Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Взлом инфраструктуры LineageOS, opennews (?), 03-Май-20, (0) [смотреть все] Кто посмел , InuYasha (?), 20:47 , 03-Май-20, (1) +7 // Видимо опять безжалостные кровожадные боевики корпорастов-проприетастов , Аноним (2), 20:54 , 03-Май-20, (2) +6 Более правильный вопрос нахрена кому-то понадобилось их ломать Может просто бо, A.Stahl (ok), 20:54 , 03-Май-20, (3) +16 https e foundation , Naraku (?), 20:59 , 03-Май-20, (4) +1 Это дети тренируются А кому ещё это нужно , пмс у рмс (?), 21:35 , 03-Май-20, (7) +6 // Это нужно майнерам чтобы майнить monero И судя по коду того же kinsing - писали , тройной (?), 18:40 , 04-Май-20, (56) Это нормальная практика рулить хостами через интеренет через эти системы управле, аегшнеа (?), 16:07 , 04-Май-20, (46) +1 // Вполне нормальная При наличии авторизации и TLS ни чем не отличается от over S, тройной (?), 18:50 , 04-Май-20, (57) // более того - и уже успешно находили, прям сразу рут в openssh и не рут но хороши, пох. (?), 09:40 , 05-Май-20, (68) +1 Хз я только ссш и доверяю Сколько лет уже серьезных дыр не было , ffh (?), 19:54 , 06-Май-20, (71) Нет конечно, ни в коем случае Через ssh over vpn only Даже те серваки, что тор, InuYasha (?), 23:29 , 04-Май-20, (66) –1 // О, заминусовали, девжопсы У кого-то прогорело , InuYasha (?), 17:03 , 07-Май-20, (73) и вовсе необязательно девжопсы тебя история с heartbleed в том числе во всемилюб, пох. (?), 19:51 , 07-Май-20, (74) Ну, хреновая организация конторы - это другая проблема И я сказал что нужно И то, InuYasha (?), 21:00 , 07-Май-20, (76) ну ты продолжай, продолжай мантру - что это все конторы хреново организованные, , пох. (?), 17:17 , 08-Май-20, (77) Разломали очередное недоразумение на питоне Никогда такого не было и вот опять , Аноним (11), 22:19 , 03-Май-20, (11) –1 // Control and secure your digital infrastructureInfrastructure automationControl , Аноним (11), 22:21 , 03-Май-20, (12) // Всё правильно, любое secure увеличивает attack surface , Аноним (15), 22:56 , 03-Май-20, (15) +3 About SaltStackSaltStack develops award-winning software used by IT and security, Sw00p aka Jerom (?), 00:38 , 04-Май-20, (23) +3 // Вот и вин налицо , Страдивариус (?), 00:53 , 04-Май-20, (24) +1 Выставить CMS голой опой в интернет Эпик вин, чо Безотносительно уязвимостей , Адмирал ЯсенБуй (?), 08:59 , 04-Май-20, (33) Слышал немного неприятного о salt насчёт криворукости разрабов, что пакеты ломаю, Аноним (13), 22:28 , 03-Май-20, (13) +1 // Немного ковырял ansible, там никакие порты не должны торчать, всё через ssh , лютый жабби__ (?), 08:19 , 04-Май-20, (31) +1 // Юзали питонсибл корпоративно Жизнеспособно Папид в другом месте был, тоже юзаб, InuYasha (?), 11:12 , 04-Май-20, (37) Вам он может и не нужен, он в основном важен для больших количествах серверов в , Всем Анонимам Аноним (?), 23:33 , 16-Май-20, (79) Фух, главное исходники не скомпрометированы, собираем сами себе , Anonim (??), 22:41 , 03-Май-20, (14) +1 // Ты уверен , Аноним (17), 23:37 , 03-Май-20, (17) // Легко же проверить, Аноним (-), 03:51 , 04-Май-20, (27) // как , дохтурЛол (?), 13:03 , 04-Май-20, (39) тысячикрасныхглас, же Не , Аноним (67), 00:20 , 05-Май-20, (67) +2 На главной странице saltstack слова security secure встречаются 21 разНа страниц, э2 (?), 23:27 , 03-Май-20, (16) +5 // oversecured , б.б. (?), 00:33 , 04-Май-20, (22) +1 Где-то я это уже видел, КО (?), 06:07 , 04-Май-20, (28) Как на Тео де Раадта похоже, блин -D, Fyjy (?), 10:58 , 04-Май-20, (36) +1 Просто шикарная стратегия дождаться появления критической уязвимости в SaltStac, Аноним (17), 23:38 , 03-Май-20, (18) +3 У них там прошивок сущий мизер, в большинстве для давно устаревших устройств Т , Аноним (19), 23:46 , 03-Май-20, (19) –1 чем только не жертвуют, чтобы не юзать pf там, где он нужен , Аноним (21), 00:30 , 04-Май-20, (21) –2 О пользе стандартов ГОСТ 58412, ISO 2700x и регулярном тестировании на проникнов, Consta (?), 01:27 , 04-Май-20, (25) –3 Ну вот, о критических уязвимостях объявили, а залатать забыли, ну никогда такого, Аноним (29), 06:30 , 04-Май-20, (29) Девляпсики опять нарвались на оборотную сторону удобства Системы управления , Онаним (?), 08:56 , 04-Май-20, (32) –2   // Со всей инфраструктурой LineageOS справится один DevOps, не представляю, что там, Аноним (34), 09:32 , 04-Май-20, (34) –1   // Ну вот он и справился , как девляпсы обычно и делают , Онаним (?), 10:13 , 04-Май-20, (35)   // Девляпсов для начала надо нанять Когда дрочка в одиночку - это вообще другая ис, InuYasha (?), 11:14 , 04-Май-20, (38)   то есть если бы их было двое - они бы не нах евертили вдвое больше дыр, are yo, пох. (?), 13:08 , 04-Май-20, (40) +1   Представь себе - нет Возможно один из них увидел бы недостатки в коде и архитек, двойной (?), 15:51 , 04-Май-20, (44) –1   Для этого опыт и знания нужны, а не петоны с докерами , Аноним (11), 17:15 , 04-Май-20, (51) +1   Вот только упоротое ретроградство наличие знанийИ по суперстейбл энтерпрайз р, двойной (?), 18:21 , 04-Май-20, (54) –3   все что не пихон и докер - в глазах этих новоделанных - дремучее ретроградство А, пох. (?), 22:03 , 04-Май-20, (64) +2   или не только не увидел, но и своего дерьма добавил Это вот как раз и называетс, пох. (?), 19:53 , 04-Май-20, (59) –1   До 15 лет назад пользовались uucp в режиме execute, где секурностью не пахло Сей, я (?), 21:34 , 04-Май-20, (62)   ну мне не очень интересно чем вы там пользовались - я вроде достаточно внятно оп, пох. (?), 22:01 , 04-Май-20, (63)   clusterssh, pconsole попробуйте , Михрютка (ok), 18:18 , 06-Май-20, (70) +1   спасиб похоже, второе и есть примерно то чем мы пользовались пятнадцать лет наз, пох. (?), 16:17 , 07-Май-20, (72)   в смысле удалил автор все на гитхаб вынес, там оно и киснет , Михрютка (ok), 19:52 , 07-Май-20, (75)   а, и правда, киснет неудачное название дало пачку false positives и даже внутри, пох. (?), 17:27 , 08-Май-20, (78)   Системы управления конфигурацией нельзя внедрять так, как это делается каждым , двойной (?), 15:59 , 04-Май-20, (45)   // В очередной раз облажались, но методология хорошая, даа , Аноним (11), 17:24 , 04-Май-20, (52) +1   // Кто облажались Какое отношение имеет данный конкретный индивид и то что он за, тройной (?), 18:24 , 04-Май-20, (55) –1   Как автоматизировать развёртывание конфигурации, так молодец, девопс А как серв, www2 (??), 21:26 , 04-Май-20, (61) +2   Вот в ансибле всё-таки гораздо разумнее - просто доступ через ssh, а не какой-то, vitalif (ok), 15:15 , 04-Май-20, (42) // https docs saltstack com en latest topics ssh https docs saltstack com en la, двойной (?), 15:45 , 04-Май-20, (43) –1 Да в принципе дополнительные демоны это, даже если их голой дупой в инет не став, Fyjy (?), 16:48 , 04-Май-20, (49) // если своя цель - предоставить плохому парню сразу все ключи от всего и сразу с, пох. (?), 10:28 , 05-Май-20, (69) Скрыто модератором, Аноним (65), 22:30 , 04-Май-20, (65) +1 1,11,13,14,16,18,19,21,25,29,32,42

Сообщения

[Сортировка по времени | RSS]

32. "Взлом инфраструктуры LineageOS через уязвимость в SaltStack"	–2 +/–
Сообщение от Онаним (?), 04-Май-20, 08:56
Девляпсики опять нарвались на оборотную сторону "удобства". "Системы управления конфигурацией" нельзя внедрять так, как это делается каждым вторым девляпсом. Доступ таковой к инфраструктуре должен быть строго ограничен, причём с разделением прав.
Ответить | Правка | Наверх | Cообщить модератору

	34. "Взлом инфраструктуры LineageOS через уязвимость в SaltStack"	–1 +/–
	Сообщение от Аноним (34), 04-Май-20, 09:32
	Со всей инфраструктурой LineageOS справится один DevOps, не представляю, что там нужно разграничивать
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Взлом инфраструктуры LineageOS через уязвимость в SaltStack"	+/–
	Сообщение от Онаним (?), 04-Май-20, 10:13
	Ну вот он и "справился", как девляпсы обычно и делают.
	Ответить | Правка | Наверх | Cообщить модератору

	38. "Взлом инфраструктуры LineageOS через уязвимость в SaltStack"	+/–
	Сообщение от InuYasha (?), 04-Май-20, 11:14
	> Ну вот он и "справился", как девляпсы обычно и делают. Девляпсов для начала надо нанять. Когда дрочка в одиночку - это вообще другая история.
	Ответить | Правка | Наверх | Cообщить модератору

	40. "Взлом инфраструктуры LineageOS через уязвимость в SaltStack"	+1 +/–
	Сообщение от пох. (?), 04-Май-20, 13:08
	то есть если бы их было двое - они бы не нах...евертили вдвое больше дыр, are you serious? P.S. а расскажите кто-нить, вот лет пятнадцать назад, до всей этой девляпсьей муры - были у нас, помнится, такие аналоги screen+ssh - я успел начисто забыть названия всех х-ни, и, к своему удивлению, не сумел быстро найти что-то похожее поиском - ничего такого в модную-современную эпоху в живых не осталось? То есть идея - ssh {список из сотни хостов} - открывается сотня обычных консольных сессий, с дублированием клавиатурных символов во все сразу. И возможностью видеть фидбэк (хрен с ним, вручную переключая все сто). Та хрень, что была у нас, умела при этом разные авторизации (где ключи, где не получается - переспросить не знаешь ли ты универсальный пароль от всего), но это опционально.
	Ответить | Правка | Наверх | Cообщить модератору

	44. "Взлом инфраструктуры LineageOS через уязвимость в SaltStack"	–1 +/–
	Сообщение от двойной (?), 04-Май-20, 15:51
	>то есть если бы их было двое - они бы не нах...евертили вдвое больше дыр Представь себе - нет. Возможно один из них увидел бы недостатки в коде и архитектурных предложениях другого. Это называется code review. >То есть идея - ssh {список из сотни хостов} - открывается сотня обычных консольных сессий Не забудь предсказать полный список комманд, засунуть в VCS, пройти review и аппрув на изменения (у тебя ведь серьезный Production, ты работаешь в команде и не хочешь его положить одной опечаткой в вызове rm, да?). Ну и не забудь что на сотне хостов могут быть разные ОС с разным окружением. И желаю удачи перепечатывать одно и то же по 100 раз (модулей у тебя ведь нет).
	Ответить | Правка | Наверх | Cообщить модератору

	51. "Взлом инфраструктуры LineageOS через уязвимость в SaltStack"	+1 +/–
	Сообщение от Аноним (11), 04-Май-20, 17:15
	> Возможно один из них увидел бы недостатки в коде и архитектурных предложениях другого. Для этого опыт и знания нужны, а не петоны с докерами.
	Ответить | Правка | Наверх | Cообщить модератору

	54. "Взлом инфраструктуры LineageOS через уязвимость в SaltStack"	–3 +/–
	Сообщение от двойной (?), 04-Май-20, 18:21
	Вот только упоротое ретроградство != наличие знаний И по суперстейбл энтерпрайз решениям уровня "открывается сотня обычных консольных сессий" это хорошо видно.
	Ответить | Правка | Наверх | Cообщить модератору

	64. "Взлом инфраструктуры LineageOS через уязвимость в SaltStack"	+2 +/–
	Сообщение от пох. (?), 04-Май-20, 22:03
	все что не пихон и докер - в глазах этих новоделанных - дремучее ретроградство. А энтерпрайз у них - сотня систем, ага.
	Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

	59. "Взлом инфраструктуры LineageOS через уязвимость в SaltStack"	–1 +/–
	Сообщение от пох. (?), 04-Май-20, 19:53
	> Представь себе - нет. Возможно один из них увидел бы недостатки в коде и архитектурных или не только не увидел, но и своего дерьма добавил. Это вот как раз и называется "работа в команде". > у тебя ведь серьезный Production нет, у меня несерьезный - не оправдывающий самостоятельное написание скриптов централизованной раздачи конфигураций (чем мы занимались еще в 2009м, когда ваших пихоноподелок еще в помине не было - кстати, взломав (как?) эту штуку - не удалось бы просто так получить ровно ничего, разьве что уронить управление - админы, не девляпсы делали). Я вполне конкретный вопрос задал - остался ли такой софт в принципе, и как называется. Поскольку напрочь забыл, чем мы там пользовались 15 лет назад. Твои девляпсовые страдания с опечатками в вызове rm - оставь себе, мне они неинтересны.
	Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

	62. "Взлом инфраструктуры LineageOS через уязвимость в SaltStack"	+/–
	Сообщение от я (?), 04-Май-20, 21:34
	До 15 лет назад пользовались uucp в режиме execute, где секурностью не пахло. Сейчас есть pssh и gnu parallel.
	Ответить | Правка | Наверх | Cообщить модератору

	63. "Взлом инфраструктуры LineageOS через уязвимость в SaltStack"	+/–
	Сообщение от пох. (?), 04-Май-20, 22:01
	ну мне не очень интересно чем вы там пользовались - я вроде достаточно внятно описал задачу - параллельные сессии с визуальным фидбэком. Позволяющие хоть vi запускать. ни одна из упомянутых вами поделок и близко к той софтине не лежала и нахрен не нужны в принципе - если задача исчерпывается удаленным запуском единичной команды - я просто напишу скрипт, перебирающий хосты. А давайте вы мне сделаете удаленный запуск команды, требующей sudo - и не в режиме nopasswd? Я понимаю что для девляпсов это полная фантастика, у них атсосибль с рутовыми ключами от всего - только и ждет, пока эти ключи достанутся кому-то левому (впрочем, о чем это я, один у них ключ). Но такая софтина уже ж, блжад, была! Неужели никто не вспомнит ни названия, ни современных аналогов?
	Ответить | Правка | Наверх | Cообщить модератору

	70. "Взлом инфраструктуры LineageOS через уязвимость в SaltStack"	+1 +/–
	Сообщение от Михрютка (ok), 06-Май-20, 18:18
	clusterssh, pconsole попробуйте.
	Ответить | Правка | Наверх | Cообщить модератору

	72. "Взлом инфраструктуры LineageOS через уязвимость в SaltStack"	+/–
	Сообщение от пох. (?), 07-Май-20, 16:17
	спасиб! похоже, второе и есть примерно то чем мы пользовались пятнадцать лет назад - правда, быстрое гугление приводит к неутешительному результату что уцелела только в солярисе - автор даже страницу проекта выпилил со своего сайта. (да и хрен с ним - без наших патчей оно было малопригодно, а я их не сохранил) первая вроде бы живая.
	Ответить | Правка | Наверх | Cообщить модератору

	75. "Взлом инфраструктуры LineageOS через уязвимость в SaltStack"	+/–
	Сообщение от Михрютка (ok), 07-Май-20, 19:52
	в смысле удалил? автор все на гитхаб вынес, там оно и киснет.
	Ответить | Правка | Наверх | Cообщить модератору

	78. "Взлом инфраструктуры LineageOS через уязвимость в SaltStack"	+/–
	Сообщение от пох. (?), 08-Май-20, 17:27
	а, и правда, киснет (неудачное название дало пачку false positives и даже внутри самого шитхаба - а на собственно сайте автора, куда до сих пор смотрит ссылка с шитхаба - 404 без редиректа - видимо, ему стало стыдно), я с первого тыка живых ссылок не нашел, а дальше лень было. Судя по тому что почти все правки десятилетней давности - можно не париться. (я уже не помню деталей, что там не работало или работало не так как нам хотелось, но что-то мы его много патчили в свое время. К сожалению, те патчи сгинули вместе с лавкой.) Скорее надо на clusterssh смотреть - он вроде живой, и, помнится, я на него уже где-то натыкался, но забыл за ненадобностию. А теперь под столом завелся настоящий кластер, и тюнить все вручную несколько осточертело.
	Ответить | Правка | Наверх | Cообщить модератору

	45. "Взлом инфраструктуры LineageOS через уязвимость в SaltStack"	+/–
	Сообщение от двойной (?), 04-Май-20, 15:59
	"Системы управления конфигурацией" нельзя внедрять так, как это делается каждым вторым девляпсом. У вас есть статистика для таких утверждений? Или это личные влажные фантазии? >Доступ таковой к инфраструктуре должен быть строго ограничен, причём с разделением прав. Ясное дело. И это все даже описано в официальной документации https://docs.saltstack.com/en/master/topics/hardening.html В любом ПО бывают уязвимости и то что данный индивид не настроил firewall - это его личный факап к девопс-методологии не имеющий никакого отношения.
	Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

	52. "Взлом инфраструктуры LineageOS через уязвимость в SaltStack"	+1 +/–
	Сообщение от Аноним (11), 04-Май-20, 17:24
	В очередной раз облажались, но методология хорошая, даа.
	Ответить | Правка | Наверх | Cообщить модератору

	55. "Взлом инфраструктуры LineageOS через уязвимость в SaltStack"	–1 +/–
	Сообщение от тройной (?), 04-Май-20, 18:24
	> В очередной раз облажались Кто "облажались"? Какое отношение имеет данный конкретный индивид и то что он забил на firewall к devops-методологии?
	Ответить | Правка | Наверх | Cообщить модератору

	61. "Взлом инфраструктуры LineageOS через уязвимость в SaltStack"	+2 +/–
	Сообщение от www2 (??), 04-Май-20, 21:26
	Как автоматизировать развёртывание конфигурации, так молодец, девопс. А как сервисы ставить, торчащие голой жопой в интернет - так девопс тут не виноват. Нет уж, давайте разберёмся. Во-первых, всем кто решил податься в девопс, неплохо было бы поработать для начала просто опс - поадминить ручками. А то развелось программистов, которые считают, что раз они быдлокод научились писать, то с админством справятся на раз-два. Админство - это не про автоматизацию, по большому счёту, а про ответственность. Админ может быть и тратит много времени на первоначальную настройку системы, но время и нервы бережёт  за счёт того, что заблаговременно подготовился ко многим возможным проблемам - отсутствию электричества (поставил ИБП), поломкам жёстких дисков (настроил RAID-массив с избыточностью, хот-свапом и резервом в ЗиПе), настроил кластер высокой готовности, зарезервировал внешние каналы, заготовил резервные копии и инструкции по восстановлению, закрыл всё фаерволами, SELinux'ами, держит минимум программ с suid-битом, своевременно обновляет пакеты в системе и т.д. и т.п. Народная мудрость говорит, что спешка бывает нужна лишь в трёх случаях: при ловле блох, при поносе и при сношении с чужой женой. При этом админам неплохо разбираться во внутреннем устройстве администрируемых ими сервисов, чтобы выбрать наиболее надёжные и аккуратно написанные, и при необходимости ткнуть разработчиков сервиса носом в их же фекалии, указав, как надо делать правильно (прислав по возможности готовый патч). А не тащить в свои системы всё подряд и жаловаться потом на проблемы разработчиками. Ну и во-вторых, девопс-подход в данном случае позволяет справиться с одной сомнительной проблемой автоматизации, но позволяет себе отодвинуть на второй план множество других не иллюзорных проблем, в том числе проблему безопасности системы.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема