/120528.html#72 Thu, 07 May 2020 13:17:59 GMT спасиб! похоже, второе и есть примерно то чем мы пользовались пятнадцать лет назад - правда, быстрое гугление приводит к неутешительному результату что уцелела только в солярисе - автор даже страницу проекта выпилил со своего сайта. (да и хрен с ним - без наших патчей оно было малопригодно, а я их не сохранил)<br><br>первая вроде бы живая.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/120528.html#71 Wed, 06 May 2020 16:54:43 GMT Хз я только ссш и доверяю =) Сколько лет уже серьезных дыр не было.<br>