m0Ray
Sr. Member
  
Online
Activity: 392
Merit: 250
All.me - Social Network of the Blockchain time.
|
 |
February 04, 2011, 02:06:01 AM |
|
Может, придумаете задачку, в которой без Kerberos-а никак, тогда я пойму, зачем он нужен?
Администрирование 100 компьютеров, разбросанных по офисам корпорации. Чтобы обеспечить возможность конкретным пользователям быть админами на компах нужно научить эти компьютеры пониманию того что, скажем, юзер из группы admins - админ, плюс научить аутентифицировать юзеров, которые доступа к этим компьютерам ранее вообще не имели ни в каком виде. Вторую задачу решает kerberos. Мне почему-то для этого всегда хватало NIS и LDAP. Нам в институте таким образом предлагали доказать необходимость goto. Если студент мог придумать пример, который не решался без goto, ему разрешали этот оператор использовать. Не разрешили на моей памяти никому.  goto используется не для решения неразрешимых проблем а для редкого но меткого улучшения читаемости кода ..., при этом нарушения структуры программы и в качестве потенциального источника трудно отлавливаемых багов. В этом вопросе я был солидарен с преподавателями.
|
|
|
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction. Advertise here.
|
|
|
|
bitcoinex
|
 |
February 04, 2011, 02:07:49 AM |
|
Да другой же баг
Ну как же другой, когда написано CVE-2010-4015 ? Ещё раз: https://www.bitcoin.org/smf/index.php?topic=1018.msg44139#msg44139Биржа отключена в связи с багом (это про новый неподтверждённый баг) в новой версии Postgresql-сервера. Использование старой версии невозможно из-за обнаружения там опасной уязвимости. (это про CVE-2010-4015)
|
New bitcoin lottery: probiwon.com- Может, ты ещё и в Невидимую Руку Рынка веруешь? - Зачем же веровать в то, что можно наблюдать непосредственно?
|
|
|
m0Ray
Sr. Member
  
Online
Activity: 392
Merit: 250
All.me - Social Network of the Blockchain time.
|
 |
February 04, 2011, 02:09:02 AM |
|
в частности, биллинговую систему.
значит это была плохо (недостаточно детально) засекьюренная система, либо не было требований по интеграции с другими серверами Вот у меня были веб-сервера (для работы админов и юзеров), сервера БД (кластер) и сервера доступа (NAS). И всё между ними прекрасно ходило. Серьёзных дырок за годы эксплуатации обнаружено не было. Kerberos не использовался и не планировался. Что я делал не так?
|
|
|
|
bitcoinex
|
 |
February 04, 2011, 02:12:48 AM |
|
Может, придумаете задачку, в которой без Kerberos-а никак, тогда я пойму, зачем он нужен?
Администрирование 100 компьютеров, разбросанных по офисам корпорации. Чтобы обеспечить возможность конкретным пользователям быть админами на компах нужно научить эти компьютеры пониманию того что, скажем, юзер из группы admins - админ, плюс научить аутентифицировать юзеров, которые доступа к этим компьютерам ранее вообще не имели ни в каком виде. Вторую задачу решает kerberos. Мне почему-то для этого всегда хватало NIS и LDAP. LDAP не обеспечивает безопасной сквозной аутентификации (зашли на сервер, с него доступен другой сервер, потом третий и т.д.) и не умеет аутентифицировать на удалённом сервере используя локально воткнутую PKI-смарткарточку. (Админ пришёл на работу, воткнул карту в ридер и пошел на удалённый сервер настраивать. При всём желании пароль в такой схеме не украдёшь. Уйти с работы забыв карточку он тоже не сможет - дверь не откроется.) А ещё чистый керберос совсем не использует ассиметричное шифрование, так что когда квантовые компьютеры нас поработят перейдём на керберос в масштабах планеты
|
New bitcoin lottery: probiwon.com- Может, ты ещё и в Невидимую Руку Рынка веруешь? - Зачем же веровать в то, что можно наблюдать непосредственно?
|
|
|
ArsenShnurkov
Legendary
Offline
Activity: 1386
Merit: 1000
|
 |
February 04, 2011, 02:14:59 AM |
|
Что я делал не так?
Не расчитывали на взлом web-части. В этом случае ваша БД осталась бы незащищенной против коннекта под аккаунтом, под которым работает web-приложение и была бы скомпрометирована полностью. А в случае отсутствия такого аккаунта (при использовании kerberos он не нужен) были бы скомпрометированы только данные пользователя, под которым удалось залогинится изначально. И у вас действительно не было требований по интеграции с другими серверами
|
|
|
|
m0Ray
Sr. Member
  
Online
Activity: 392
Merit: 250
All.me - Social Network of the Blockchain time.
|
 |
February 04, 2011, 02:26:35 AM |
|
Не расчитывали на взлом web-части. В этом случае ваша БД осталась бы незащищенной против коннекта под аккаунтом, под которым работает web-приложение и была бы скомпрометирована полностью. А в случае отсутствия такого аккаунта (при использовании kerberos он не нужен) были бы скомпрометированы только данные пользователя, под которым удалось залогинится изначально.
Что-то я не совсем понял, где взялись бы данные пользователя без доступа к БД в случае с кербкросом. И у вас действительно не было требований по интеграции с другими серверами
Что вы тогда подразумеваете под "другими серверами"? Я, как архитектор, систему сначала продумал целиком, только потом взялся за реализацию. Все её части и связи с внешним миром были реализованы единообразно. Поэтому мне не пришлось изобретать костылей для интеграции - всё было уже интегрировано by design. 
|
|
|
|
ArsenShnurkov
Legendary
Offline
Activity: 1386
Merit: 1000
|
 |
February 04, 2011, 02:26:58 AM |
|
> это про новый неподтверждённый баг Я спросил какой баг. Вы ответили, что dsa-2157-1 вот этот баг в DSA: http://www.debian.org/security/2011/dsa-2157там говорится только про contrib modules, которых у меня нет Если это еще какой-то более новый баг, то дайте ссылку на (неподтвержденную) информацию о нем
|
|
|
|
m0Ray
Sr. Member
  
Online
Activity: 392
Merit: 250
All.me - Social Network of the Blockchain time.
|
 |
February 04, 2011, 02:29:14 AM |
|
LDAP не обеспечивает безопасной сквозной аутентификации (зашли на сервер, с него доступен другой сервер, потом третий и т.д.) и не умеет аутентифицировать на удалённом сервере используя локально воткнутую PKI-смарткарточку. (Админ пришёл на работу, воткнул карту в ридер и пошел на удалённый сервер настраивать. При всём желании пароль в такой схеме не украдёшь. Уйти с работы забыв карточку он тоже не сможет - дверь не откроется.)
До таких извратов в нашей деревне ещё не дошли. А ещё чистый керберос совсем не использует ассиметричное шифрование, так что когда квантовые компьютеры нас поработят перейдём на керберос в масштабах планеты
Обалдеть. Всегда считал, что асимметричное шифрование надёжнее, чем симметричное.
|
|
|
|
LZ
Moderator
Legendary
Offline
Activity: 1736
Merit: 1015
P2P Cryptocurrency
|
 |
February 04, 2011, 02:33:04 AM |
|
Если это еще какой-то более новый баг, то дайте ссылку на (неподтвержденную) информацию о нем Собственно, пост на этом форуме и является такой информацией. Полагаю, bitcoinex сформирует и опубликует детальное описание.
|
|
|
|
ArsenShnurkov
Legendary
Offline
Activity: 1386
Merit: 1000
|
 |
February 04, 2011, 02:33:15 AM |
|
Что-то я не совсем понял, где взялись бы данные пользователя без доступа к БД в случае с кербкросом.
я не понял, что неясно. И у вас действительно не было требований по интеграции с другими серверами
Что вы тогда подразумеваете под "другими серверами"? Пример: web-фронт-энт (огромный портал) коннектиться к аналитическому серверу или серверу подготовки отчетов. Сервер подготовки отчетов коннектится к БД. В случае с Kerberos - прокидываем аккаунт пользователя и каждый сервер может разграничить доступ для этого пользователя. Чей пароль подобрали или комп захватили - тот ССЗБ. ответственне пользователи - unaffected. В случае Без Kerberos - хакер ломает сервер с порталом, получает рутовый доступ, получает возможность запустить свой код под аккаунтом портала, обращается к аналитическому серверу и считывает секретную информацию ответственных пользователей.
|
|
|
|
m0Ray
Sr. Member
  
Online
Activity: 392
Merit: 250
All.me - Social Network of the Blockchain time.
|
 |
February 04, 2011, 02:43:31 AM |
|
Что-то я не совсем понял, где взялись бы данные пользователя без доступа к БД в случае с кербкросом.
я не понял, что неясно. Пользовательские данные в случае биллинга содержат журнальные записи из БД. Если у веб-приложения нет связи с базой, где взять логи? И у вас действительно не было требований по интеграции с другими серверами
Что вы тогда подразумеваете под "другими серверами"? Пример: web-фронт-энт (огромный портал) коннектиться к аналитическому серверу или серверу подготовки отчетов. Сервер подготовки отчетов коннектится к БД.
В случае с Kerberos - прокидываем аккаунт пользователя и каждый сервер может разграничить доступ для этого пользователя. Чей пароль подобрали или комп захватили - тот ССЗБ. ответственне пользователи - unaffected.
В случае Без Kerberos - хакер ломает сервер с порталом, получает рутовый доступ, получает возможность запустить свой код под аккаунтом портала, обращается к аналитическому серверу и считывает секретную информацию ответственных пользователей.
Да какой же идиот даёт рутовый доступ веб-порталу? И да, слово "трёхзвенка" или вообще multi-tier вам знакомо? И ещё, между серверами у меня единая БД юзеров и прав. Зачем мне какие-то там прокидывания, если я могу вызвать функцию из специальной библиотеки и получить всё, что нужно?
|
|
|
|
ArsenShnurkov
Legendary
Offline
Activity: 1386
Merit: 1000
|
 |
February 04, 2011, 02:44:48 AM |
|
Да какой же идиот даёт рутовый доступ веб-порталу?
Какие буквы в словосочетании "несанкционированно порутили" вам не ясны? между серверами у меня единая БД юзеров и прав. Зачем мне какие-то там прокидывания, если я могу вызвать функцию из специальной библиотеки и получить всё, что нужно? Затем, что у хакера есть сниффер и рутовый доступ и он тоже может вызвать функцию из специальной библиотеки.
|
|
|
|
m0Ray
Sr. Member
  
Online
Activity: 392
Merit: 250
All.me - Social Network of the Blockchain time.
|
 |
February 04, 2011, 02:46:59 AM |
|
Да какой же идиот даёт рутовый доступ веб-порталу?
Какие буквы в словосочетании "несанкционированно порутили" вам не ясны? Я на подобные вещи обычно отвечаю - порутайте-ка мой сервак. Обычно после скана и нескольких попыток применить сплойт разговор или заканчивается, или переходит в троллинг и срач за неимением аргументов.
|
|
|
|
ArsenShnurkov
Legendary
Offline
Activity: 1386
Merit: 1000
|
 |
February 04, 2011, 02:49:14 AM |
|
Я на подобные вещи обычно отвечаю - порутайте-ка мой сервак.
да-да, некоторые - бэкапы тоже не сразу начинают делать. А другие - керберос не считают нужным использовать. Каждому свое.
|
|
|
|
m0Ray
Sr. Member
  
Online
Activity: 392
Merit: 250
All.me - Social Network of the Blockchain time.
|
 |
February 04, 2011, 02:58:15 AM |
|
между серверами у меня единая БД юзеров и прав. Зачем мне какие-то там прокидывания, если я могу вызвать функцию из специальной библиотеки и получить всё, что нужно? Затем, что у хакера есть сниффер и рутовый доступ и он тоже может вызвать функцию из специальной библиотеки. 1) Сниффер не поможет, не в хаб серваки втыкаем. 2) Рутового, да и вообще произвольного доступа у него нет. По одной простой причине. Когда пишется программа, у каждого кодера перед глазами висит крупными буквами надпись: "Пользователь - дурак и подлец". Всё, что приходит от юзера, подвергается жёсткой многократной проверке. Также вовремя патчится софт и регулярно меняются пароли. Используются сканеры безопасности. iptables настраивается чуть ли не вручную. Ни один мой сервак ещё не был взломан, а тем более порутан. З.Ы. Бэкапы я научился делать ещё во времена 5.25" дискет.
|
|
|
|
ArsenShnurkov
Legendary
Offline
Activity: 1386
Merit: 1000
|
 |
February 04, 2011, 03:01:37 AM |
|
Ни один мой сервак Вот когда будете разрабатывать системы, которые будут не вами эксплуатироваться, тогда и поговорим
|
|
|
|
m0Ray
Sr. Member
  
Online
Activity: 392
Merit: 250
All.me - Social Network of the Blockchain time.
|
 |
February 04, 2011, 03:03:46 AM |
|
Ни один мой сервак Вот когда будете разрабатывать системы, которые будут не вами эксплуатироваться, тогда и поговорим Биллинг, который я создал, эксплуатировался таки не мной. 
|
|
|
|
dabbad
|
 |
February 04, 2011, 03:04:15 AM |
|
Аллё, уважаемые! Страницы 14-15 оффтоп!! И не надо мне советовать "... не читайте эти страницы ...", пожалуйста  и тогда ...
|
| █ █ | | █ █ | | ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████
|
|
|
|
LZ
Moderator
Legendary
Offline
Activity: 1736
Merit: 1015
P2P Cryptocurrency
|
 |
February 04, 2011, 03:07:22 AM |
|
порутайте-ка мой сервак Ну, сразу бы адрес указали. 
|
|
|
|
m0Ray
Sr. Member
  
Online
Activity: 392
Merit: 250
All.me - Social Network of the Blockchain time.
|
 |
February 04, 2011, 03:15:08 AM |
|
порутайте-ка мой сервак Ну, сразу бы адрес указали.  И указал бы с пару лет назад... К сожалению, последний мой сервак был порутан физически  ментами из отдела "К". Новых не заводил, ибо пока незачем. Ладно, действительно оффтопик зверский получился, пора заканчивать.
|
|
|
|
|