Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL: 13.3, 12.7, 11.12, 10.17 и 9.6.22. Обновления для ветки 9.6 будут формироваться до ноября 2021 года, 10 - до ноября 2022 года, 11 - до ноября 2023 года, 12 - до ноября 2024 года, 13 до ноября 2025 года. В новых выпусках устранены три уязвимости и исправлены накопившиеся ошибки...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55148
Дважды наблюдал как пробивали за короткий срок постгрес выставленный опой наружу в инет с последующим заражением убунты. Навешивали майнер + брутфорс паролей по ссш на другие машины в подсети.
Надеюсь на третий раз ты все-таки смог настроить фаервол?
Эксперт на линии?
На что ты там надеешся сугубо твои проблемы.
Я надеюсь (наверное, напрасно), что люди учатся на своих ошибках. Но нет, человечество продолжает не разочаровывать в своей тупости.
Понимаю, ты тут один умный из всего человечества.
Продолжай надеятся и разочаровыватся, это самое важное.
> Понимаю, ты тут один умный из всего человечества.Верно подмечено, смелый юнлинг, видно в ваших академиях не только риторике учат, но и иногда заставляют голову включать!
1) надеюсь, это не Вы додумались выставлять зады банных в сеть, так-то это и двадцать лет назад было плоской шуткой;
2) http://tsya.ru;
3) обратите, пожалуйста, внимание на правила форума: http://wiki.opennet.ru/ForumHelp -- незачем отгавкиваться, когда человек вообще-то по существу пишет (и вдруг кому-то это ещё пригодится намотать на ус, научившись заранее на чужих шишках).PS: #22 почитал, это стоило сразу сказать во избежание вот этого всего.
Апщем-то даже в мускуле стандартная схема это подключение к бд внутри ssh.ssh по сертификату (ну или с паролем но на нестандартном порту и с port knocking)
А. Аршавин, залогиньтесь
А не подскажете настройку файрвола, которая отличает нормального клиента от хакера?
iptables -F
iptables -A INPUT -p 22 --src $TRUST_NETWORK -j ACCEPT
iptables -A INPUT -p 5432 --src $POSTGRES_CLIENT -j ACCEPT
iptables -P INPUT DENY
А нахрена позволять цепляться к Постгресу из инета вообще кому-либо? Для своих доступ через VPN только.
Удорожает. Уходят деньги на людей для саппорта. Дешевле схалтурить и выставить голым портом в интернет. Но может быть важно успеть уволиться, пока поймут что сделал для проекта. Не всегда можно успеть.
TLS/SSL настроить проще чем VPN и работает лучше.
вроде iptables устарел, теперь надо nftables юзать
как-то такflush ruleset
table inet filter {
type filter hook input priority 0; policy drop;
iif ${TRUST_NETWORK} tcp dport 22 accept;
iif ${$POSTGRES_CLIENT} tcp dport 5432 accept;
}
> А не подскажете настройку файрвола"все пропускать во всех направлениях".
фаерволлы снижают производительность сети.> отличает нормального клиента от хакера?
туннель с проверкой сертификата (или контрольной суммы ключа)
с 0.0.0.0 на 127.0.0.1, на котором и принимает соединения дырософт.
подразумевается что хаксор ключа не имеет, а нормальный клиент - имеет.
Пароль не пробовал нормальный придумать для суперюзера или доступ ему закрыть из внешней сети?
Не пробовал не писать тупые комменты?
Какой вброс такие и комментарии.
Ваша претензия к PostgreSQL ничем не менее весомая, как претензия к админу(это же 100% не Вы, а Ваш знакомый?;-), который позволил такое. Даже если учесть, что сервис безопасен, почему не сделать в дополнение к этому ещё одну ступень езопасности, как фаервол, как писали коллеги выше.
Автор исходной кулстори явно забыл указать "мелкие подробности", в числе которых практически наверняка имели место:
- бубунта искаропки с дефолтными настройками
- слоник аналогично, и наверняка ещё докидали учёток с админскими правами уже в нём
- слоник не менее наверняка крутился под рутом
В общем, типовой такой васяно-одминский локалхост.
А ну да, про файрвол уже тоже намекнули ему, а заодно про саму идею достуна к слонику откуда-то из инета без vpn-а.
Не, дефолтная постгря на дефолтной Ubuntu не будет светить голой жопой в интернеты
То есть там была сознательная настройка на вывешивание беспарольной Постгри в инет с доступом для любых адресов
Постгря была с сильным паролем, вывешивание опой наружу было осознанным на короткий срок с пониманием последствий.
Можешь сам создать хонейпот и посмотреть, что будет.
Остановите поток своих фантазий, уважаемые анонимы, они бесплодны.
Если интересуют детали, то можно было напрямую задать вопрос.
> Автор исходной кулстори явно забыл указать "мелкие подробности", в числе которых практически
> наверняка имели место:
> - бубунта искаропки с дефолтными настройками
> - слоник аналогично, и наверняка ещё докидали учёток с админскими правами уже
> в нём
> - слоник не менее наверняка крутился под рутом
> В общем, типовой такой васяно-одминский локалхост.
> А ну да, про файрвол уже тоже намекнули ему, а заодно про
> саму идею достуна к слонику откуда-то из инета без vpn-а.Т.е. Слоник-то аки дуршлаг... Без уличной магии пробить как неча делать. КОли уж так.
Это не хост васяно-админский, это Слоник лохова-то сделан.
Где ты увидел вброс и претензию?
Зачем ты додумываешь то, чего нет и быть не могло, а потом на свои фантазии пишешь комменты?
Мне интесно было бы узнать подробности (я не тролю или что-то такое).
Скажите пожалуйста - а были ли там настроены ограничени доступа по IP в hba.conf?
С ограничениями новомодное веб-приложение не работало, забили по-быстренькому 0.0.0.0 all.
Ответ очередного фантазера на свои фантазии.
Забыл про вебмакак написать, они еще в тренде.
Добра. Посмотри мой ответ на 7.22.
Проблема в том что ты врёшь.
Интересно как дела с марией обстоят в этом плане
> Интересно как дела с марией обстоят в этом планеВ MariaDB есть прекраснейший параметр skip-networking, который вообще отрубает слушателя от сети, разрешая работать только через socket.
> Устранение некорректных вычисленийМда... Вот так пишешь аппликуху, всё по мануалу, а оно фигню выдаёт. По десять раз каждую скобку в своём коде выверил, все сроки сорвал, деньги потерял, репутацию рукожопа поимел, а оно потом вон оно как оказывается.
У меня не с сабжем, у меня с другой софтиной было. Но тех, кто наступил - очень хорошо понимаю и им сочувствую.
>> Устранение некорректных вычислений
> Мда... Вот так пишешь аппликуху, всё по мануалу, а оно фигню выдаёт.
> По десять раз каждую скобку в своём коде выверил, все сроки
> сорвал, деньги потерял, репутацию рукожопа поимел, а оно потом вон оно
> как оказывается.
> У меня не с сабжем, у меня с другой софтиной было. Но
> тех, кто наступил - очень хорошо понимаю и им сочувствую.Типа того. Иногда случается с разным софтом.
Бывает можно вовремя уверенно сказать: а у Вас вон там неясное бесперспективное сбоилово - выбрасываем или терпим с таким диагнозом.
Епеой смысл верить мануалу, если в отладчике видно что не так? Дальше обычно нужно разобраться, почему. Иногда это баг, иногда недокументированная особенность. Ничего ужасного для процесса разработки.
Я имею в виду, что это за разработка без отладки. Даже если проблема в твоём коде, ты её гораздо быстрее найдёшь когда у тебя уже есть баг. Лучше всего расценивать весь код как твой конечно, но это не всегда возможно. Если это не на проде, то всё вообще прекрасно. На проде надо всего лишь срочно накостылять хоть что-то и никакие сроки не будут сорваны.
Нефиг пилить по мануалам. Мануалы-это кто-то что-то там начиркал, очень часто это вообще левый чувак, отдалённо относящийся к проекту. Тащишь чужой код-будь готов отлаживать его, и/или копаться в его исходниках. Кто сказал, что будет легко? Привет всем, кто талдычить про nih синдромы. Очень часто проще и дешевле с нуля сваять свою реализацию, чем тащить в проект тонны чужого кода и возиться потом с ним.
Вообще-то, по-разному бывает. Есть продукты очень хорошо документированнвые. И если что-то в доках не совпадает с поведением программы, пишешь в рассылку, там сразу признают косяк (ну бывает, коммит мержнули, а доку поправить не успели). А есть такие, где на доки просто забили. Приходится гуглить мэйллисты, спрашивать на форумах, лезть в код (который ещё и без комментариев) и так далее. Но там хоть сразу понимаешь, что разбираться надо самому.
А вот кода документация вроде подробная и правильная, а программа делает не то, причём не крашится, не ругается в логах, и не сразу поймёшь, что ошибка вообще есть - вот это очень удручает.