Компания Qualys выявила критическую уязвимость (CVE-2024-6387) в OpenSSH, позволяющую добиться удалённого выполнения кода с правами root без прохождения аутентификации. Уязвимость, которая получила кодовое имя regreSSHion, проявляется начиная с версии OpenSSH 8.5 на системах со стандартной библиотекой Glibc...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=61470
Конечно на фряхе же нет Глибс,а линуксоидам страдать.
FreeBSD-SA-24:04.openssh Security Advisory
The FreeBSD ProjectTopic: OpenSSH pre-authentication remote code execution
Ну да, точно.
> FreeBSD-SA-24:04.openssh Security Advisory
> The FreeBSD Project
> Topic: OpenSSH pre-authentication remote code executionСейчас он промямлит "ну не очень то и хотелось", только запатчит свои системы :)
На линуксе тоже работает musl. Alpine, Gentoo например.
То, что musl не подвержен, пока не доказано.
> "Timeout before authentication"в недавней новости про встроенную защиту в sshd кто-то прогнозировал отмену fail2ban https://www.opennet.dev/openforum/vsluhforumID3/133952.html#1
>На линуксе тоже работает musl. Alpine, Gentoo например.нормальный линукс для серверов это OL8, ичсх not affected
дебиан, очередной шах и мат.
А вам новость внимательно читать.
Угу,написано же фря значит не только лишь у полтора фрика оно установленно. Я понял.D
Вы уверены в том, что умеете читать?
Может носом ткнете?
> лишь у полтора фрика оно установленно.Это те самые которые Netflix обслуживают? Вот что значит спецы !
Вот сильно сомневаюсь,что они на Фре Глибс натыкали.
Я только о землекопах
Ля,во Фре по умолчанию нет Глибс и установленно оно скорее всего у полтора фрика.Надеюсь так понятнее. Какой-то аноним при этом вылез и показывает,что вообще оно есть и даже пропатчено.На голубом глазу тычет при этом в статью,хотя Фрю только в видосиках видел.
Казалось бы, при чём тут glibc? Оно потенциально работает на всех libc, кроме openbsd-шной.
Что же,такого я действительно в статье не видел - каюсь. Только слово потенциально, меня все же смущает.D
> Ля,во Фре по умолчанию нет Глибс и установленно оно скорее всего у
> полтора фрика.Надеюсь так понятнее.Так оно конечно понятнее о каких землекопах, с чего и следовало начинать, но еслу вы посмотрите новость, то там не только глибц, а потенциально все либц, окромя опенка
- else if (timespeccmp(&now, &next_interval, >=)) {
- /* Otherwise if we were due to send, then send chaff */
+ else if (timespeccmp(&now, &next_interval, >=) &&
+ !ssh_packet_have_data_to_write(ssh)) {
+ /* If due to send but have no data, then send chaff */Патч впечатляет.
Даже слов нет.
https://www.opennet.dev/opennews/art.shtml?num=28998
Опять этот глибс! Говорила мама собирать на масле. Хотя логика атаки допускает использование других библ, винить мы будем именно раздутый глибс.
Так как дыра в сигнало-небезопасной реализации вызовы syslog(), то винить мы будем все libc, где нет сигнало-безопасного syslog_r.
Слава Богу dropbear неуязвим.
> With a heap corruption as a primitive, two FILE structures malloc()ated in the heap, and 21 fixed bits in the glibc's addresses, we believe that this signal handler race condition is exploitable on amd64 (probably not in ~6-8 hours, but hopefully in less than a week). Only time will tell.Эксплоита для 64бит пока нет, взлом в теории занимает до недели.
> Side note: we discovered that Ubuntu 24.04 does not re-randomize the ASLR of its sshd children (it is randomized only once, at boot time); we tracked this down to the patch below, which turns off sshd's rexec_flag. This is generally a bad idea, but in the particular case of this signal handler race condition, it prevents sshd from being exploitable: the syslog() inside the SIGALRM handler does not call any of the malloc functions, because it is never the very first call to syslog().
Бубунту в своём стиле.
---
На OpenWRT используется MUSL, можно спать спокойно.
Дыра по факту страшная, наверное, самая страшная за последние несколько лет.
> На OpenWRT используется MUSL, можно спать спокойно.
> в других системах на основе стандартных библиотек, отличных от Glibc, теоретически возможна адаптация метода для совершения атакиНу спите, спите.
FreeBSD тем временем тоже фикс выкатили, хотя у них не glibc.
> Ну спите, спите.
> FreeBSD тем временем тоже фикс выкатили, хотя у них не glibc.Как ты понимаешь, с его ником его мозга немного не хватило чтобы прочитать описание эксплойта и подумать головой что такие гонки и на кучи других конфиг можно попробовать создать.
и вообще, чего раскричались-то? Наши бубубунты 14 и 16 совершенно неуязвимы!
если не включать
> если не включатьА вот и наши двое из ларца - одинаковы с лица! :)
> На OpenWRT используется MUSL, можно спать спокойно.На openwrd обычно используется Dropbear, а эксперты опеннета как обычно про это не в курсе.
Впрочем, они и про безопасность musl задним числом расскажут. Ведь проверить можно ли гонку создать там - их экспертизы все равно не хватит. Зато языком почесать с умным видом...
> Side note: we discovered that Ubuntu 24.04 does not re-randomize the ASLR of its sshd children (it is randomized only once, at boot time); we tracked this down to the patch below, which turns off sshd's rexec_flag. This is generally a bad idea, but in the particular case of this signal handler race condition, it prevents sshd from being exploitable: the syslog() inside the SIGALRM handler does not call any of the malloc functions, because it is never the very first call to syslog().
>Бубунту в своём стиле.Поясните для тупых. У бубунтовых используется модифицированный SSH со сломанным ASLR?
А что я увижу в /proc/sys/kernel/randomize_va_space в таком случае? Все еще "2", но при этом рандомизация будет происходить только один раз?
Не оч понятно просто про какой патч они говорят. Наоборот же, для усложнения атаки, ASLR должен быть включен и быть полноценным, а они пишут про we tracked this down to the patch below. Это про какой такой патч?
Почему страшная? Удалённый рут без аутентификации это наоборот классно.
Удалённый рекурсивный-усиленный?
>Эксплоита для 64бит пока нет, взлом в теории занимает до недели.А разговоров то было.
> что обработчик сигнала вызывает функции, не безопасные при асинхронной обработке сигналовhaha, classic
> Уязвимость появилась в результате регрессивного изменения
которое было сделано в Oct 16, 2020
Неплохо так бекдор закинули. 3+ года отработал, теперь можно и "закрыть"Куда же смотрели тыщщи глаз?..
> Куда же смотрели тыщщи глаз?..Эти глаза существуют только в фантазиях фанатов open source, которые считают, что "раз есть сорцы, то софт более безопасен априори". По факту имеем что имеем, что open source имеют.
Недавний троян в XZ прекрасно показал эти фиктивные тысячи глаз.
а что, в проприетарном софте нет этих тысяч глаз? в корпорациях работают миллионы программистов и существует практика кодревью, когда трое обязаны смотреть и проверять что четверти наговнокодил, и что, там нет багов? полно!вот другое когда ты берешь опенсоурс и у тебя есть возможность открыть исходный код и всё проверить самому, будешь ты это делать или не будешь, другой вопрос
microsoft windows, прошивки d-link, cisco ios - серьезные проприетарные продукты, но бэкдоры в них находят регулярно.
Так это не баги, всё нормально. В теории идея не пропускать сомнительный код, если конечно цель не напихать бэкдорчиков, как в случае с типичными проприетарными продуктами.
Это не баги, это бизнес-модель такая, учитывающая широкий круг интересов, включая покрываемые госфинансированием.
> а что, в проприетарном софте нет этих тысяч глаз?Там этих глаз сильно меньше. Ибо нанимают все же на минималках. С запасом никто человеческие ресурсы не берет. Жаба же. Продукт 1 и тот же - а на зарплаты больше уходит.
> в корпорациях работают миллионы программистов и существует практика кодревью,
> когда трое обязаны смотреть и проверять что четверти наговнокодил, и что, там нет багов? полно!А реально полтора замордованых землекопа, с дефицитом времени и более 9000 тасков в буфере, так что ревью там совсем на минималочках может быть. И не идет ни в какое сравнение с независимым тыканием палочкой как вооооон те.
Сколько ревьюверов от проприетари вообще понимает топик гонки в обработке сигналов? Целые 10 на весь глобус? Оок! Может гуглу, и если повезет, фэйсбуку, их даже достанется. А если вы не они - suxx to be you.
> вот другое когда ты берешь опенсоурс и у тебя есть возможность открыть
> исходный код и всё проверить самому, будешь ты это делать или
> не будешь, другой вопросНу вон те господа взяли исходники и провели прицельный тематический аудит. А пропретарные ревьеры точно такой уровень вообще - умеют?! И если да, то сколько из?! Вон то - качественный профессиональный анализ тематической фирмочкой. А могут они его как раз потому что сорцы были.
В корпорациях код-ревью проводят специалисты, которые получают за это зарплату. В опенсорсе никого не обязывают проводить код-ревью и тут срабатывает "эффект дженовезе" никто не проверяет код, ибо каждый надеется на то, что его проверит кто-то другой.
"Недавний троян в XZ прекрасно показал эти фиктивные тысячи глаз."Если это сарказм, то не понятный. Ведь действительно показал. Не успел ещё распространиться, а его уже обнаружили. И иметь даже теоретическую возможность обнаружения из за открытого кода - дорогого стоит.
Так пара глаз из тысяч как раз и высмотрела.
> Так пара глаз из тысяч как раз и высмотрела.Нет. Проблему нашли специально обученные люди из фирмы, которые этим профессионально занимаются.
Наверное потому что им дали заказ. Или они решили себя прорекламировать.
Аналогично их нанимают для аудита коммерческих продуктов. Просто об этом не трезвонят.А тыщщи глаз как всегда тупили.
Напоминаю: работа этой фирмы стала возможной потому, что код сделали открытым для тысяч глаз. Если бы у sshd код был закрытым, то на его анализ был бы совершенно другой ценник, и его бы никто не заказал по такой цене.
Такие фирмы прекрасно живут и на аудите проприетарного кода.
Плюс ты не знаешь кто, почему и за чьи деньги заказал аудит.Не фирма должна быть благодарна, за то, что код оказался открытым, а пингвиноиды за то, что им дыру прикрыли.
> Если бы у sshd код был закрытым, то на его анализ был бы совершенно другой ценник, и его бы никто не заказал по такой цене.
С чего это вдруг? Им без разницы открытый код или нет. Работа же делается одна и та же.
Но даже если, то разумеется Linux Foundation же настолько нищая, что у них нет на это денег.
>С чего это вдруг? Им без разницы открытый код или нет. Работа же делается одна и та же.Закрытый - пришлось бы реверсить. Напоминаю: исходник доступен только когда лица с доступом к нему заказали. Представим, что исходник sshd закрыт. Предположим, что доступ к нему есть только у разрабов OpenSSH. В данном случае аудит заказали не разрабы OpenSSH, иначе уведомление об уязвимости было бы в другой форме, а не full disclosure. Тогда получается, что иной формы получить информацию о деталях реализаци продукта, кроме как реверсинг, у компани нет. И добавляются юридические риски. И реверсенный исходник - не сахар. А это уже выливается в на порядки больший ценник.
> Закрытый - пришлось бы реверсить.WAT??? Речь идет не про реверс чужой программы.
С закрытым кодом владельцы сами приходят к аудитору, предоставляют ему сорцы и всё что нужно для работы. Иногда даже выделяют сотрудников и/или рабочие места. А если код нельзя передавать, то аудиторы работают на месте с оплатой всего - проживание, питание и тд.
В таком случае открытость кода - это недостаток, его может на порядки легче ковырять кто угодно. И использовать результаты как захочет. А на ковыряние бинарников какой-то винды придется потратить намного больше усилий.
А владелец - дурак, что ль? Платить, кормить и проживать господ аудиторов, когда можно совершенно бесплатно, авторитетно заявить: "Код безопасный, закрытый, небитый, мамой неуловимого Джо клянусь". Сам он этим кодом не пользуется, он им торгует. Какой интерес тратиться на аудит, когда можно потратиться на рекламу, и сразу убить двух зайцев за те же деньги?> А на ковыряние бинарников какой-то винды придется потратить намного больше усилий.
Вот именно. Поэтому мелкософту злоумышленник раскрывать с трудом найденное не будет, а побежит сдавать в даркнет. А самому проверять закрытое - весьма накладно, да и лицензия явно запрещает. Шах и мат твоей "безопасности".
> А владелец - дурак, что ль?Владелец отнюдь не дурак. Не во всех случаях можно совершенно бесплатно, авторитетно заявить.
Потому что потом тебе могут выкатить штраф на пару лярдов баксов.
Поэтому умный владелец проводит аудит. Собственно существование таких фирм само по себе подтверждение что их услугами кто-то пользуется.> Поэтому мелкософту злоумышленник раскрывать с трудом найденное не будет,
> а побежит сдавать в даркнет.А легко найденое в открытом точно также продается в даркнете. Или используется "ими".
У них целые отделы сидят и ищут дыры в открытом коде. И они сообщают об этом авторам только тогда, когда нужно, а не когда нашли.
Хоть один штраф покажи. То что продаётся на рынке, продаётся "AS IS". Это покупатель рискует проштрафится, если ключ активирует в неправильной позе или без уважения.В открытых проектах дырки, как раз, ищут часто бесплатно, для репутации, презентации, рекламы.
> А владелец - дурак, что ль?Конечно нет. Был бы глупым - побежал открывать код и дарить все права жуликам из ФСФ.
> Платить, кормить и проживать господ аудиторов, когда можно совершенно бесплатно, авторитетно заявить: "Код безопасный, закрытый, небитый, мамой неуловимого Джо клянусь".
Не дружище, ты наверное никогда не участвовал в коммерческой разработке.
Особенно B2B.
Для серьезных заказчиком тебе придется показать и аудит, и всякие ISO по менеджменту.> Сам он этим кодом не пользуется, он им торгует.
В смысле? Продал и забыл?
Ну так это уже прошлый век.
Сейчас основная модель подписка - разработчик знает что он не останется без работы, а заказчик, что есть кто-то, кто будет пилить фичи и исправлять баги.> Какой интерес тратиться на аудит, когда можно потратиться на рекламу, и сразу убить двух зайцев за те же деньги?
Чушь. Подойдет только для фирм однодневок.
> Поэтому мелкософту злоумышленник раскрывать с трудом найденное не будет, а побежит сдавать в даркнет.
Именно поэтому мелкомягкие тратятся на Bug Bounty. Как и гугл и куча других фимр.
> Для серьезных заказчикомНужно только лицо по-серьезнее делать. И голословные заявления не устно, а на бумажке с печатью подавать, в трех экземплярах, на природе, за накрытым столом, между первой и второй.
> Подойдет только для фирм однодневок.
Одна из ста таких одновневок становится относительно успешной, продаётся конторе по-крупнее и начинает постепенно увеличивать аудиторию, а безопасность как была на уровне стратапа-на-коленке, так и остаётся.
> мелкомягкие тратятся на Bug Bounty
Только для тех проектов, которые используют в собственной инфраструктуре.
> А владелец - дурак, что ль? Платить, кормить и проживать господ аудиторов, когда можно совершенно бесплатно, авторитетно заявитьЗаявить можно. Продать тяжело, особенно секьюрити продукт. «Я тебе, конечно, верю…» но ты мне покажи результаты независимого аудита до покупки. А не покажешь, так тебе в затылок дышут ещё пятеро, и у них аудит уже готов. Я знаю, приходилось и покупать, и продавать.
Ты просто завидуешь что в швинде так нельзя.
Данная проблема существует на Линукс-лайк системах. На винде данной проблемы нет. Так что завидовать должны линуксятники
Проблема закрытости? В швиндоуз десятки точно таких же бекдоров и никто даже не пытается делать вид что чешется.
> десятки точно таких же бекдоровА пруфы будут?
Пока ты тут только подгазовываешь в лужу.
Статистику по вредоносам посмотри, а потом задайся вопросом, как они проникают и закрепляются в системе.
Тебе статистику показать - ты всё равно заверещишь что это а андроиде/убунте/федоре/etc, а в твоём раче, диване или другом васяниксе такого нет и потому не считается.
> Тебе статистику показать - ты всё равно заверещишь что это а андроиде/убунте/федоре/etc,
> а в твоём раче, диване или другом васяниксе такого нет и
> потому не считается.А где оно собссно под убунты, андроиды и федоры? Впрочем в андроиде софт такой что там никакой малвари и не надо - сама система и софт такие что устанавливать что-то дополнительно явный перебор. Но опять же - есть сборки без всего этого.
> Проблема закрытости? В швиндоуз десятки точно таких же бекдоров и никто даже
> не пытается делать вид что чешется.Как показали последние новости, на Линуксах также есть бэкдоры!
Но именно данной проблемы, из новости, в Винде нет.
> Данная проблема существует на Линукс-лайк системах. На винде данной проблемы нет. Так
> что завидовать должны линуксятникиНе вижу чему там завидовать. Тормозная ОС, с гнилыми системными кишками, которые почти не развивается. Не кастомизируемая, в каждой новой версии все больше и больше подлян. Все современные направления типа ARM, RISCV, mobile и проч безнадежно отстают. Да что там - от очень хорошей жизни WSL аж сделали. Потому что вот именно свой шелл в винде УГ, что cmd, что powershell. И терминалки - за все десятилетия потуг даже простенткому XFCE конкуренццию не смогли. Ну девелоепрс-девелоперс, и сделали с такой платформы драп-драп.
А вы там можете смотреть рекламу, отсылая текст в нотпаде майкрософту, в перерыве между отчетами по активациям. Я же такое юзать не буду даже если мне приплатят. Мерзкая ОС.
>> Данная проблема существует на Линукс-лайк системах. На винде данной проблемы нет. Так
>> что завидовать должны линуксятники
> Не вижу чему там завидовать.Повзрослей. Разговор шел не про зависть.
> Тормозная ОС, с гнилыми системными кишками, которые
> почти не развивается.Это у тебя фантазия, в реальности всё ровно наоборот.
> Не кастомизируемая,
Вранье конечно. На винде также можно менять иконки как и на Линуксе. Хехе
> в каждой новой версии все больше
> и больше подлян.Так ты выше писал, что не развивается. Фантазер ты хоть в одном комменте не пиши взаимоисключающие тезисы.
> Все современные направления типа ARM, RISCV, mobile и
> проч безнадежно отстают.И много десктопов на этих процах? Примерно нисколько! Почему винда должна под эти процы развиваться? Винда коммерческий продукт, она не делает то что не нужно.
> Да что там - от очень хорошей жизни
> WSL аж сделали. Потому что вот именно свой шелл в винде
> УГ, что cmd, что powershell. И терминалки - за все десятилетия
> потуг даже простенткому XFCE конкуренццию не смогли. Ну девелоепрс-девелоперс, и сделали
> с такой платформы драп-драп.Фантазер в своем маня мирке даже не представляет зачем был сделан WSL. Это просто ржач) Чтобы заменить шел. Это просто дикий ржач)))
> А вы там можете смотреть рекламу,
Это конечно мощная у тебя фантазия.
> отсылая текст в нотпаде майкрософту, в
> перерыве между отчетами по активациям.Сильно тебя штырит.
>Я же такое юзать не буду
> даже если мне приплатят. Мерзкая ОС.А тебя кто то заставляет фантазер? Порвался от слова Винда, наплел чуши несусветной и как итоге сказал что не будет пользоваться. Ты как не уловимый Джо.
>> Не вижу чему там завидовать.
> Повзрослей. Разговор шел не про зависть.Это как? Стань старым хpычoм? Переехай на кладбище? Да ну нафиг.
> Это у тебя фантазия, в реальности всё ровно наоборот.
Я заметил, ворочая разлапистыми иерархиями с 100K+ файлов, билдуя проекты размером с линукскернел и проч. А так то одна из причина перехода на линь - проект раза в 3 быстрее билдился. Все что надо знать о маздайке. А ничего сравнимого с btrfs там вообще нет. Сами свои технологии из 90 в нтфс юзайте.
> Вранье конечно. На винде также можно менять иконки как и на Линуксе.
Я эмбедовку фигачу, там другой уровень кастомизации уместен. Ну а винда соответственно не модульная, да и по сути x86-only. На ARM пытается, но "драйверов нет, б...!"
> комменте не пиши взаимоисключающие тезисы.
Не говорите мне что делать - и я не скажу куда вам идти.
> И много десктопов на этих процах? Примерно нисколько!
Ну во первых - уже есть и борды из которых можно десктоп сделать.
Во вторых вотпрямща активно развиваются ноуты на армах.
В третьих, на десктопах мир не заканчивается, внезапно.А таки лично мой следующий воркстейшн будет уже имхо не x86. Достали меня эти господа с ME и PSP. Все мои воркфлоу 1 фиг на опенсорсном софте - так что мне похрен на архитектуру.
> Почему винда должна под эти процы развиваться? Винда коммерческий продукт,
На минутку виндофоны вон трепыхались. Но не смогли. Сейчас с ноутами трепыхаются, внезапно. Опять будет поддержка целого квалкома поди, как обычно.
> Это просто ржач) Чтобы заменить шел. Это просто дикий ржач)))
Хорошо смеется тот кто смеется последний.
> Это конечно мощная у тебя фантазия.
Спасибо, видал я эту фантазию у хомячков в маздайках 10/11. Себе такого что-то не хочется, так что...
> несусветной и как итоге сказал что не будет пользоваться. Ты как
> не уловимый Джо.Сначала выучи как фраза пишется, чудик, потом пафос разводить будешь. А, да, кстати спасибо за демо на предмет экосистемы и кто винду юзает. В линухе пользователи поинтереснее, производят впечатление разумного существа а не биоробота. В отличие от вас.
Так, по жизни я от вас на этом форуме никогда не видел никаких полезных сведений или пруфа знаний и скилов. Только потуги самоутверждаться за чужой счет. Так что гнилая у вас не только ОС - но и экосистема. Между нами, до того как "повзрослеть" переехав на кладбище, я предпочту поотвисать с вон теми. А не такими как вы. С умными и конструктивными людьми свою жизнь провести - намного приятнее.
> Это как? Стань старым хpычoм? Переехай на кладбище? Да ну нафиг.Нет. Это когда читаешь комментарий и отвечать по существу. А не как ребенок, если зад горит, то надо навалить левых тезисов, о которых никто не спрашивал и не утверждал, и сидеть с довольным лицом, мол смотрите как я его. А на тебя смотрят как малолетку, который не умеет в разговор.
>> Это у тебя фантазия, в реальности всё ровно наоборот.
> Я заметил, ворочая разлапистыми иерархиями с 100K+ файлов, билдуя проекты размером с
> линукскернел и проч. А так то одна из причина перехода на
> линь - проект раза в 3 быстрее билдился. Все что надо
> знать о маздайке.То есть наплести кучу идиотизма и это твои знания. Молодец.
А ничего сравнимого с btrfs там вообще нет.> Сами свои технологии из 90 в нтфс юзайте.
Еще раз, ты не знаешь предмет разговора. Уже НТФС не угодил ему.
НТФС хоть и вышла в 93 году, но вполне удачно развивается и последние обновление было с выходом 10 винды.
Все что нужно для современной работы с ФС, там есть.
То есть ты опять соврал.>> Вранье конечно. На винде также можно менять иконки как и на Линуксе.
> Я эмбедовку фигачу, там другой уровень кастомизации уместен. Ну а винда соответственно
> не модульная, да и по сути x86-only. На ARM пытается, но
> "драйверов нет, б...!"О боже. Ты максимум трусы фигачишь в стиралку неуч.
Windows 10 IoT иди гугли и не позорься.
Ребенок, перед тем как умничать, подумай, стоит ли оно того.> Не говорите мне что делать - и я не скажу куда вам
> идти.так что ты тут делаешь? За собой не пробовал следить?
Разговор шел об SSH , но приперся ребенок и давай рассказывать какая винда ужасная.
Повзрослей.> Ну во первых - уже есть и борды из которых можно десктоп
> сделать.
> Во вторых вотпрямща активно развиваются ноуты на армах.
> В третьих, на десктопах мир не заканчивается, внезапно.
> А таки лично мой следующий воркстейшн будет уже имхо не x86. Достали
> меня эти господа с ME и PSP. Все мои воркфлоу 1
> фиг на опенсорсном софте - так что мне похрен на архитектуру.Как этот выдуманый бред касается SSH и Windows? Что ты тут вы*ираешь офтоп?
>> Это конечно мощная у тебя фантазия.
> Спасибо, видал я эту фантазию у хомячков в маздайках 10/11. Себе такого
> что-то не хочется, так что...Да не пользуйся, кто тебя заставляет ребенок? Тебе кто то сказал ставить винду? Ты там случайно не наркоманишь? Как это касается SSH и Windows?
> кто винду юзает.
Жаль, что линуксом пользуются такие дети. Это просто позорище.
> В линухе пользователи поинтереснее, производят впечатление разумного существа а не биоробота.
> В отличие от вас.Сказал ребенок, который влез офтопом в тему про SSH и "дыру в безопасности" и начал рассказывать как его заставляют винду юзать и как он сопротивляется.
Ты как веган. Который верещит на углу, что он мясо не ест. Когда всем пофигу на тебя и что ты ешь.> Так, по жизни я от вас на этом форуме никогда не видел
> никаких полезных сведений или пруфа знаний и скилов. Только потуги самоутверждаться
> за чужой счет. Так что гнилая у вас не только ОСЯ с этого прям поржал.
Чел пришел в тему про... я устал повторять, но все таки... SSH и начал рассказывать какой он крутой, умный, а виндой его не заставят пользоваться. А потом рассказал, что виндузятники не такие и бла бла. Короче, ребенок. Ты как давно линукс поставил? неделю? Или две? ))))
Я таких линуксятников сотни уже видел. Поставили не давно и начинают всем рассказывать какая крутая система, да что там винда, да вот линукс, да я, да она, да ты что ахахахаха
Правда потом такие дети уходят на винду, ведь одно дело играться, а другое дело работать.
Играться то надоест))> - но и экосистема. Между нами, до того как "повзрослеть" переехав
> на кладбище, я предпочту поотвисать с вон теми. А не такими
> как вы. С умными и конструктивными людьми свою жизнь провести -
> намного приятнее.Чел с тобой ни один нормальный линуксятник не будет отвисать. Ты тупо не интересен.
Я в жизни не согласился бы с таким ребенком обсжудать Линукс.
Мы с тобой банально на разных уровнях.
У меня Линукс это рабочий инструмент. А у тебя игрушка для самоутверждения.
Я в Линуксе работаю больше чем ты живешь на свете. И пользовался такими дистрибутивами, о которых знают единицы людей.З.Ы. Ребенок не офтопь.
> который не умеет в разговор.Это говорит человек, который занимается самоутверждением за счет других, и не сказал за все время на форуме нихрена полезного. Так, штрих в картину.
> Еще раз, ты не знаешь предмет разговора. Уже НТФС не угодил ему.
Я прекрасно видел как это работает. Мне такое в 2024 не надо.
> НТФС хоть и вышла в 93 году, но вполне удачно развиваетсяЛично мне нравится как это у пингвина в btrfs и bcachefs развивается, хочу видеть будущее каким-то таким. С удобным, простым и логичным управлением, с минимумом ограничений.
> О боже. Ты максимум трусы фигачишь в стиралку неуч.
Очередной культурный всплеск в стиле маздайцев.
> Windows 10 IoT иди гугли и не позорься.
Полудохлая потуга мелкомякоти. И таки - драйверов под маздайку с гулькин нос. Да, пингвин в ЭТОМ обставил маздайку как с куста. Поддерживая чертову кучу SoC в майнлайне, куча дров для всяких датчиков и чего там еще на i2c/spi/uart и прочее IIO. Так что толку с потуг мелкомякоти вам будет - нифига. Кто вам эти дрова напишет? ;)
> Ребенок, перед тем как умничать, подумай, стоит ли оно того.
Клoyн, подумай что до того как вещать по теме - стоит прикинуть что оппонент может в ней что-то смыслить.
> так что ты тут делаешь? За собой не пробовал следить?
Сразу после тебя, мистер.
> Разговор шел об SSH , но приперся ребенок и давай рассказывать какая
> винда ужасная. Повзрослей.А хренли, я с нее свалил потому что отсутствие развития системы и трэш с автоматизацией достали :)
> Как этот выдуманый бред касается SSH и Windows? Что ты тут вы*ираешь офтоп?
А, то-есть когда крыть стало нечем - вспомним что это офтоп. А до тех пор нормалек. Оок!
> винду? Ты там случайно не наркоманишь? Как это касается SSH и Windows?
Хехе, чот-то ты уже заткнулся на тему чего там на десктопах нет и проч. А ssh в винде - я не понимаю нахрен он там. Когда-то я даже юзал там - putty, но таки это криво по сравнению с обычной линухвой консолью. И таки в именно винде нормальных терминалок вообще хрен найдешь. В WSL еще может быть, но эта резиновая зина - для совсем извращенцев.
> Сказал ребенок, который влез офтопом в тему про SSH и "дыру в
> безопасности" и начал рассказывать как его заставляют винду юзатьГде я рассказал что меня заставляют? Дедуля в мapaзм никак впал?
> Чел пришел в тему про... я устал повторять, но все таки... SSH
> и начал рассказывать какой он крутой, умный, а виндой его не заставят пользоваться.Ты тоже с своими экспертными заявочками каких там десктопов на чем нет - отличился. Но это нещитово видимо. Зато - вот - уровень экспертизы измерен на конкретном топике. И по реакции я все прекрасно вижу.
> бла. Короче, ребенок. Ты как давно линукс поставил? неделю? Или две?
В эпоху убунты 5 или 6. Это, кажется, немного дольше. В телепатии эксперт такой же нерюх как и в остальном.
> Правда потом такие дети уходят на винду, ведь одно дело играться,
Да вот что-то за ...цать лет никуда не собрался, напротив - направление понравилось и я доразвился в сторону системной интеграции и эмбедовки. За 5 минут это не получится.
> Играться то надоест))
Линух для работ намного круче - автоматизируется лучше, разгоняет мою эффективность. Я в нем печатки в KiCad наворачиваю, фирмвари МК пописываю и - вот - всякую околоэмбедовочную системную интеграцию. Такая фигня. Это намного кайфовее чем всякий маздай.
> Чел с тобой ни один нормальный линуксятник не будет отвисать.
Ох, лол, ты даже не знаешь где они обитают. А мнение - имеешь.
> Я в жизни не согласился бы с таким ребенком обсжудать Линукс.
Да кого это колышет? Я прекрасно вижу что моя экспертиза в лине куда мощнее. А ты эникей обычный. Пафосный не в меру.
> Мы с тобой банально на разных уровнях.
Да.
> У меня Линукс это рабочий инструмент. А у тебя игрушка для самоутверждения.
А у меня это любимый инструмент. В таком виде опенсорс - намного круче работает и можно достичь гораздо большего. Ты обычный унылый корпоративный мясник. Без особых интересов и скилов. Я таких вижу за версту. Мне не о чем с такими разговаривать - мы таких презираем. Вы никогда не будете на одном уровне с нами по скиллам и возможностям.
> Я в Линуксе работаю больше чем ты живешь на свете.Самоуверенность некоторых чудиков бывает весьма забавной. Впрочем я заканчиваю тратить мое время на таких овощей, вы того не стоите.
> Это говорит человек, который занимается самоутверждением за счет других, и не сказал
> за все время на форуме нихрена полезного. Так, штрих в картину.Если ты не заметил, это новость. Тут обсуждают новость. А не помогают. В очередной раз доказательство твоей глупости.
> Я прекрасно видел как это работает. Мне такое в 2024 не надо.
Ты прекрасно показал, что ничерта не знаешь.
>> НТФС хоть и вышла в 93 году, но вполне удачно развивается
> Лично мне нравится как это у пингвина в btrfs и bcachefs развивается,
> хочу видеть будущее каким-то таким. С удобным, простым и логичным управлением,
> с минимумом ограничений.Ну и хорошо. Какие претензии к НТФС? Что она не btrfs и bcachefs? А должна?
Самая глупая претензия от доморощеного линуксятника.> Очередной культурный всплеск в стиле маздайцев.
Сказал слепой фанатик, который всех кто с ним не согласен записывает в маздайцы.
Учитывая, что пользоваться виндой, в этом нет ничего плохого, то встает вопрос об адекватности персонажа. Хотя какой тут вопрос и так ясно, глупый фанатик с раздражением глаз.> Полудохлая потуга мелкомякоти.
Сначала "да нет у них ничего", а теперь полудохлая. Ха лол. Так нету ничего или полудохлая?
И почему ты решил что полудохлая? Вопрос риторический, так как и так ясно ты о об этой винде узнал от меня и теперь несешь бред, лижбы не признать обсер.> И таки - драйверов под маздайку с гулькин нос.
Ты чо куришь? Сильно штырит тебя.
> Клoyн, подумай что до того как вещать по теме - стоит прикинуть
> что оппонент может в ней что-то смыслить.Когда человек разбирается, это видно. По тебе видно, что ты понтуешься. Типичный новенький юзверь Линукса.
> А хренли, я с нее свалил потому что отсутствие развития системы и
> трэш с автоматизацией достали :)Ладно, ты теперь для меня дно человеческого развития.
Оно не способно даже читать, что пишут.> А, то-есть когда крыть стало нечем - вспомним что это офтоп. А
> до тех пор нормалек. Оок!Сказало существо, которое не способно понять написаного.
Еще раз существо, по существу что будет сказано? Ничего? так слейся.> Хехе, чот-то ты уже заткнулся на тему чего там на десктопах нет
> и проч.Потому что существо тема разговора уязвимость SSH и что в винде этой уязвимости нет.
А не то что ты тут наплел кучу бреда выдуманого.> А ssh в винде - я не понимаю нахрен
> он там. Когда-то я даже юзал там - putty,Это просто днище... нет, это хуже дна. Оно путает клиент и сервер. Бедняжка.
> Где я рассказал что меня заставляют? Дедуля в мapaзм никак впал?
Оно даже за своей речью не следит. О боже, оно глупей чем кажется.
> Ты тоже с своими экспертными заявочками каких там десктопов на чем нет
> - отличился.Читай новость глазами, а не жопой. Икспирт блин.
> В эпоху убунты 5 или 6. Это, кажется, немного дольше. В телепатии
> эксперт такой же нерюх как и в остальном.Дяде врать нехорошо.
Или зачем ты в 24 году ставил Убунту 5? Оно думает, что может обмануть.> Да вот что-то за ...цать лет никуда не собрался, напротив - направление
> понравилось и я доразвился в сторону системной интеграции и эмбедовки. За
> 5 минут это не получится.Существо ты ... хотя нет, ты не понимаешь, что твое вранье шито белыми нитками.
Если ты на убунте с 5 версии, то откуда глубокие знания винды? То есть соврал? Или ты слышал об убунте но сидел на Винде? Ну в это поверить можно. Но тогда ты соврал, что на убунте с 5 версии.
Как ни крути, существо врет.> Линух для работ намного круче - автоматизируется лучше, разгоняет мою эффективность. Я
> в нем печатки в KiCad наворачиваю, фирмвари МК пописываю и -
> вот - всякую околоэмбедовочную системную интеграцию. Такая фигня. Это намного кайфовее
> чем всякий маздай.Какие фантазии у ребенка. Оно думает, что если умных слов накинет, то всё так и будет))
> Ох, лол, ты даже не знаешь где они обитают. А мнение -
> имеешь.Это легко. Там где ты, там их нет.
> Да кого это колышет? Я прекрасно вижу что моя экспертиза в лине
> куда мощнее. А ты эникей обычный. Пафосный не в меру.тебя колышет, ты же тут понтуешься, ахахаха
> Да.
Ну хоть согласен что ты дно. Ахахаха.
> А у меня это любимый инструмент. В таком виде опенсорс - намного
> круче работает и можно достичь гораздо большего. Ты обычный унылый корпоративный
> мясник. Без особых интересов и скилов. Я таких вижу за версту.
> Мне не о чем с такими разговаривать - мы таких презираем.
> Вы никогда не будете на одном уровне с нами по скиллам
> и возможностям.О боже оно думает, что мне есть дело до мнение ребенка. Лол.
Теперь ты не человек, ты существо. Когда научишься читать, пиши. А сейчас слейся, ты слишком глуп.
ну, кстати, к0к0к0кие ваши докозательства?можно предположить что виндовый порт sshа конечно не дергает никакой syslog(), но могли ведь и полениться... или того хуже - вместо этого обратиться к эвентлогу, который тоже не signal-safe
> ну, кстати, к0к0к0кие ваши докозательства?
> можно предположить что виндовый порт sshа конечно не дергает никакой syslog(), но
> могли ведь и полениться... или того хуже - вместо этого обратиться
> к эвентлогу, который тоже не signal-safeнюх нюх хватит нюхать наркоту и почитай новость
И где в твоей новости что-то про винду?(кстати, ее ssh оказывается не показывает свою версию в строке коннекта)
> И где в твоей новости что-то про винду?
> (кстати, ее ssh оказывается не показывает свою версию в строке коннекта)Там где чел написал про винду, а я сделал замечание, что данной проблемы в винде нет.
А потом пошло у фанатиков горение, как так нет.А по существу сказать то и нечего.
так и и спрашиваю - почему ты так уверен что в вендепоганой проблемы нет?Может ты не знал, но ssh там ровно из того же ведра разливали. Что в нем специфично виндового - загадка, потому что код открыт но не совсем. Ну в смысле ms вроде никуда его не выкладывала. В -V врет конечно что это прям openssh как он есть, но они ж корпорация - зла, небось попатчили в ста местах, и не признаются.
Тот что у меня говорит что он 8.1 (т.е. проблемы нет не потому что он ввенде, а потому что 8.1) но те винды что мне доступны для сканирования - не показывают версию, а по консолькам ходить не набегаешься.
>[оверквотинг удален]
> Может ты не знал, но ssh там ровно из того же ведра
> разливали. Что в нем специфично виндового - загадка, потому что код
> открыт но не совсем. Ну в смысле ms вроде никуда его
> не выкладывала. В -V врет конечно что это прям openssh как
> он есть, но они ж корпорация - зла, небось попатчили в
> ста местах, и не признаются.
> Тот что у меня говорит что он 8.1 (т.е. проблемы нет не
> потому что он ввенде, а потому что 8.1) но те винды
> что мне доступны для сканирования - не показывают версию, а по
> консолькам ходить не набегаешься.OpenSSH 8.5 на системах со стандартной библиотекой Glibc
Давно на Винде есть Glibc и чтобы на нем еще OpenSSH собирался.
А еще можешь почитать про уязвимость и увидеть про какие целевые ОС идет речь.
> OpenSSH 8.5 на системах со стандартной библиотекой Glibcтак проблема не в библиотеке.
Просто именно под нее подобрали уже готовую и проверено работающую процедуру.Ну и вон про мюсли теперь точно известно что для нее такой существовать не может, потому что она signal-safe в этом месте (случайно получилось)
А про винду неизвестно ничего - ни как там sshd вообще таймаут обрабатывает (точно ли использует аларм вместо таймера, вызывает ли syslog - то и другое конечно имитируется прокладками, но вообще-то ни разу не виндовые апи), ни есть ли там место для проявления race - потому что хз как и с какими самодельными патчами проклятая корпорация зла его там собирает.
> А еще можешь почитать про уязвимость и увидеть про какие целевые ОС идет речь.
эх, я-то думал ты у нас понимаешь чуть больше чем список торговых марок :-(
До чего же деградировал опеннет.
>так проблема не в библиотеке.Проблема в OpenSSH 8.5 на системах со стандартной библиотекой Glibc
>А про винду неизвестно ничегоИзвестно, что ее нет в списке уязвимых систем.
Когда будет, тогда поговорим. А пока у фанатиков жопка горит.>До чего же деградировал опеннет.
Покинь опеннет, спаси от деградации.
Винду нада переустановить
Ненужное на десктопе тоже, причём чаще: надо же все тысячи сортов попробовать, а не все с флешки запускаются в live режиме.
> Ненужное на десктопе тоже, причём чаще: надо же все тысячи сортов попробовать,
> а не все с флешки запускаются в live режиме.диски ж сегодня большие, тоже мне проблема. И растреклятый уефи позволяет (при некоторых если) не аж четыре, а хоть стосороквосемь сортов рядом понаустанавливать.
Загружается при этом у них конечно все равно винда, но таков путь.
>Атака основана на том, что обработчик сигнала вызывает функции, не безопасные при асинхронной обработке сигналов, такие как syslog()Значит надо засунуть в реализацию всех таких функций по мьютексу.
Сигналобезопасный вариант syslog_r есть только стандартной библиотеке openbsd.
Чего на Ubuntu ссылка не рабочая?
Команда безопасности Ubuntu на данный момент не проинформирована об этой уязвимости.
Свистеть не мешки ворочать?https://lists.ubuntu.com/archives/ubuntu-security-announce/2...
Как там с поддержкой landlock в OpenSSH?
Как там с поддержкой pledge в Linux?
pledge — это по факту подмножество функций seccomp.
Случайность? Не думаю!
> OpenSSH в OpenBSD проблеме не подвержен, так как в данной системе с 2001 года применяется механизм защиты, блокирующий подобные классы атак.Шах и мат.
Типичные данайцев и дары.
Видимо, ФБР очень просило, но удалось договориться на том, что установят только в portable openssh, а свою систему подставлять не будут.
> Типичные данайцев и дары.Я б сказал что софт из опенка на всем что не опенок юзать кажется начинает смотреться хреновой идеей. Потому что такие "артефакты портирования" можно огрести.
рут в smtpd у них был свой, собственный, никаких артефактов портирования (потому что нахрен никому такое не уперлось)Так что увы, софт из опенка смотрится херовой идеей даже в самом опенке.
Очень жаль что ssh попал в эти руки и поляна загажена наглухо.
https://www.freebsd.org/security/advisories/FreeBSD-SA-24:04...
по моему они опять завысили уровень опасности этого CVE
если поковырять код, то наверняка выяснится что это вовсе не уязвимости
ох уж эти паникеры!
Экспертиза от немамонта, который даже код не смотрел. Не может поверить что существуют люди которые хотят его обмануть.
Больше выглядит как ирония над соседней новостью, где JS-разработчик жалуется, что ему выносят мозги просьбами закрыть дыру, которая ему кажется неважной.
Тебе показали красный молоток и теперь ты думаешь про красный молоток? Я бы тебе книжку посоветовал, но она сложная и ты ее не осилишь.
Для порядка заметим, что ниже пришёл автор исходного комментария и подтвердил эту теорию.
анон, это был сарказм и аллюзии на прошлую новость.. красиво же совпало!экспертиза от немамонта говоришь ;-)
Чем выше уровень - тем больше бабла
Если делится с тем кто определяет уровень можно поднять свой уровень.
> по моему они опять завысили уровень опасности этого CVEПо некоторым данным, писатели эксплойтов уже взяли низкий старт и вступили в гонку за первое место на тему кто быстрей напишет эксплойт и больше хостов разломает.
А гиморность экспуатации окупается тем что ремотный рут без аутентификации - на дороге не валяется. Так что господа сейчас почти наверняка придумают как гончки заоптимизировать, чтобы за весьма обозримые времена - в дамки.
Не исключается возможность совершения атаки и на 64-разрядные системы - расходимся, пока что это всё теория.
А те у кого 32битный Pentium 4 - ломать никто не будет.
> ... проведение атаки на 64-разрядные системы будет занимать гораздо больше времени, но не более неделида, через неделю приходи
Нет такую уязвимость оставят себе и открывать не будут.
Очень сложно не заметить атаку, когда openssh тебе почти неделю без перерыва будет спамить в логи сообщением "Timeout before authentication".
> Для успешной атаки в лабораторных условиях потребовалось 6-8 часов, в течение которых с сервером непрерывно устанавливались соединения с максимально допустимой в конфигурации sshd интенсивностьюДля успешного проникновения в шахту баллистической ракеты РС-18 понадобится несколько недель, при условии, что охрана будет стоять и смотреть, как вы режете бронекрышку автогеном.
каждый час логи проверяешь на всех своих серверах?что за бред?
каждые шесть же ж!
> Для успешного проникновения в шахту баллистической ракеты РС-18 понадобится несколько
> недель, при условии, что охрана будет стоять и смотреть, как вы
> режете бронекрышку автогеном.А на практике - придет белый человек, продемонстрирует как работает bunker buster. И окажется что времена проникровения могут быть совсем другие.
Проникнуть в бункер и разрушить его - не одно и то же. На любой сервер можно сбросить ФАБ-3000. Технически осколки, прошившие его насквозь, в него проникнут. Но взломом это считаться всё равно не будет, потому что цель взлома - получить полный доступ к исправному объёкту.
> Проникнуть в бункер и разрушить его - не одно и то же.
> На любой сервер можно сбросить ФАБ-3000. Технически осколки, прошившие его насквозь,
> в него проникнут. Но взломом это считаться всё равно не будет,Ну, понимаешь, чтобы это сделать - надо подлететь на потребное расстояние. И если ПВО настолько смотрит на это дело сквозь пальцы, это чьи сервера были?! Хотя автогол, конечно, тоже вариант. А админ может rm -rf /usr какойнить сделать по приколу.
> потому что цель взлома - получить полный доступ к исправному объёкту.Вот это зависит от. Скажем любители направлений DoS и DDoS не разделяют данные точки зрения.
> А на практике - придет белый человекНа практике "bunker buster" осядет на землю мелкодисперсной пылью вместе с носителем и его экипажем, а обитательница шахты полетит делать "белому человеку" кровопускание, чтобы стал ещё белее.
> Одним из признаков попыток совершения атаки является появление в логе большого числа записей "Timeout before authentication".Только что с две сотни инстансов под нож отправил, везде где в логах встречалось. Разарабы три часа сидели без пайплайнов и тестовых деплоев. Ну и ладно, заодно в очередной раз убедились, что авральные планы актуальны и работают.
херассе. А авральный план при котором просто расстреливают каждого второго разраба (или там - каждого в очках, или лысых) у вас тоже есть? Я только поинтересоваться...
Что, завидно? Будь это всё в каком-нибудь он-прем дц я бы до сих пор по стойкам прыгал как обезьяна. А тут в два пайплайна всё чётко отработало. Вот она сила облачных технологий. Обожаю эту херню!
Особенно мило будет, если через это отверстие уже поимели гипервизоры вашего провайдера.
Это крайне маловероятно как минимум потому, что у AWS нет доступа к их инфраструктуре через публичные сети. Но таки да, в таком случае будет мило.
Ну ты меня пригласи, как до on-prem дорастешь. Я тебе покажу как не прыгать по стойкам, а просто из уютного кресла повыключать к чертям все "неправильные" серверы.Только чур команду будешь ты набирать, а я в этот день пожалуй в отпуск куда-нибудь, где не работает телефон.
Как только он-прем дорастёт до клауда по деньгам — тогда и поговорим, и как выключить, и как включить обратно всё так, чтобы как было, только без потенциально взломанного SSH. А до тех пор мне и в пайплайн мышкой клацнуть норм.
> Ну ты меня пригласи, как до on-prem дорастешь. Я тебе покажу как
> не прыгать по стойкам, а просто из уютного кресла повыключать к
> чертям все "неправильные" серверы.
> Только чур команду будешь ты набирать, а я в этот день пожалуй
> в отпуск куда-нибудь, где не работает телефон.Да, нанимай поха. У тебя все будет хреново, дорого, неэффективно, несекурно - зато нв все будет пафосная отмазка почему г-но это так и задумано и вообще этот ваш линукс сакс, давайте сейнс садомазо устроим, хотя BSD тоже сакс, давайте винду вкатим, во! Где вы бабки на столько серверной винды найдете... ну... вот из зарплаты поха и заплатите по приколу?! Заодно и посмотрим как ему ценник серверной винды :)
Ну так-то копеечный он. Меньше 5% от стоимости проекта с учётом обвязки - обычно вообще 1,5-2.
> Ну так-то копеечный он. Меньше 5% от стоимости проекта с учётом обвязки
> - обычно вообще 1,5-2.Ну да, ну да, только даже на абажуре чего-то более 70% - линух. И виндус апдейт что-то грузит все линуксным CDNом.
В общем у господ от маздая довольно тухлые идеи на тему что и сколько стоит. За что они и повыпали повсеместно из фавора. За примерно то же в фавор попали облака, делаемые теми кто объекты умеет фигачить дешево и массово, в отличие от вас. Ничего личного, это бизнес, а оплачивать все ваши откаты - нафиг кому надо?!
>> Ну так-то копеечный он. Меньше 5% от стоимости проекта с учётом обвязки
>> - обычно вообще 1,5-2.
> Ну да, ну да, только даже на абажуре чего-то более 70% -
> линух. И виндус апдейт что-то грузит все линуксным CDNом.
> В общем у господ от маздая довольно тухлые идеи на тему что
> и сколько стоит. За что они и повыпали повсеместно из фавора.
> За примерно то же в фавор попали облака, делаемые теми кто
> объекты умеет фигачить дешево и массово, в отличие от вас. Ничего
> личного, это бизнес, а оплачивать все ваши откаты - нафиг кому
> надо?!Ну да - вот только ой, вы к тем облакам отношение не имеете ровным счетом "никакого". Да и к проектам в общем-то тоже - подвальный хэндмейд он все-ж про другое, да?
А вот в общей стоимости внедрения чего-нибудь бизнесового - MES, ERP, MDM какой-нибудь - стоимость серверных лицензий MS - ну вот околотакая. И да, на аналоговнете - оно сплошь и рядом - дороже.
> Ну да - вот только ой, вы к тем облакам отношение не
> имеете ровным счетом "никакого".А при чем тут я? Это осбуждение технологий в ходу. Да, я не програмил тот же KVM и QEMU - но это не мешает мне им и вещами на его основе пользоваться, оптом и в розницу. И конечно это все на линухе. И у меня, и у хостеров, и проч.
> А вот в общей стоимости внедрения чего-нибудь бизнесового - MES, ERP, MDM
> какой-нибудь - стоимость серверных лицензий MS - ну вот околотакая. И
> да, на аналоговнете - оно сплошь и рядом - дороже.Я конечно понимаю что некоторых покусаных энтерпрайзом иногда не попускает, и они уверены что весь мир состоит только из этого. Но вообще-то это довольно незначительный процент от общей массы. Ну так, мелочи какие.
Вон майкрософт уже кажется даже забил годядика проплачивать для накрутки доли винды с IIS'ом, все и так догадались что накрутка на паркинге, завели отдельную категорию, а так уже неспортивно, да.
Перевожу: существуют целые классы систем - и соответственно, проектов внедрения этих систем - где использование решений на стеке MS не то, что "востребовано" - а "безальтернативно". И да, - в облаках тоже, exchange не даст соврать.
И вот как-то так получается, что стоимость именно серверных лицензий MS в этих проектах реально - копеечная. Да, включая гипервизор, виртуалки и отказоустойчивый MsSQL.
там достаточно взглянуть на цену сервера, на котором крутится та винда. Можно даже еще ничего на нее не ставить - уже цена лицензии (которая пока еще разовая и вечная, в отличие от платы за обслуживание ящика куда установлена) покажется полной фигней.И да, шва... бесплатные решения почему-то при рассмотрении под таким углом становятся совсем-совсем небесплатными.
> там достаточно взглянуть на цену сервера, на котором крутится та винда. Можно
> даже еще ничего на нее не ставить - уже цена лицензии
> (которая пока еще разовая и вечная, в отличие от платы за
> обслуживание ящика куда установлена) покажется полной фигней.
> И да, шва... бесплатные решения почему-то при рассмотрении под таким углом становятся
> совсем-совсем небесплатными.Чел крутит 100500 Ъ-тырдырпрайс-форчун500-вритуалок на своем десктопе и радуется, что сэкономил АЖ ЦЕЛЫХ 100 БАКСОВ!!! купив асус без винды - ну о чем ты, а? Он экономит БОЛЬШИЕ ДЕНЬГИ для СЕРЬЁЗНЫХ ЗАКАЗЧИКОВ, БОРЕТСЯ С КОРПОРАЦИЕЙ и ПРИБЛИЖАЕТ БУДУЮЩЕЕ (будующего) - а ты тут со своей арифметикой.
Фу таким быть.
чо ета сто? Целых даже пиццоть! У человека ж подкроватный СЕРВЕР! Серверная 2022 (та версия что специально для подкроватных) где-то так стоитъ. Заказчик сможет заказать себе кофе на вынос, и еще останется на булочку после оплаты услуг нашего мастера-самоучки без мотора.(тьфуй, мля, а подкроватный сервер-то - в смысле железка от какого-нибудь китайца - все равно, собака, дороже лицензии примерно вдвое получается, да что ж ты будешь делать, проклятая майкрософт, и тут нам в штаны нагадила)
> чо ета сто? Целых даже пиццоть! У человека ж подкроватный СЕРВЕР! Серверная
> 2022 (та версия что специально для подкроватных) где-то так стоитъ. Заказчик
> сможет заказать себе кофе на вынос, и еще останется на булочку
> после оплаты услуг нашего мастера-самоучки без мотора.
> (тьфуй, мля, а подкроватный сервер-то - в смысле железка от какого-нибудь китайца
> - все равно, собака, дороже лицензии примерно вдвое получается, да что
> ж ты будешь делать, проклятая майкрософт, и тут нам в штаны
> нагадила)Ты пжди, пжди! Если вместо железки-от-китайцев купить "технику, проверенную временем"(ТМ), то у тебя будет не "консьюмерский десктоп", а Ъ-тырдырпрайс-форчун500-R&D-4PRO-СЕРВЕР, и еще на пиво, сигареты и интернет останется - ну, если её, поганую, не покупать...
"Честный компьютерный мастер Илья"(ТМ) гарантирует это.
а на проде осталось, и уже в логах болтается месяц? )))
На проде SSH нет нигде.
telnet ?
Фу таким смузибоем быть! rlogin и rsh наше всьо!
> Только что с две сотни инстансов под нож отправил, везде где в
> логах встречалось.Значит, уже началось. Вероятно кто-то уже накорябал эксплойты. Это тот случай когда вопрос - на миллион. Кто первый из блекхетов напишет рабочий сплойт и сделает рабочую атаку - озолотится же. Так что сейчас господа покажут чудеса эффективности и результативновти, на кону джекпот. Может его уже даже кто-то срубил, но, конечно, не признается. Впрочем второе и i++ места тоже будут неплохи для тех кто подсуетится.
>Только что с две сотни инстансов под нож отправил, везде где в логах встречалосьа был бы нормальным админом, а не убунтуем, то вообще ничего не надо было б делать.
>>Только что с две сотни инстансов под нож отправил, везде где в логах встречалось
> а был бы нормальным админом, а не убунтуем, то вообще ничего не
> надо было б делать.в смысле? Мы, нормальные админы-убунтуи, как раз ничего и не делаем. Я сеть просканил, где было можно (в смысле мне нигде нельзя, но я там где не вызову вопросов у ИБ посмотрел) - нашел штук двадцать теоретически-уязвимых. Там - ентер-прайсный мониторинг, тут какой-то чудо-балансировщик, здесь - кусок управления цитриксовой фермой... короче, ничего трогать нельзя.
А мои убунты абсолютно ниувизьгвимы, со своим openssh7, а местами даже и 6.
Пойду попрошу себе премию за этот успешный успех.
JS в браузере и вперёд, на роутер! Это ж какой ботнет можно слепить!
из 32битных систем? Ну так себе, прямо скажем, ботнет.
> из 32битных систем? Ну так себе, прямо скажем, ботнет.Да оно и из 64 можно. Просто канительнее. Но возможность на заказ убрать стеночку у вот этого хоста, пусть и повозившись - много кому понравится.
какие последствия? прониконовение в систему? как обнаружить не только попытку аттаки но и успешную аттаку?
rce.
> какие последствия? прониконовение в систему? как обнаружить не только попытку аттаки но
> и успешную аттаку?ну типа если пришел на работу, а там пустое место, диск почищен, а на экране при логине ехидная надпись - точно была успешная.
А вы то думали каким образом спецслужбы США взламывают сервера государственной тайной Ирана? Вот таким.
В программное обеспечение Иранских электростанций они внедрили троян, который был принесён с флешкой. Американцы через Сеть не взламывали.
По информации, заслуживающей доверия. Вот бы еще верить всему тому что они говорят...
Да, лучше верить cheburnator9000, вот он точно говорит о том, что знает, и не соврёт ни при каких условиях.
LoginGraceTime 0
MaxStartups 1:50:1норм?
> LoginGraceTime 0
> MaxStartups 1:50:1
> норм?Норм - запатчить дырявую версию, чудик.
если у тебя будет хотя бы одно соединение от кулхацкера оно будет бесконечным и у тебя лимит стоит 1 штука максимально, шанс что ты после даже после хард ребута успеешь подконектиться не очень большойты бы лучше MaxStartups не трогал если не знаешь про что это
что я могу не знать из того, что тут https://www.opennet.dev/base/sec/ssh_tips.txt.html написано?
точно также может быть 10, 20, ... соединений
Лет 5 как отказался от SSH на серверах.
Надоело пачками банить.
О как. И как же ты на серверы ходишь? Физически, ножками?
https+perl.
Вообще не парюсь. Даже редкие попытки прощупать порты со стороны безуспешны.
> https+perl.
> Вообще не парюсь. Даже редкие попытки прощупать порты со стороны безуспешны.А https с сертификатом клиентским или нет? На perl'е что - web-морда?
Ну разумеется. Сертификат только у меня. Остальным даже не предлагается. Да они и порт то нащупать не могут.Надо бы развернуть тестовый сервак на месяц и потролить местных мамкиных хакеров с предложением взломать. Пусть попыжатся. ))
> Ну разумеется. Сертификат только у меня. Остальным даже не предлагается. Да они
> и порт то нащупать не могут.
> Надо бы развернуть тестовый сервак на месяц и потролить местных мамкиных хакеров
> с предложением взломать. Пусть попыжатся. ))Так это security through obscurity. Работает только пока ты неуловимый Джо. По смыслу тоже самое, что хождение через ssh по сертификату. А всякие критические ошибки и в web-серверах находят ;-).
> Так это security through obscurity. Работает только пока ты неуловимый Джо. По
> смыслу тоже самое, что хождение через ssh по сертификату. А всякиене в данном случае. Тут глупый ssh подождет-подождет сертификата, а потом запишет в лог что недождался и на этом - хряпнется. Заодно и открыв рутовый шелл.
> критические ошибки и в web-серверах находят ;-).
обычно такие не уходят дальше пользователя nobody, но тут уникальный случай - вепсервер с рутовым доступом.
Еще и перл, славный умением своих модулей иногда внезапно выполнить без спросу аргументы строки запроса
> не в данном случае. Тут глупый ssh подождет-подождет сертификата, а потом запишет
> в лог что недождался и на этом - хряпнется. Заодно и
> открыв рутовый шелл.В данном конкретном безусловно. Но речь как про v
>> критические ошибки и в web-серверах находят ;-).
> обычно такие не уходят дальше пользователя nobody, но тут уникальный случай -
> вепсервер с рутовым доступом.это ^.
а не надо ssh-ом светить на весь интернет. достаточно дать доступ с того айпи, с которого заходишь
и вдруг ты поехал в командировку )))а доступа к твоему RDP там нет, а серв лежит )))
есть решение и этого кейса.
у меня так динамический айпи, каждый раз разный, но доступ к ssh всё равно у меня только с одного айпи. угадай как.
port knocking
у тебя же серв лежит, возможно вместе с твоим кнокингом ))) Security through obscurity в чистом виде, и какой ценой?С тем же успехом я могу поднять VPN до сервера и ходить по SSH только через тунель.
И это будет намного секурней и точно также будет зависеть от надежности решения, до первой технической ошибки.
А на виртуальные виртуальными ножками
> О как. И как же ты на серверы ходишь? Физически, ножками?Через RDP, очевидно же.
> «Это невозможно предотвратить», — говорят пользователи только того языка, где это происходит регулярно.
уверен, что в дистрибутивах с сертификатом фстек такого нет
Похоже Qualys оказался сапожником без сапог. Сегодня по RSS от них через https://blog.qualys.com/feed прилетело blog.qualys.com/misc/2024/07/02/general-bas-zakliucheniia-banknot-vo-onlain-kazinoСудя по полям generator и com-wordpress:feed-additions взломали через CMS WordPress или администраторы случайно спамерскую новость подтвердили.
> Похоже Qualys оказался сапожником без сапог.чего ж без сапог, с сапогами. Тоже небось пользовали ssh!
Они, кстати, признали инцидент https://blog.qualys.com/misc/2024/07/03/qualys-blog
У них взломали одну из учётных записей в WordPress с правом постинга.
> проявляется начиная с версии OpenSSH 8.5 на системах со стандартной библиотекой Glibc.# ssh -V
OpenSSH_7.9p1 Debian-10+deb10u4, OpenSSL 1.1.1n 15 Mar 2022
А нас рать! :)