bitcoinex (OP)
|
|
February 04, 2011, 02:07:49 AM |
|
Да другой же баг
Ну как же другой, когда написано CVE-2010-4015 ? Ещё раз: https://www.bitcoin.org/smf/index.php?topic=1018.msg44139#msg44139Биржа отключена в связи с багом (это про новый неподтверждённый баг) в новой версии Postgresql-сервера. Использование старой версии невозможно из-за обнаружения там опасной уязвимости. (это про CVE-2010-4015)
|
New bitcoin lottery: probiwon.com- Может, ты ещё и в Невидимую Руку Рынка веруешь? - Зачем же веровать в то, что можно наблюдать непосредственно?
|
|
|
m0Ray
|
|
February 04, 2011, 02:09:02 AM |
|
в частности, биллинговую систему.
значит это была плохо (недостаточно детально) засекьюренная система, либо не было требований по интеграции с другими серверами Вот у меня были веб-сервера (для работы админов и юзеров), сервера БД (кластер) и сервера доступа (NAS). И всё между ними прекрасно ходило. Серьёзных дырок за годы эксплуатации обнаружено не было. Kerberos не использовался и не планировался. Что я делал не так?
|
|
|
|
bitcoinex (OP)
|
|
February 04, 2011, 02:12:48 AM |
|
Может, придумаете задачку, в которой без Kerberos-а никак, тогда я пойму, зачем он нужен?
Администрирование 100 компьютеров, разбросанных по офисам корпорации. Чтобы обеспечить возможность конкретным пользователям быть админами на компах нужно научить эти компьютеры пониманию того что, скажем, юзер из группы admins - админ, плюс научить аутентифицировать юзеров, которые доступа к этим компьютерам ранее вообще не имели ни в каком виде. Вторую задачу решает kerberos. Мне почему-то для этого всегда хватало NIS и LDAP. LDAP не обеспечивает безопасной сквозной аутентификации (зашли на сервер, с него доступен другой сервер, потом третий и т.д.) и не умеет аутентифицировать на удалённом сервере используя локально воткнутую PKI-смарткарточку. (Админ пришёл на работу, воткнул карту в ридер и пошел на удалённый сервер настраивать. При всём желании пароль в такой схеме не украдёшь. Уйти с работы забыв карточку он тоже не сможет - дверь не откроется.) А ещё чистый керберос совсем не использует ассиметричное шифрование, так что когда квантовые компьютеры нас поработят перейдём на керберос в масштабах планеты
|
New bitcoin lottery: probiwon.com- Может, ты ещё и в Невидимую Руку Рынка веруешь? - Зачем же веровать в то, что можно наблюдать непосредственно?
|
|
|
ArsenShnurkov
Legendary
Offline
Activity: 1386
Merit: 1000
|
|
February 04, 2011, 02:14:59 AM |
|
Что я делал не так?
Не расчитывали на взлом web-части. В этом случае ваша БД осталась бы незащищенной против коннекта под аккаунтом, под которым работает web-приложение и была бы скомпрометирована полностью. А в случае отсутствия такого аккаунта (при использовании kerberos он не нужен) были бы скомпрометированы только данные пользователя, под которым удалось залогинится изначально. И у вас действительно не было требований по интеграции с другими серверами
|
|
|
|
m0Ray
|
|
February 04, 2011, 02:26:35 AM |
|
Не расчитывали на взлом web-части. В этом случае ваша БД осталась бы незащищенной против коннекта под аккаунтом, под которым работает web-приложение и была бы скомпрометирована полностью. А в случае отсутствия такого аккаунта (при использовании kerberos он не нужен) были бы скомпрометированы только данные пользователя, под которым удалось залогинится изначально.
Что-то я не совсем понял, где взялись бы данные пользователя без доступа к БД в случае с кербкросом. И у вас действительно не было требований по интеграции с другими серверами
Что вы тогда подразумеваете под "другими серверами"? Я, как архитектор, систему сначала продумал целиком, только потом взялся за реализацию. Все её части и связи с внешним миром были реализованы единообразно. Поэтому мне не пришлось изобретать костылей для интеграции - всё было уже интегрировано by design.
|
|
|
|
ArsenShnurkov
Legendary
Offline
Activity: 1386
Merit: 1000
|
|
February 04, 2011, 02:26:58 AM |
|
> это про новый неподтверждённый баг Я спросил какой баг. Вы ответили, что dsa-2157-1 вот этот баг в DSA: http://www.debian.org/security/2011/dsa-2157там говорится только про contrib modules, которых у меня нет Если это еще какой-то более новый баг, то дайте ссылку на (неподтвержденную) информацию о нем
|
|
|
|
m0Ray
|
|
February 04, 2011, 02:29:14 AM |
|
LDAP не обеспечивает безопасной сквозной аутентификации (зашли на сервер, с него доступен другой сервер, потом третий и т.д.) и не умеет аутентифицировать на удалённом сервере используя локально воткнутую PKI-смарткарточку. (Админ пришёл на работу, воткнул карту в ридер и пошел на удалённый сервер настраивать. При всём желании пароль в такой схеме не украдёшь. Уйти с работы забыв карточку он тоже не сможет - дверь не откроется.)
До таких извратов в нашей деревне ещё не дошли. А ещё чистый керберос совсем не использует ассиметричное шифрование, так что когда квантовые компьютеры нас поработят перейдём на керберос в масштабах планеты
Обалдеть. Всегда считал, что асимметричное шифрование надёжнее, чем симметричное.
|
|
|
|
LZ
Legendary
Offline
Activity: 1722
Merit: 1072
P2P Cryptocurrency
|
|
February 04, 2011, 02:33:04 AM |
|
Если это еще какой-то более новый баг, то дайте ссылку на (неподтвержденную) информацию о нем Собственно, пост на этом форуме и является такой информацией. Полагаю, bitcoinex сформирует и опубликует детальное описание.
|
My OpenPGP fingerprint: 5099EB8C0F2E68C63B4ECBB9A9D0993E04143362
|
|
|
ArsenShnurkov
Legendary
Offline
Activity: 1386
Merit: 1000
|
|
February 04, 2011, 02:33:15 AM |
|
Что-то я не совсем понял, где взялись бы данные пользователя без доступа к БД в случае с кербкросом.
я не понял, что неясно. И у вас действительно не было требований по интеграции с другими серверами
Что вы тогда подразумеваете под "другими серверами"? Пример: web-фронт-энт (огромный портал) коннектиться к аналитическому серверу или серверу подготовки отчетов. Сервер подготовки отчетов коннектится к БД. В случае с Kerberos - прокидываем аккаунт пользователя и каждый сервер может разграничить доступ для этого пользователя. Чей пароль подобрали или комп захватили - тот ССЗБ. ответственне пользователи - unaffected. В случае Без Kerberos - хакер ломает сервер с порталом, получает рутовый доступ, получает возможность запустить свой код под аккаунтом портала, обращается к аналитическому серверу и считывает секретную информацию ответственных пользователей.
|
|
|
|
m0Ray
|
|
February 04, 2011, 02:43:31 AM |
|
Что-то я не совсем понял, где взялись бы данные пользователя без доступа к БД в случае с кербкросом.
я не понял, что неясно. Пользовательские данные в случае биллинга содержат журнальные записи из БД. Если у веб-приложения нет связи с базой, где взять логи? И у вас действительно не было требований по интеграции с другими серверами
Что вы тогда подразумеваете под "другими серверами"? Пример: web-фронт-энт (огромный портал) коннектиться к аналитическому серверу или серверу подготовки отчетов. Сервер подготовки отчетов коннектится к БД.
В случае с Kerberos - прокидываем аккаунт пользователя и каждый сервер может разграничить доступ для этого пользователя. Чей пароль подобрали или комп захватили - тот ССЗБ. ответственне пользователи - unaffected.
В случае Без Kerberos - хакер ломает сервер с порталом, получает рутовый доступ, получает возможность запустить свой код под аккаунтом портала, обращается к аналитическому серверу и считывает секретную информацию ответственных пользователей.
Да какой же идиот даёт рутовый доступ веб-порталу? И да, слово "трёхзвенка" или вообще multi-tier вам знакомо? И ещё, между серверами у меня единая БД юзеров и прав. Зачем мне какие-то там прокидывания, если я могу вызвать функцию из специальной библиотеки и получить всё, что нужно?
|
|
|
|
ArsenShnurkov
Legendary
Offline
Activity: 1386
Merit: 1000
|
|
February 04, 2011, 02:44:48 AM |
|
Да какой же идиот даёт рутовый доступ веб-порталу?
Какие буквы в словосочетании "несанкционированно порутили" вам не ясны? между серверами у меня единая БД юзеров и прав. Зачем мне какие-то там прокидывания, если я могу вызвать функцию из специальной библиотеки и получить всё, что нужно? Затем, что у хакера есть сниффер и рутовый доступ и он тоже может вызвать функцию из специальной библиотеки.
|
|
|
|
m0Ray
|
|
February 04, 2011, 02:46:59 AM |
|
Да какой же идиот даёт рутовый доступ веб-порталу?
Какие буквы в словосочетании "несанкционированно порутили" вам не ясны? Я на подобные вещи обычно отвечаю - порутайте-ка мой сервак. Обычно после скана и нескольких попыток применить сплойт разговор или заканчивается, или переходит в троллинг и срач за неимением аргументов.
|
|
|
|
ArsenShnurkov
Legendary
Offline
Activity: 1386
Merit: 1000
|
|
February 04, 2011, 02:49:14 AM |
|
Я на подобные вещи обычно отвечаю - порутайте-ка мой сервак.
да-да, некоторые - бэкапы тоже не сразу начинают делать. А другие - керберос не считают нужным использовать. Каждому свое.
|
|
|
|
m0Ray
|
|
February 04, 2011, 02:58:15 AM |
|
между серверами у меня единая БД юзеров и прав. Зачем мне какие-то там прокидывания, если я могу вызвать функцию из специальной библиотеки и получить всё, что нужно? Затем, что у хакера есть сниффер и рутовый доступ и он тоже может вызвать функцию из специальной библиотеки. 1) Сниффер не поможет, не в хаб серваки втыкаем. 2) Рутового, да и вообще произвольного доступа у него нет. По одной простой причине. Когда пишется программа, у каждого кодера перед глазами висит крупными буквами надпись: "Пользователь - дурак и подлец". Всё, что приходит от юзера, подвергается жёсткой многократной проверке. Также вовремя патчится софт и регулярно меняются пароли. Используются сканеры безопасности. iptables настраивается чуть ли не вручную. Ни один мой сервак ещё не был взломан, а тем более порутан. З.Ы. Бэкапы я научился делать ещё во времена 5.25" дискет.
|
|
|
|
ArsenShnurkov
Legendary
Offline
Activity: 1386
Merit: 1000
|
|
February 04, 2011, 03:01:37 AM |
|
Ни один мой сервак Вот когда будете разрабатывать системы, которые будут не вами эксплуатироваться, тогда и поговорим
|
|
|
|
m0Ray
|
|
February 04, 2011, 03:03:46 AM |
|
Ни один мой сервак Вот когда будете разрабатывать системы, которые будут не вами эксплуатироваться, тогда и поговорим Биллинг, который я создал, эксплуатировался таки не мной.
|
|
|
|
dabbad
|
|
February 04, 2011, 03:04:15 AM |
|
Аллё, уважаемые! Страницы 14-15 оффтоп!! И не надо мне советовать "... не читайте эти страницы ...", пожалуйста и тогда ...
|
| █ █ | | █ █ | | ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████ ████
|
|
|
|
LZ
Legendary
Offline
Activity: 1722
Merit: 1072
P2P Cryptocurrency
|
|
February 04, 2011, 03:07:22 AM |
|
порутайте-ка мой сервак Ну, сразу бы адрес указали.
|
My OpenPGP fingerprint: 5099EB8C0F2E68C63B4ECBB9A9D0993E04143362
|
|
|
m0Ray
|
|
February 04, 2011, 03:15:08 AM |
|
порутайте-ка мой сервак Ну, сразу бы адрес указали. И указал бы с пару лет назад... К сожалению, последний мой сервак был порутан физически ментами из отдела "К". Новых не заводил, ибо пока незачем. Ладно, действительно оффтопик зверский получился, пора заканчивать.
|
|
|
|
ArsenShnurkov
Legendary
Offline
Activity: 1386
Merit: 1000
|
|
February 04, 2011, 03:17:10 AM |
|
порутан физически Вот, кстати, с использованием Kerberos и от этого можно защититься. Тут где-то была объява о геохостинге, в котором серверы располагаются поближе к пользователю, на таком можно и развернуться.
|
|
|
|
|