bitcoinex (OP)
|
|
February 04, 2011, 01:12:11 AM |
|
Ход вашей мысли поясните? Все очень просто. Я разрабатываю свой сайт, и уже заапгредил postgres до версии 9.0.3 (нуязвимой - Buffer overflow in the intarray array module in PostgreSQL 9.0.x before 9.0.3) А вы - закрыты, значит вам что-то мешает. Читайте внимательно сообщения же! Вы тоже поставили бажную версию. И в старой версии 9.0 баг и в новой тоже. Апгрейд прошел без прерывания сервиса (т.е. сайт не надо было закрывать), точнее с прерыванием на рестарт postgres/apache, что заняло ~10 секунд. Такие как вы очень пугают пользователей отказом в обслуживании.
> Почему кошелек bitcoin и постгрес находятся на одной виртуальной машине?
если бы они находились на разных, не было бы страшно за биткоины
Вам внезапно стало страшно и это автоматически значит что у нас кошелёк биткоин и постгрес находятся на одной виртуальной машине? > почему postgres находится на виртуальной машине доступной из интернет?
вы остановили - так как боитесь атаки. если postgres стоит за кодом вашего сайта и недоступен из интернета - атака невозможна и не было необходимости прерывать сервис
Я считаю что доступный в интернете сервер базы данных это нормально. "Атака" в случае этой уязвимости возможна сквозь код сайта. Читайте (и понимайте) отчет внимательно. > где ответственный за файрволлы?)
есть подозрение, что он у вас отстутствует
Да, у нас он отсутствует.
|
New bitcoin lottery: probiwon.com- Может, ты ещё и в Невидимую Руку Рынка веруешь? - Зачем же веровать в то, что можно наблюдать непосредственно?
|
|
|
bitcoinex (OP)
|
|
February 04, 2011, 01:12:46 AM |
|
Сайт биржи работает в обычном режиме
|
New bitcoin lottery: probiwon.com- Может, ты ещё и в Невидимую Руку Рынка веруешь? - Зачем же веровать в то, что можно наблюдать непосредственно?
|
|
|
m0Ray
|
|
February 04, 2011, 01:13:31 AM |
|
Госссподи, неужели кто-то ещё пользует это жуткое монстроглюкалище...
|
|
|
|
bitcoinex (OP)
|
|
February 04, 2011, 01:14:45 AM |
|
Госссподи, неужели кто-то ещё пользует это жуткое монстроглюкалище... Ты, конечно, про опач?
|
New bitcoin lottery: probiwon.com- Может, ты ещё и в Невидимую Руку Рынка веруешь? - Зачем же веровать в то, что можно наблюдать непосредственно?
|
|
|
m0Ray
|
|
February 04, 2011, 01:18:29 AM |
|
Госссподи, неужели кто-то ещё пользует это жуткое монстроглюкалище... Ты, конечно, про опач? Ну апач иногда есть резон использовать... Но постгре Я понимаю ещё, когда упоротые подоконники вроде 1С на него западают - у них мозгов как не было, так и нет. Но вам-то он чем и в какое место?
|
|
|
|
ArsenShnurkov
Legendary
Offline
Activity: 1386
Merit: 1000
|
|
February 04, 2011, 01:20:52 AM |
|
Но вам-то он чем и в какое место?
Postgres секьюрнее mysql потому что умеет Kerberos-аутентификацию
|
|
|
|
m0Ray
|
|
February 04, 2011, 01:26:26 AM |
|
Я вижу, как он секурнее. Дыра на дыре которое десятилетие, а уж в коде чёрт ногу сломит. И какая у вас надобность именно в Kerberos? Просто интересно. Я за многолетнюю практику админства и программерства нашёл ей применение только один раз, и то лишь для того, чтобы увязать postfix с Active Directory.
|
|
|
|
bitcoinex (OP)
|
|
February 04, 2011, 01:28:31 AM |
|
Госссподи, неужели кто-то ещё пользует это жуткое монстроглюкалище... Ты, конечно, про опач? Ну апач иногда есть резон использовать... Но постгре Я понимаю ещё, когда упоротые подоконники вроде 1С на него западают - у них мозгов как не было, так и нет. Но вам-то он чем и в какое место? Дык оракл денег стоит и проприетарный а потому не Ъ Наша сегодняшняя проблема была связана с тем что только в постгресе 9.0 есть некоторые возможности, которые нужны для написания правильного кода, а он ещё как бы в тестинге.
|
New bitcoin lottery: probiwon.com- Может, ты ещё и в Невидимую Руку Рынка веруешь? - Зачем же веровать в то, что можно наблюдать непосредственно?
|
|
|
bitcoinex (OP)
|
|
February 04, 2011, 01:29:53 AM |
|
Я вижу, как он секурнее. Дыра на дыре которое десятилетие, а уж в коде чёрт ногу сломит. И какая у вас надобность именно в Kerberos? А какие ещё есть способы? Пароль? Я не могу помнить больше 3-4 паролей. PKI в случае взлома основного компьютера уязвим. Да и для ssh, вроде, не может быть много пар ключей, хотя может уже и можно. Просто интересно. Я за многолетнюю практику админства и программерства нашёл ей применение только один раз, и то лишь для того, чтобы увязать postfix с Active Directory.
Я хожу по керберосу на стопицот своих серверов по совсем разным протоколам. И на постгрес не в последнюю очередь.
|
New bitcoin lottery: probiwon.com- Может, ты ещё и в Невидимую Руку Рынка веруешь? - Зачем же веровать в то, что можно наблюдать непосредственно?
|
|
|
ArsenShnurkov
Legendary
Offline
Activity: 1386
Merit: 1000
|
|
February 04, 2011, 01:30:52 AM |
|
Читайте внимательно сообщения же! Вы тоже поставили бажную версию. И в старой версии 9.0 баг и в новой тоже.
Почему вы думаете, что в моей 9.0.3 есть этот баг? Если из-за этой фразы: For the unstable distribution (sid), this problem has been fixed in version 8.4.7-1 of the postgresql-8.4 package and version 9.0.3-1 of the postgresql-9.0 package. то у меня другой дистрибутив и в нем в номере пакета нет приписки "-1". И какая у вас надобность именно в Kerberos?
У меня есть несколько сервисов, кроме сервиса приема биткоинов и я не хочу заставлять пользователя логинится по нескольку раз. А способ передать security-токен через несколько машин только один - это Kerberos. Если же использовать какой-нибудь там https то прийдется для доступа к внутренним сервисам использовать специального юзера, что снизит возможности по точной раздаче прав.
|
|
|
|
bitcoinex (OP)
|
|
February 04, 2011, 01:35:05 AM |
|
Читайте внимательно сообщения же! Вы тоже поставили бажную версию. И в старой версии 9.0 баг и в новой тоже.
Почему вы думаете, что в моей 9.0.3 есть этот баг? Потому что я думаю что он привнесён с новой версией а я его первооткрыватель. Если из-за этой фразы: For the unstable distribution (sid), this problem has been fixed in version 8.4.7-1 of the postgresql-8.4 package and version 9.0.3-1 of the postgresql-9.0 package. то у меня другой дистрибутив и в нем в номере пакета нет приписки "-1". И какая у вас надобность именно в Kerberos?
У меня есть несколько сервисов, кроме сервиса приема биткоинов и я не хочу заставлять пользователя логинится по нескольку раз. А способ передать security-токен через несколько машин только один - это Kerberos. Если же использовать какой-нибудь там https то прийдется для доступа к внутренним сервисам использовать специального юзера, что снизит возможности по точной раздаче прав. Kerberos не работает в браузерах без предварительной настройки realm'а (можно сделать через DNS) и включения керберос в браузере (это требует ввода ручками магических команд, вряд ли некорпоративные юзеры на это пойдут) Так что, PKI для наружных юзеров таки правильнее.
|
New bitcoin lottery: probiwon.com- Может, ты ещё и в Невидимую Руку Рынка веруешь? - Зачем же веровать в то, что можно наблюдать непосредственно?
|
|
|
m0Ray
|
|
February 04, 2011, 01:41:35 AM |
|
Что-то у вас какие-то заморочки, слабо понятные простому админу и программеру. Всю жизнь без Kerberos-а обходился, и проблем не возникало. Особенно с запоминанием паролей. У Пейсателя, если не ошибаюсь, в каком-то из "произведений" есть хороший намёк на способ генерации и запоминания сложных паролей. Был такой в примере: 40tovgsb Может, придумаете задачку, в которой без Kerberos-а никак, тогда я пойму, зачем он нужен? Нам в институте таким образом предлагали доказать необходимость goto. Если студент мог придумать пример, который не решался без goto, ему разрешали этот оператор использовать. Не разрешили на моей памяти никому.
|
|
|
|
ArsenShnurkov
Legendary
Offline
Activity: 1386
Merit: 1000
|
|
February 04, 2011, 01:43:49 AM |
|
Потому что я думаю что он привнесён с новой версией а я его первооткрыватель.
Тогда описание на http://www.postgresql.org/support/security некорректно. там написано, что этот баг fixed in 9.0.3 Тем более, что там написано, что этот баг из Contrib Modules, Contrib modules are not installed by default when PostgreSQL is installed from source. а у меня гента.
|
|
|
|
bitcoinex (OP)
|
|
February 04, 2011, 01:46:46 AM |
|
Да другой же баг, он ещё даже не воспроизведён никем пока что.
|
New bitcoin lottery: probiwon.com- Может, ты ещё и в Невидимую Руку Рынка веруешь? - Зачем же веровать в то, что можно наблюдать непосредственно?
|
|
|
ArsenShnurkov
Legendary
Offline
Activity: 1386
Merit: 1000
|
|
February 04, 2011, 01:47:32 AM |
|
у вас какие-то заморочки, слабо понятные простому админу и программеру. Непонятки простых программеров - аналитиков и архитекторов не интересуют.
|
|
|
|
ArsenShnurkov
Legendary
Offline
Activity: 1386
Merit: 1000
|
|
February 04, 2011, 01:48:57 AM |
|
Да другой же баг
Ну как же другой, когда написано CVE-2010-4015 ?
|
|
|
|
m0Ray
|
|
February 04, 2011, 01:51:24 AM |
|
у вас какие-то заморочки, слабо понятные простому админу и программеру. Непонятки простых программеров шерифов-архитекторов не интересуют. Ну хорошо, объясните простому архитектору, негогда разработавшему, в частности, биллинговую систему.
|
|
|
|
ArsenShnurkov
Legendary
Offline
Activity: 1386
Merit: 1000
|
|
February 04, 2011, 01:55:38 AM |
|
объясните простому архитектору
Выше уже bitcoinex объяснял. Внешние пользователи идут через https. Можно каждому пользователю - сертификат. Дальше внешние пользователи меппятся на внутренние аккаунты. приходят пользователи на один логический сервер, тот логический сервер может обращаться к другим логическим серверам, запрашивая различные сервисы. Обращаться он может либо имперсонировавшись пользователем, либо из под специального аккаунта. Во втором случае нельзя настроить права на внутренних серверах так же детально как в первом. в частности, биллинговую систему.
значит это была плохо (недостаточно детально) засекьюренная система, либо не было требований по интеграции с другими серверами
|
|
|
|
bitcoinex (OP)
|
|
February 04, 2011, 01:57:30 AM |
|
Что-то у вас какие-то заморочки, слабо понятные простому админу и программеру. Всю жизнь без Kerberos-а обходился, и проблем не возникало. Особенно с запоминанием паролей. У Пейсателя, если не ошибаюсь, в каком-то из "произведений" есть хороший намёк на способ генерации и запоминания сложных паролей. Был такой в примере: 40tovgsb Любая схема генерации в голове уязвима: https://www.bitcoin.org/smf/index.php?topic=1852.msg23294#msg23294Может, придумаете задачку, в которой без Kerberos-а никак, тогда я пойму, зачем он нужен?
Администрирование 100 компьютеров, разбросанных по офисам корпорации при условии что админы устраиваются, увольняются, теряют ноуты с секретными ключами, забывают пароли и т.д. Нам в институте таким образом предлагали доказать необходимость goto. Если студент мог придумать пример, который не решался без goto, ему разрешали этот оператор использовать. Не разрешили на моей памяти никому. goto используется не для решения неразрешимых проблем а для редкого но меткого улучшения читаемости кода
|
New bitcoin lottery: probiwon.com- Может, ты ещё и в Невидимую Руку Рынка веруешь? - Зачем же веровать в то, что можно наблюдать непосредственно?
|
|
|
m0Ray
|
|
February 04, 2011, 02:06:01 AM |
|
Может, придумаете задачку, в которой без Kerberos-а никак, тогда я пойму, зачем он нужен?
Администрирование 100 компьютеров, разбросанных по офисам корпорации. Чтобы обеспечить возможность конкретным пользователям быть админами на компах нужно научить эти компьютеры пониманию того что, скажем, юзер из группы admins - админ, плюс научить аутентифицировать юзеров, которые доступа к этим компьютерам ранее вообще не имели ни в каком виде. Вторую задачу решает kerberos. Мне почему-то для этого всегда хватало NIS и LDAP. Нам в институте таким образом предлагали доказать необходимость goto. Если студент мог придумать пример, который не решался без goto, ему разрешали этот оператор использовать. Не разрешили на моей памяти никому. goto используется не для решения неразрешимых проблем а для редкого но меткого улучшения читаемости кода ..., при этом нарушения структуры программы и в качестве потенциального источника трудно отлавливаемых багов. В этом вопросе я был солидарен с преподавателями.
|
|
|
|
|