Исследователь безопасности Giovanni Collazo опубликовал (https://elweb.co/the-security-footgun-in-etcd/) результат анализа некорректно настроенных распределённых хранилищ etcd (https://www.opennet.ru/opennews/art.shtml?num=48024), принимающих запросы из внешней сети без аутентификации. При помощи поисковой системы Shodan было выявлено (https://www.shodan.io/search?query=etcd) 2284 общедоступных сервера etcd, отправив запросы на 1485 из которых удалось загрузить около 750 Мб данных.
Для получения данных использовался рекурсивный запрос всех ключей ("GET http://host:2379/v2/keys/?recursive=true"). в ходе изучения извлечённых данных было выявлено 8781 паролей, 650 ключей доступа к окружениям Amazon AWS, 23 секретных ключа и 8 закрытых ключей. Etcd обычно используется как хранилище конфигурации для групп серверов, изолированных контейнеров с типовой начинкой и как хранилище параметров в кластерах Kubernetes. Судя по связанным с полученными параметрами аутентификации ключам они применялись для доступа к различным серверам, системам управления контентом, СУБД MySQL и PostgreSQL.
Администраторам etcd рекомендуется проверить свои системы на предмет должной изоляции межсетевым экраном и включения доступа с применением аутентификации (https://github.com/coreos/etcd/blob/master/Documentation/op-...) (до версии 2.1 etcd не поддерживал аутентификацию, а в более новых выпусках для обеспечения обратной совместимости в настройках по умолчанию аутентификация отключена). Общедоступные серверы etcd представляют угрозу не только как источник утечки паролей к другим серверам и сервисам, но и как объект для вандализма и применения вредоносных шифровальщиков, которые в своё время активно атаковали незащищённые MongoDB, CouchDB, Hadoop и ElasticSearch (https://www.opennet.ru/opennews/art.shtml?num=45903).URL: https://elweb.co/the-security-footgun-in-etcd/
Новость: https://www.opennet.ru/opennews/art.shtml?num=48329
Мораль такова, надо нормально настраивать конфиги демонов.
А ещё лучше обкатывать каждый .+ конфиг через каждый эксплоит-тест.
А ЕЩЁ лучше не использовать etcd на критических объектах.
> А ЕЩЁ лучше не использовать etcd на критических объектах.Внезапный вывод. Может поделишься с менее смышлёными, чем же так плох etcd на «критических объектах»?
> чем же так плох etcd на «критических объектах»?Тем, что до версии 2.1 etcd не поддерживал аутентификацию, а в более новых выпусках для обеспечения обратной совместимости в настройках по умолчанию аутентификация отключена.
Практически наверняка есть ещё какие-то проблемы, не с безопасностью, так с надёжностью.
Теперь вы попросите ткнуть вас носом в эти проблемы, чтобы убедиться, что я не пустомеля.
В ответ я пробормочу что-то невнятное. Возможно, честно признаюсь, что об etcd слышу исключительно из новостей типа этой. Возможно, скажу, что всё современное хипстерское, коим является и etcd, вообще не ориентировано ни на стабильность, ни на безопасность, а рассчитано лишь на пересоздание с нуля виртуалки в случае любых проблем.
Объясню, что по финансовым/политическим/маркетинговым причинам авторам надо быстрее и больше, а потому в таком софте априори отсутствуют особенности систем (безопасность, надёжность, отлаженность), требующие при разработке длительного погружения в какой-то аспект (анализ, продумывание, изучение вариантов, хотя бы минимальное изучение предметной области) без достижения видимого для инвестора результата (функционала, который можно потыкать).
Вы, конечно, на эти оправдания не поведётесь и будете правы: ведь раз на ошибку вам не могу указать я, значит её и вовсе нет.
Через какое-то время (от нескольких месяцев до пары лет) появится похожая новость об уязвимости.
Вы опять напишите традиционное "не бывает софта без глупых ошибок" и пойдёте пересоздавать образы виртуалок.
Кто-то на форуме вам напишет, что ЭТО не предназначено для использования в продакшне и делать этого не стоит.
И всё повторится заново.
Полно протаколов не поддерживающих аудантифирацию и шифрование и что?
Если очень надо из интернета соединяться можно ssh тунель делать
> Полно протаколов не поддерживающих аудантифирацию и шифрование и что?Вы заставляете мои глаза кровоточить.
etcd — специализированное хранилище. Его в основном используют для взаимодействия микросервисов внутри облачной среды. При нормальном использовании, оно не должно торчать наружу. Именно в нем, зачастую, хранятся параметры для аутентификации в других сервисах (что, в общем-то, и показало исследование).По хорошему, если защитить etcd, то придется хранить пароль/ключи на каждой ноде. Из-за этого это будет никогда не меняемый пароль, который будут руками забивать в каждый образ. Секьюрности от такого решения не особо прибавится, а гемморой вырастет.
Именно по этому никто не выставляет etcd наружу и именно поэтому долгого времени в нём в принципе не было аутентификации. Проблемы с серверами из текущего исследования в ошибках конфигурации сети. Даже в статье написано о том, что нужно использовать фаервол, а не паролить etcd.
> будет никогда не меняемый пароль, который будут руками забивать в каждый образPuppet/Ansible/Chef/Saltstack...
А плейбуки с паролями будут на гитхабе лежать?
А плейбуки умеют генерить пароли.
Пересобирать весь кластер ежемесячно ради смены пароля?
Или использовать лдап и цербера
“Vault” is a feature of ansible that allows keeping sensitive data such as passwords or keys in encrypted files, rather than as plaintext in your playbooks or roles. These vault files can then be distributed or placed in source control.
> Его в основном используют для взаимодействия микросервисов внутри облачной среды.в этом месте обычно поднимают табличку BULLSHIT!
(три слова совпали,ага)> По хорошему, если защитить etcd, то придется хранить пароль/ключи на каждой ноде.
поскольку это микросервисы и по ним никто не лазит, ибо некуда (а при взломе сервиса у тебя проблема посерьезнее etcd), да и живут недолго - в общем-то, это значительно безопаснее, чем не иметь их вообще. А если серьезно - отсутствие аутентификации на запись (зачем она микросервису вообще сдалась?) в сервере конфигураций(!) - это, простите, п-ц в головах.
но чем дальше ухожу от тех ребят, которые на моих глазах строили сервисные архитектуры во времена, когда инструментов для убогих еще в помине не было (даже ansible не было - а автоматическая настройка прода у нас - была, и нет, при проломе продовской машины ты не мог вжух и поперезаписывать конфиги других машин, такого маразма нам и в голову бы не пришло соорудить), тем больше понимаю, что времена адекватных девопов давно прошли и времена адекватного софта тоже.
В hashicorp эту проблему помешали, но красношляпа такая шляпа
Ничего этого не будет. Я просто посмеюсь с очередного дурачка, списавшего удобный инструмент потому, что ему там жупел в виде каких-то хипстеров померещился.
> Внезапный вывод.Это не внезапный выход, а перенос "Театра безопасности" в компьютерную сферу.
На фоне недавних событий определение "Театр безопасности" так и остается театром. То что я написал это вредно для действия, а не как руководство сделать себе инфраструктуру безопаснее в угоду юзабильности.А те негативные комментарии оставленные ниже это комментарии тех людей которые восприняли моё сообщение буквально плюсом люди поставившие минуса тоже восприняли сообщение буквально, а не как вредный совет.
мораль такова. Нужно включить фаервол на блокирование всех входящих соединений кроме нескольких нужных.
Причём этой морали лет 20 уже как минимум. А дле некоторых оно до сих пор не очевидно почему-то
Это понятно. Но куча серверного софта становится не нужна при таком раскладе. Тот же мускуль. Нафиг ему сервер, когда его уже никто в здравом уме наружу не выставляет?
Не знаю как 20, но 10 лет назад это было не особо нужно на линуксе, так как хипстеры еще не пришли в IT и не наделали всяких nosql БД без аутентификации.
Нужно было всегда, и 10 лет тому, и 20, и 500. До идеи «кого надо пущать, остальных не пущать» додумались ещё задолго до этих наших интренетов. Но до админов локалхостов и ланчиков на 10 пользователей начало доходить только когда «хипстеры пришли в IT», а влияние эффекта неуловимого Джо сильно уменьшилось.
Попробуй обосновать. Или ты привык следовать догмам, а не пользоваться мозгом?
Практика показывает, что открытый фаервол можно даже сейчас использовать, если на серверах нет модно-молодежных сервисов. И оно работает без взломов, годами, на сотнях серверов по всему миру.
> мораль такова. Нужно включить фаервол на блокирование всех входящих соединенийеще лет через двадцать ты поймешь, что и исходящих тоже.
etcd supports SSL/TLS as well as authentication through client certificates, both for clients to server as well as peer (server to server / cluster) communication.
>Исследователь безопасности Giovanni Collazo опубликовал результатОн русские сервра проанализировал? Давайте пригласим на семинар.
Статья 272 УК РФ. Неправомерный доступ к компьютерной информации (действующая редакция)
1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло копирование компьютерной информации, -
наказывается штрафом в размере до двухсот тысяч рублей или ограничением свободы на срок до двух лет.2. То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности, (напр за зарплату)-
наказывается штрафом в размере до трехсот тысяч рублей либо лишением свободы на срок до четырех лет.3. Деяния, предусмотренные частями первой или второй настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, -
наказываются штрафом в размере до пятисот тысяч рублей либо лишением свободы на срок до пяти лет.4. Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, -
наказываются лишением свободы на срок до семи лет.
Примечания. 1. Под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.
2. Крупным ущербом в статьях настоящей главы признается ущерб, сумма которого превышает один миллион рублей.
3. Угроза наступления последствий - публикация результатов неправомерного доступа.
>Администраторам etcd рекомендуется проверить свои системы на предметКак хочу, так и храню.
Кхм, какой коллекционный экземпляр. И что ж такое админишь, родимый, что взбеленился? Обидно, что носом ткнули в твою же дурость?
Таков типичный девопс
Тогда нечего удивляться. Новомодные хипстеры-девопсы это такие мартышки, которые только и умеют, что плодить виртуалки-клоны, управляя ими через оркестровки. А в случае проблемы у них одно решение, удалить и накатать по-новой образ.
удалить и накатать образ стоит 15 минут и 2 бакса на админа,
разобраться что же не так - потребует 2 часа и дорогого админа.Сами же понимаете что лучше для бизнеса ?
> Сами же понимаете что лучше для бизнеса ?угу, а когда залетевший дятел все это разрушит - бизнес объявляет банкротство. двухбаксовые девопы немедленно находят новый такой же, инвестор "фиксирует убытки" (и не платит налогов, так что он в общем ничего и не потерял), эффективные менеджеры улетают на золотом парашутике, вернуться не обещают, но обязательно где-нибудь приземляются.
Через пару месяцев про этот "бизнес" никто не вспомнит. А банкротство - это часть рабочего процесса. И никакие 5-10 килобаксовые девопсы это не изменят.
Ну я вот более вменяемых вижу. А здесь карикатура какая-то
Это он намекает на то, что исследователь безопасности у нас рискует присесть. Поэтому и чесаться, будучи админом, не имеет смысла.
>... исследователь безопасности у нас рискует присесть.Ну не присесть, но объяснительную напишешь :)
Лет 10 назад может быть. Сейчас уже не уверен.
Есть разница, исследовать безопасность по заказу владельца инфраструктуры ИЛИ по собственной инициативе имея целью личную выгоду.Если у Giovanni Collazo со всем 2284 владельцами серверов etcd есть договора предусматривающие публикацию в свободном доступе результатов исследования объектов относящихся к внутренней инфраструктуре, тогда у меня нет вопросов.
Если у него нет таких договоров, то очень СОМНИТЕЛЬНО выглядит его публикация.
Вместо того, чтобы напрямую связаться с владельцами плохо сконфигурированных систем и предупредить (а за деньги помочь конкретным советом) сей персонаж открыто публикует результаты. зарабатывает себе деньги/репу неправомерным доступом к информации.В оригинальной статье от March 16, 2018 нет ни слова о попытках свзаться с владельцами или админами, но зато есть любезно представленный всяким туповатым безответственным школьникам-хулиганам пример поискового запроса.
>>Исследователь безопасности Giovanni Collazo опубликовал результат
> Он русские сервра проанализировал? Давайте пригласим на семинар.Поэтому надо оставаться анонимом. Слишком много сброда всякого кругом.
> копирования не былоКагбэ, именно что было: "рекурсивный запрос всех ключей ("GET http://..."
Запрос ключей чтобы посчитать статистику.
Лучшая защита хранилища данных - запрет начальства доступаться к хранилищу не имеющим нарочитого предписания, за неисполнение коего запрета долженствует быть применена к неисполнившему кара уголовная.А мы-то тут, простаки, файерволы налаживаем, шифрование поднимаем... Где ж ты раньше был? Это ж революция в IT!
> Лучшая защита хранилища данных - запрет начальства доступаться к хранилищу не имеющим
> нарочитого предписания, за неисполнение коего запрета долженствует быть применена к неисполнившему
> кара уголовная.Ты прям Америку переоткрыл. Статей уголовных вагон. Поэтому любая деятельность, связанная с исследованием безопасности, чревата рисками. И не только в этой стране. Новость пробегала несколько лет назад https://habrahabr.ru/post/166459/ Я фигею, какая у людей короткая память.
А можно как-нибиудь на тянуть в наш инженерно-технический мир все это гуманитарное дерьмо под названием закон и власть? Это же наиотвратительнейшая сущность созданная человеком для регулирования процессов. Нормально это не функционирует и в таком виде работать это нормально не будет никогда.> "Студент получил 2,5 года колонии за экстремизм в дипломной работе об экстремизме"
> https://echo.msk.ru/news/2146678-echo.html
если хотите разобраться ищите "яхве против баала". как осилите копайте дальше. всё не так просто как малюют уже 6 тыс. лет.
...когда вместо мануалов по сетевым протоколам курил протоколы сионских мудрецов facepalm.jpg
Какая есть. Никто же не виноват, что людишки не могут без регулирования.
да да да
Я так думаю!
может, появились какие-то надежные средства у "крыши"? не может же быть человеку всё равно ушли данные или нет.
> А мы-то тут, простаки, файерволы налаживаем, шифрование поднимаем... Где ж ты раньше был? Это ж революция в IT!Тычо. Это щаз не модно, и без смузи. Контейнерчик в докере запилил - и хорошо.
Простите, вы когда уходите, дом не запираете? Если запираете, то почему?
> Простите, вы когда уходите, дом не запираете? Если запираете, то почему?иначе ты можешь нечаянно зайти, исключительно в целях сбора статистики о моих вещах и нычках, и тебя съест моя собачка. А вот это - в нашей дурацкой стране уголовно наказуемо, даже если на двери висит табличка.
> Простите, вы когда уходите, дом не запираете? Если запираете, то почему?Начнём, с того, что домушники стимулируют людишек хранить деньги в банках. Поэтому вполне может случиться, что сферический домушник, зашедший в открытую дверь, рискует гораздо меньше мамкиного хакера, который залез в админку по дефолтному паролю.
а майнить через etcd можно? говорят, сейчас только ради этого и ломают сервера.
> а майнить через etcd можно? говорят, сейчас только ради этого и ломают
> сервера.вы никуда не годный хипстер, не видать вам халявных монерок. Через etcd нужно раздать задания на майнинг по всей ферме.
(уж что-нибудь, умеющее exec, среди мусорных конфигов найдется)
имхо, если придумать любую ошибку конфигурации, а потом просканировать 0.0.0.0/0 на её наличие, всегда можно найти тысячи хостов, где эта ошибка имеет место.
Жесть блин. Все вот эти вот монго-редисы-этцды - это ж стильно-модный-молодёжный девопс. Таки лучше переесть, чем недоспать.
Новость! срочно в номер! Если приехать на парковку у супермаркета и оставить машину с незакрытым окном и пойти часа на 3 за покупками, то по возвращению скорее всего из салона пропадет барсетка и все остальное ценное... а то и сама машина.
Если выставить сервис без авторизации голой жопой в интернет, то его найдут и так или иначе попользуют.. Если там лежат деньги^W логины пароли, то их сможет прочитать любой желающий..И да, процентов 80 народу чтото творящего в интернетах этого не понимает, а еще и обижается, что "работать мешают", на попытку обрезать доступы.. Это ни новость ни разу..
В основном ругаются потому что доступы режут совершенно невменяемо и не предоставляют при этом каких-то осмысленных способов решать текущие задачи. Админ или security officer, пытающийся закрыть всё и пофиг, как дальше работать ничем не лучше идиота, открывающего всё в мир.
угу, в результате - по джампхосту на каждой кастрюле, имеющей внешний интерфейс (потому что работать-то надо), половина - осталась на память от давно уволившихся сотрудников, и о них вообще никто не знает. (обновления, что характерно, ставились пять лет назад)А когда того уберсекьюрити админа спрашивают "что за херня вот прямо сейчас происходит" - выясняется, что у него ни логов, ни умения.
ничем не лучше девопа, у которого все настежь, потому что "я контейнер развернул" (а контейнера с файрволлом ему почему-то не завозят)
> Новость! срочно в номер!дружище, новость-то не об этом.
> Если приехать на парковку у супермаркета и оставить
> машину с незакрытым окном и пойти часа на 3 за покупками,если бы все так делали, я бы давно на работу не ходил.
> Это ни новость ни разу..
тут новость ровно в том, что "а вон у того супермаркета- полная парковка таких лохов".
P.S. на самом деле в какой-нибудь Норвегии вполне народ и ключи в замке оставляет. Но ты если там будешь, сперва по сторонам оглядись - если рядом стоит еще одна грязная тачка с русскими или польскими номерами, или вокруг бродят ниггеры - то не будь таким лохом.
(их ловят, и отправляют коленом под зад обратно в родные бантустаны, но помогает плохо)
Оо, жаркий спор ansible-docker хомячков. Лол.
А что не так с ansible?
То что каждый сервер должен быть конфигурирован вручную, и пропущен через цыпочку валидаций и проверок безопасности.
Ansible это инструмент, как нож или топор. Если его использует умный человек, то сплошная польза. Но в руках дурака он опасен для него самого и окружающих.
Дураки используют чужие плейбуки и докерфайлы, получая неизвестно что. Умные создают свои. И в этом случае один сервер настраивается тщательно и вручную, может быть даже на протяжении нескольких дней, а вот потом его копии создаются быстро в любом количестве. И это куда лучше, чем вручную создать за то же время десять однотипных серверов, в половине из них упустив какие-то важные действия и не доведя до нужной кондиции ни один.
> Дураки используют чужие плейбуки и докерфайлы, получая неизвестно что. Умные создают свои.умным не нужен ansible - они создают свой. Заточенный строго под их задачи.
И это быстрее, чем разбираться в существующих нагромождениях на уровне, большем, чем чтобы использовать чужие/наспех поправленные конфиги (а потом больно стукнуться об ограничения модели и все равно начать колхозить).
> И это куда лучше, чем вручную создать за то же время десять однотипных серверов
> в половине из них упустив какие-то важные действияansible позволяет растиражировать упущенные действия на все десять, а то и все пять тысяч, ага. Быстро, очень быстро.
для того и брали.
P.S. к тому же для цели растиражировать просто свежеустановленный сервер никакой ansible даром не нужен - все вменяемые дистрибутивы умеют автоустановку с заданными параметрами. Он или что-то другое становится нужным, когда серверов уже сотни, и на них что-то надо _поменять_.
Причем без гарантии, что поменять надо одинаково.
Согласен. Если нужно настроить новые сервера с одинаковой конфигурацие можно воспользоваться автоустановкой, для существующих нужно все менять в ручную с полной проверкой на каждом сервере.Если твой ansible хост скомпрометирован, можно смело сжигать сервера. Если ты конечно не «я у мамы хакер localhost’а».
(Тоже с puppet, и cheff и salt и т.п и т.д)
"Как заданием об изменении одной строки на тысяче серверов обеспечить мамкиному админу работу на год".Кроме мартышкиного ручного "труда" и создания видимости работы наши бородатые админы ничего и не умеют. За что и были закономерно выброшены на обочину рынка.
> "Как заданием об изменении одной строки на тысяче серверов обеспечить мамкиному админу
> работу на год".
> Кроме мартышкиного ручного "труда" и создания видимости работы наши бородатые админы ничего
> и не умеют. За что и были закономерно выброшены на обочину
> рынка.только почему-то зовут именно их оттуда, когда девопсики обосpались и "щас контейнер перезалью" уже не помогает, ибо оно снова начинает майнить монетки спустя несколько минут :-)
не, этих не зовут :)
нафиг они нужны если ansible не знают?
пусть продолжают локалхосты админить.
ansible -это такой, своеобразный (ну.. какой есть) аналог групповых политик от домена активдиректори.
вы не понимаете зачем нужен ансибл? зачем нужны групповые политики? рассуждаете о компрометации контроллера домена?Претензии которые вы высказываете - смехотворны.
Я еще раз повторю ранее высказанную кем -то мысль:
"сначала я думал что это троли, но потом понял [с ужасом] что они всерьез."
Я по большей части троил. Но если серьезно то автомацией не все проблемы решаются.
Наши крап-о-аднины юзают puppet, все началось очень даже хорошо - общие шаблончики, а закончилось тем что оказывается на каждую пару а то и индивидуальный сервер нужны свои поправки, так и получаеться что на сервер ходи и правь сам или ставь процесс от рута чтобы делать за тебя. Мне как бы было бы пох если бы не infosec, иметь процессы которые работают от root и послушно выполняет все поручения, меня пугают.
> так и получаеться что на сервер
> ходи и правь самЕжели юзать конфигманагер, то ВСЕ изменения должны выполняться плейбуками/манифестами/как-их-там и ни в коем случае не ручками на хостах.
Ты в любое время должен поднять нулёвый инстанс, накатить на него конфиг и получить конечный рабочий экземпляр. Автоматом, без всяких ручек.
> для существующих нужно все менять в ручную с полной проверкой на каждом сервере.Разве что если тебе платят почасово, совести не хватает, чтобы отказаться от развода заказчика на бабки, а ума на применение эффективного решения с последующим указанием времени неэффективного.
> Если твой ansible хост скомпрометирован, можно смело сжигать сервера.
Даю хинт, ansible можно юзать с любой машины. Он не требует выделенного сервера как "puppet, и cheff и salt и т.п и т.д)"
Ну и при компрометации гейта или машины админа придется это делать в любом случае, даже если там не было ansible. Вот только с ansible переустановка займет значительно меньше времени.
> умным не нужен ansible - они создают свой. Заточенный строго под их задачи.И это тоже. Но только если задачу действительно неудобно решать имеющимися инструментами.
> ansible позволяет растиражировать упущенные действия на все десять, а то и все пять тысяч, ага. Быстро, очень быстро.
И точно также быстро их исправить. Причем исправлять надо будет везде одинаково и найти проблемное место легко, а при ручной работе на каждом сервере могут быть разные ошибки и их поиск будет тем еще квестом.
> к тому же для цели растиражировать просто свежеустановленный сервер никакой ansible даром не нужен - все вменяемые дистрибутивы умеют автоустановку с заданными параметрами.
Во-первых, это больше возни. Во-вторых, значительная часть хостеров дает выбор из имеющихся у них образов, а не возможность проинсталлить свой.
> Он или что-то другое становится нужным, когда серверов уже сотни, и на них что-то надо _поменять_.
Или применить композицию. Или разбиение задач на "кубики" и сборка из них это слишком по-программерски для тру админов?
Как раз для регулярных изменений лучше использовать не ansible, а свой инструмент.