- 1
- 2
- 3
Вы уронили продуктовое приложение и SSH-доступ изнутри виртуалки к нему,
все сессии потеряны. Доступ к виртуалке надо просить через заказчика, и это косяк.
Ваши действия?-
Куча / Говнокод #26814
+1
Запостил:
vistefan,
23 Июля 2020
Follow us!
This.
А когда работаешь с «Iptables» на удалённой виртуалке — советую использовать вот такой шаблон:
Выполняешь скрипт, после «OK» нажимаешь «Ctrl+C». Если проебался и отрубил SSH — через пять секунд скрипт всё откатит к чистому листу. Не спасает от отрубания всех входящих соединений, но это уже экзотика.
Костыль, конечно, но если уж накатывать на прод нетестированные правила…
В принципе да, так будет правильнее, но для немедленного отваливания сессии нужно ухитриться отправить TCP-reset от имени клиента, а это нетривиально. В большинстве случаев SSH-трафик просто будет DROPнут, и за пять секунд сессия отвалиться не успеет.
Поэтому скрипт перед очисткой и спит всего несколько секунд. Когда сессия отвалится по таймауту — правила уже давно будут очищены.
Но мне кажется странным, что правила фаервола лежат там же, где боевое приложение. А как же балансировщики, роутинг и прочие непонятные мне слова?
и очень сложный заказчик
так и живём
В общем дали ему возможность зайти по ssh на сервер.
Но правду знает только Вистефан
А из панели в таком случае доступ останется? Как морда подключается к серваку?
Распространённая ошибка, кстати. Боевой сервер за балансировщиками и проксями, у которого не настроен фаерволл — это как полный комплект брони с дыркой на заднице. Рано или поздно он утечёт (или перебором, или более экзотическими методами) — и всё, дальше всё зависит от степени безалаберности админа.
Именно поэтому я за
.
А дальше монга без пароля, угу. Она же за балансировщиком и фаерволом.
Ну так это фактически и есть фаерволл, запрещающий прямой доступ к серверу. Кто сказал, что «фаерволл» должен быть в виде кучки правил «iptables»?
>>> Кто сказал, что «фаерволл» должен быть в виде кучки правил «iptables»?
Или вот реальный пример статейки на «Хабре», написанной вчера: https://habr.com/post/512152/, там в разделе «Прямое подключение» просто-таки хрестоматийный пример такого рода ошибки.
Ситуация, когда всю сеть компании ломает чувак, взломавший рабочий ЭВМ уборщицы тёти Маши, довольно распространены.
Какой энтерпрайз )))
В идеальном мире, конечно, всё правильно настроено и код без багов пишется. Но в реальном мире лучше перестраховаться и сделать защиту на всех уровнях, где это получается. Авось хакерам надоест и они пойдут искать что-то более лёгкое.
У меня нет опыта в этом, потому спорить не буду.
Хотя выглядит немного, как оверкилл, который всё равно в итоге не поможет.
Дык ты по определению в проигрышном положении по отношению к хакеру. Всегда. Ему надо найти одну дыру в твоём коде или конфиге. Тебе надо закрыть все.
Поэтому все способы, которые уменьшают поверхность атаки хороши: поставить пароль на монгу, врубить фаер хотя бы на минималках, чтобы лишние сервисы случайно не засветились, настроить VPC как guest выше пишет.
Налажать можно на любом из этих этапов. Но есть шанс, что остальные тебя подстрахуют.
Зато там вполне может оказаться дырявое легаси на PHP.
Ну вот кстати не доверяю я таким решениям. В амазоне конечно далеко не макаки работают, но есть риск что после какого-нибудь неудачного апдейта инфраструктуры все тачки внезапно начнут видеть друг друга.
Поэтому прикрыть жопу фаервольчиком не помешает. Хотя бы минимальным, который экспозит только те порты, которые нужны для работы данного контейнера (да, я понимаю, что в контейнерах обычно ничего лишнего нет, но shit happens).
На бога надейся, а сам не плошай.
И опытная крестоблядь заодно. Замечательное сочетание для развития паранойи.
Десктопные тачки не должны ничего хостить. Иначе это колхоз какой-то.
> ну как я музыку-то коллеге передам?
Во вконтакте скинешь ссылку лол, один хер все там слушают. Или я уже отстал от жизни и сейчас это делают как-то по-другому?
Только исходящие коннекты, только хардкор. Цепляться к шаре на серваке это, емнип, не мешает.
Вопрос на миллион: нахуя на работе, за рабочим компом передавать кому-то музыку? На работе работать надо, ёба!
UPD: Ладно, ладно, я понимаю, зачем это надо работнику. А почему это должно волновать администратора?
Какое юзабилити ))))
Вот до чего доводит не залупание на сотрудников.
Ну а почему бы тогда не поставить «Стим» на все компы, чтобы совсем заебись стало?
> Ясен хуй, что в идеальном мире их надо в документооборот пихать, но это так не работает.
По-умолчанию всё должно быть максимально закрыто и заблочено. Разумеется, если у конкретной конторы есть реальная рабочая необходимость в открытом SMB-сервере на всех машинах, то ничего не поделаешь. Но это, повторюсь, должна быть, во-первых, необходимость, а во-вторых — рабочая.
Ну и да, «SMB» — это настолько дырявое говно, что его просто страшно запускать. В нём чуть ли не каждый год очередную 10/10 CVE находят.
Пф-ф-ф.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
> An attacker who successfully exploited the vulnerability could gain the ability to execute code on the target server or client.
> To exploit the vulnerability against a server, an unauthenticated attacker could send a specially crafted packet to a targeted SMBv3 server. To exploit the vulnerability against a client, an unauthenticated attacker would need to configure a malicious SMBv3 server and convince a user to connect to it.
> Published: 03/12/2020
Сколько решето не нумеруй — оно так решетом и останется.
Ну да, и на то, что кто-то не запустит удачную картинку.jpeg.exe. «EternalBlue» (привет, SMB), «WannaCry» (> Параллельно с шифрованием программа проводит сканирование произвольных адресов Интернета и локальной сети для последующего заражения новых компьютеров), «Petya» (> вредоносное ПО по-прежнему будет использовать «точку опоры» на заражённом ПК, с целью распространиться в другие компьютерные системы через локальную сеть), тысячи их.
Ну да, есть такое. В случае с Бормандовской методой зашифрованы окажутся комп лоха нерадивого сотрудника и шара, а в случае с открытым везде «SMB» лежать будет вся маршрутка локалка, включая комп Большого Босса :-).
> Вы только что объяснили мне, что половина MS технологий нахуй не нужна, например)
Она была бы нужна, если бы «MS» выкинула нахуй весь код «SMB» и написала его с нуля, по современным и безопасным мето́дам (на пuтухе).
Ну потому что неавторизованное RCE одним пакетом в 2020-м году, в современном приложении — это ж пиздец хтонический.
> С ноля MS переписивать не будет: проще сделать вебговно в облаке с доступом по https. По https, вроде как, Петя не ходит.
Ну тоже вореант, кстати. Всяческих облакоподобных решений сейчас как грязи развелось. Правда, насколько они enterprise-ready — хуй знает.
> На тайпскрипте, следуя модным тенденциям.
Подтверждаю. Какой багор )))
> А как дела у юниксов с NFS?
Совсем не в теме, извини.
Насколько помню, там виндовый клиент тупо весь файл выкачивает себе в кеш и потом ты с ним работаешь.
А вообще - они же вандрайв сейчас продвигают. Видимо хотят шары закопать и тупо хранить все данные у себя.
Может быть и можно нормальную реализацию запилить, но они теперь в вандрайв вложились. Смысла уже никакого вебдав допиливать.
Музыку передавать.
> зачем вообще шары
А х.з. Ну одну на серваке то удобно держать. И права настроить можно и интеграция с доменом хорошая.
А зачем они на клиентских тачках - хер бы знал, для домашней локалки где нет хорошего роутера или наса, наверное.
Ответ от мс, как в далёкие годы: всё ок, просто не скачивайте petya.exe
Какая архитектура )))
А эту хрень я так и не научился настраивать. Оно или гигабайты тянет и тупит на входе или нихуя не тянет и пользы вообще никакой.
Я за «SRP» и «AppLocker». Запретить и не пущщать!
…Правда, для грамотной настройки этого ебаться придётся столько, что легче будет пойти и утопиться. Там целая IT-рота админов нужна будет.
Подтверждаю.
> **умные проги правда умеют в домашнюю папку LOCALAPPDATA уже
А некоторое слишком умное говно туда ставится, лол.
>>> полноценно настроенный «SRP» — это когда запуск экзешников/скриптов и загрузка DLL разрешена только из анально огороженных read-only (для текущего юзера) папок
И в таскбар насрать.
И пункт «Не отметьте галочку, если вы не согласны с неустановкой инновационного антивируса McAffee (1 мес. беслпатно!)».
>>>
В виндовых политиках можно так анально огородить пользователя, что он сможет поставить себе ровно те три приложения, которые ему разрешит админ Валера.
Только спрашивается, а нахуя тогда целая винда?
Выдали нам всё равно по виндовому ноуту, потому что только с винды можно было без ебли подключаться к почте, SfB и прочей хуете. Но больше я этот ноут ни для чего не юзал в принципе. То есть у меня была полноценная машина чисто почту проверить, ёпт.
Ещё там был очень ограниченный список софта, который можно было поставить. Но зато девелоперам разрешалось иметь папку типа C:\Work, в которой можно было невозбранно запускать любые бинари.
Хромимум в любом случае вряд ли бы взлетел, но планшета с какой-нибудь WinRT хватило бы за глаза. Впрочем, хороший виндовый планшет стоит примерно столько же, наверное, сколько и ноут.
Ну да, планшет конечно
Только там сессия жила где-то час, а потом надо было заново переподключаться с бубном.
Подтверждаю. На каждую скомпилированную версию бинаря писать заявление на включение исполняемого файла в белый список, SHA-256, дата, подпись.
> Разрешено должно быть только то, что необходимо. Все остальное -- запрещено.
Подтверждаю.
IPsec?
В openvpn с его отдельным туннелем как-то спокойней было.
Ну да. И это даёт замечательный опыт, мне одного такого факапа хватило. С виртуалками скучно, можно тупо зайти в консоль на сайте хостера да пофиксить.
З.Ы. Признайся, тебе ведь тоже было лень делать и тестить бекапы пока ты первый раз всё не проебал.
Сходу:
1. Не надо делать бекапы, потому что если ты делаешь бекапы, то ты админ, а не программист.
2. Не надо знать ма-те-ма-ти-ку, потому что иначе ты ма-те-ма-тик, а не программист.
https://www.youtube.com/watch?v=t7aJT4gRz0E
Можно просто по крону запускать раз в 5 минут некую поебень, которая пингует хуйню, если хуйня не пингуется то тогда вся хуйня с иптаблес сбрасывается.
хотя если дефалт разумный, то ок
DROP
copy ru st
Ну, если уж совсем как надо, то надо сначала отладить правила на тестовом сервере (причём не локальном), а потом уже коммитить их на прод.
Очень удивился, когда увидел такой вопрос на ГК.
На всякий случай в «инкогнито» загуглил.
Hard Fault. По крайней мере на cortex'ах.
A hard fault is an exception that occurs because of an error during exception processing.
https://i.ytimg.com/vi/DUVd3jLim0A/maxresdefault.jpg
Вообще Макака популярная фамилия в Кении
Или нет?
Musoni married comedian and film director Anopa Makaka, and lives in London with their two children.
Magovo and his associate Mapouto were in charge of foreign affairs, Makaka was the minister of war and commander of the army, Mfouka was the minister of commerce, and Makimba was the "grand master of waters and forests" as well as a number of others.
Watford's academy in 2015–16 consists of 17 scholars: In the second year: Jacob Cook, Andrew Eleftheriou, Michael Folivi, Nathan Gartside, Max Makaka, Brandon Mason, Ogo Obi, Charlie Rowan and Connor Stevens.
Approximately 8,737 people bear this surname
MOST PREVALENT IN:
Malawi
HIGHEST DENSITY IN:
Botswana
The meaning of this surname is not listed.
(((
Реальный пример: в суахили «mtu» означает взрослого человека, а «mtoto» — ребёнка.
Кстати, крикетчик Бонга Макака — вообще круто звучит.
https://youtu.be/QnDg55h2-uc