В октябрьском обновлении Solaris была устранена уязвимость (CVE-2020-14871) в подсистеме PAM (Pluggable Authentication Module), которой был присвоен наивысший уровень опасности (10 CVSS), но информация ограничивалась только тем, что проблема может быть эксплуатирована удалённо. Теперь появились первые сведения о совершении реальных атак и доступности рабочего эксплоита, который, как оказалось, продавался на чёрном рынке ещё с апреля этого года. Эксплоит позволяет неаутентифицированному атакующему получить root-доступ к системе, при при использовании в системе SSHD для организации входа пользователей или других сетевых сервисов, в работе которых используется PAM. Проблеме подвержены ветки Solaris 10 и 11...Подробнее: https://www.opennet.me/opennews/art.shtml?num=54017
Если вы не умеете делать вирткалки, тогда их вам сделают компроментаторы системы. Значит они ещё и файрволл и проброс портов через нат делают?
"ещё с апреля"
вот это кек
То ли дело уязвимость в сетевой подсистеме Linux, которая с 2008 года по 2020 не была пофикшена.
Можно ссылочку, я пропустил видимо новость
Кто-то недавно в комментариях помнится доказывал, что port knocking и ограничение доступа фаерволом к SSH не нужны и нет ничего страшного в открытом порту SSH, так как при нормальных паролях брутофорсить замучаются.
по идее этот кто-то еще должен был доказывать, что авторизацию по паролю надо отключить и ходить по ключу
> и ходить по ключуИ защищать машину с ключом так же серьёзно, как и сервер.
таки верно, только не понятно почему вы акцентируете внимание на ключе? Типа стянуть ~/.ssh/id_rsa проще чем ~/passwords.txt?Ключи с паролем никто не отменял.
Или запаролить-таки SSH ключ. Естественно, нормальным рандомным ключом.
Нормальный-рандомный-ключ - положить в passwords.txt, угу. (Ну или на следующий день забыть.)А чо, всегда же так делали.
Причем у нормальных паролей на аутентификацию - есть защита от подбора, а стащить хэши обычно может только тот, кому уже низачем и не надо.
У ssh-ключа ничего этого нет, встроенного экспайра тоже нет (не будем про адский трэш с сертификатами) - ломай хоть сто лет.Кстати, вы хоть проверяете свои свалки ключей-от-всего вот на это?
https://news.ycombinator.com/item?id=17682946
> У ssh-ключа ничего этого нетman ssh-keygen
-a rounds
When saving a private key this option specifies the number of KDF (key derivation function) rounds used. Higher numbers result in slower passphrase verification and increased resistance to brute-force password cracking (should the keys be
stolen).
> Нормальный-рандомный-ключ - положить в passwords.txt, угу. (Ну или на следующий день забыть.)О, никогда не делайте так. Попробуйте keepass.
Ну да, чтобы прогадить все свои пароли чохом, а не только один.Кстати, какой из пятидесяти клонов, и что за васян его автор?
> Ну да, чтобы прогадить все свои пароли чохом, а не только один.То же самое может случится с passwords.txt. Чтобы не прогадить, нужно озаботиться бекапом. Это не проблема файла хранения.
>> Ну да, чтобы прогадить все свои пароли чохом, а не только один.
> То же самое может случится с passwords.txtпоэтому у меня нет passwords.txt
>. Чтобы не прогадить, нужно озаботиться
> бекапом. Это не проблема файла хранения.теперь у тебя можно стырить еще и бэкап незаметным тебе образом. Молодец, сесурить на высоте.
Это был я.Более того, в отличии от вас, я прекрасно помню что во FreeBSD когда то была такая же уязвимость.
Это не повлияло на моё мнение о том что порткнокинг и прочий секс в гамаке на лыжах - пустая трата времени.Если вы лично настолько не доверяете openssh - используйте другой ssh сервер или вообще напишите своё.
Опять же вы читали документацию на openssh? Там PAM не лбязателен если аутентификация по ключам.
> Опять же вы читали документацию на openssh? Там PAM не лбязателен если аутентификация по ключам.Т.е. по вашему проще после каждого обновления проверять не включился ли в настройках PAM, зависеть от изменения дефолтов и светить наружу SSH чувствуя себя неуловимым Джо, чем фаерволом организовать нормальный DMZ?
У вас какой то очень странный дистрибутив, который почему то за вас правит конфиги и сам что то включает/выключает. Или вы опять не разобрались в том что происходит в вашей системе?)По моему мнению, проще не компостировать мозги самому себе и уж тем болеее другим пользователям, если таковые имеются, дебильной системой поркногинга от поехавших кукухой интернет партизан.
А от большинства ботов проще отбится просто подкрутив крипту в настройках, оставив только сильные RSA-based алгоритмы - после этого они даже хэндшейк пройти не могут, как и многие андройд клиенты :)
Ещё один гвоздь в крышку гроба соляры
м? а какие другие есть? помимо очевидной стагнации
A очевидной стагнации недостаточно ?
в случае сабжа до 2034 года - нет
> Ещё один гвоздь в крышку гроба солярыИ что нам теперь, ради одного гвоздя его откапывать?
Забивалка отвалится. Эта Ось в америках распространена широко.
Так америка тоже скоро всё.
> Забивалка отвалится. Эта Ось в америках распространена широко.Насколько широко ?
Большой ли интерес к новым версиям у корпораций и военных ?
>интерес к новым версиям у корпораций и военныхВот только у таковых он и есть. Эти полностью сидят на продуктах ибма и оракела. И альтернатив у них нет. Оракел санки купил в немалой доли для получения контроля над солярой, которая оракелом всегда объявлялась как ОСь номер один для их баз.
Судя по новости у Оракела слишком буквальное понимание слова "контроль".
>>интерес к новым версиям у корпораций и военных
> Вот только у таковых он и есть. Эти полностью сидят на продуктах
> ибма и оракела. И альтернатив у них нет. Оракел санки купил
> в немалой доли для получения контроля над солярой, которая оракелом всегда
> объявлялась как ОСь номер один для их баз.Так что насчёт интереса к новым версиям ?
Едва ли военные и корпы похожи на тех, в подвернутых штанишках, которые самую последнюю версию всегда ставят/дообновляют, чего бы им это ни стоило( даже падания всея локалхоста )
пару месяцев назад решил тряхнуть стариной и пройтись по площадкам, на которых раньше видел. на одном крайне специфическом сайте были объявы об 0day сплойтах против мозилки, против какой-то там версии секур шела, эксплойт на докер и ещё кучу всякой мелочёвки. цены огромные на товар.так что. такого добра навалом. за всем не уследишь. а сколько всего, которое не продаётся и на руках у всяких там apt группировок...
> Эксплоит позволяет неаутентифицированному атакующему получить root-доступ к системе. Проблеме подвержены ветки Solaris 10 и 11.Сопляра на соплях.
Солярка - это серьёзный продукт, не то что какие-то там лапшекодные поделки багрянооких сектантов.
Угадай, откуда вы украли спецификацию pam ?P.S. и да, она дерьмо by design, причем ненужное.
Солярис он разный бывает:
Trusred Solaris
Solaris
Open Solaris
К безопасности отношение имеет только Trusred Solaris.
В РФ продали только Solaris со спарками. Зачем мы их купили?
s/Trusred/Trusted/ вражеский спелчекер.
В OpenIndiana этот баг присутствует?
> Solaris ... продавался на чёрном рынке ... активно используется хакерской группой...Не думал что Солярка настолько распространена, что даже такая уязвимость может быть кому-то интересна, да ещё и продаваться, да ещё и быть купленной.
Думал даже Haiku или AmigaOS более популярна чем Солярка.