<div dir="ltr">Byl někdy v historii VPSfree útok přes vpsadmina?<br><div class="gmail_extra"><br><br><div class="gmail_quote">Dne 29. listopadu 2013 8:42 Pavel Snajdr <span dir="ltr"><<a href="mailto:snajpa@snajpa.net" target="_blank">snajpa@snajpa.net</a>></span> napsal(a):<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Ja teda vychazim ze svych zkusenosti, stable instalace Debianu 5 i 6 se mi nikdy pri updatu nerozbila, stejne jako RHEL5 a 6 (+ SL).<br>
Clovek ale nesmi mit pridane pochybne repozitare, i na EPEL uz jsem slysel nemalo nadavani, ackoliv jsem jeste problemy nezazil.<br>
<br>
Pouzivame vetsinu aplikaci tak, jak je poskytuji stable distribuce, holt veci, co by nejely pod starsimi interpretery maji smulu. I kdyz pomalu ale jiste se mi pod rukama tvori vlastni repozitar, kde si clovek musi hlidat verze sam a hlavne si tomu musi delat QA :) ale rekl bych, ze k tomu dojde casem kazdy admin, kdyz toho ma vic.<br>
<br>
Jinak pro min stabilni systemy, jak nekdo uz dobre zminil, je aspon dobre o aktualizacich vedet a nechat se tim spamovat do mailu :)<br>
<div class="im"><br>
S pozdravem,<br>
<br>
Pavel Snajdr<br>
<br>
Odeslano z mobilniho zarizeni.<br>
<br>
</div><div class=""><div class="h5">> On 28 Nov 2013, at 15:45, Stanislav Petr <<a href="mailto:glux@glux.org">glux@glux.org</a>> wrote:<br>
><br>
> -----BEGIN PGP SIGNED MESSAGE-----<br>
> Hash: SHA512<br>
><br>
> Tohle je dost zavisly odpouzite distribuce. Pokud pouziju napriklad<br>
> CentOS/Scientific Linux/RHEL a necham automaticky aktualizace jen ze<br>
> zakladnich repozitaru, muzu bejt celkem v klidu a verit ze se nic<br>
> nerobije. Na hruhou stranu u distribuci jako Gentoo, Arch a podobnejch<br>
> jsou automaticky aktualizace naprosta silenost.<br>
><br>
> - --<br>
> Stanislav Petr<br>
><br>
>> On 28/11/13 15:22, Robin Obůrka wrote:<br>
>> Ahoj, já si jen dovolím jednu malou poznámku.<br>
>><br>
>> Mám takový pocit, že se poměrně důrazně nedoporučuje dělat<br>
>> automatické aktualizace. Že vždycky by se měl člověk pečlivě koukat<br>
>> jestli se něco nerozbilo, jestli není před aktualizací potřeba<br>
>> nějaký další úkon apod.<br>
>><br>
>> Jednoduše řečeno, myslím, že nechat dělat automatické aktualizace<br>
>> není úplně dobrý zvyk a že bychom asi neměli masivně podporovat<br>
>> špatné zvyky. Jestli by nebylo lepší sepsat nějaký návod, "jak se<br>
>> nechovat nebezpečně" a k aktualizacím se postavit několika radami.<br>
>><br>
>> 1) pravidelně je kontrolovat 2) pokud jsem moc líný, tak něco "jsou<br>
>> nějaké dostupné?" nechat cronem posilat na email jednou za.. .den,<br>
>> 2, 3? 3) pokud jsem moc líný i na tohle, tak se aspoň zregistrovat<br>
>> do security mailing listu příslušné distribuce.<br>
>><br>
>> Moje interakce se serverem je poměrně dost častá, takže nemám<br>
>> problém aktualizace zjišťovat často, navíc jsem zaregistrovaný v<br>
>> mailing listu, takže jakákoliv kritická aktualizace je u mě<br>
>> nasazena v řádu minut až hodin. Nemám pocit, že by mě to stálo<br>
>> nějaký čas, ale chápu, že spousta lidí chce ať to funguje a nemusím<br>
>> o tom vědět - ale... asi bych na to opravdu nešel automatickými<br>
>> aktualizacemi, člověk pak neví co se na serveru vlastně děje a to<br>
>> může časem vyvrcholit v ještě větší bezpečnostní problém.<br>
>><br>
>> Pokud jde o debian a moji zkušenost s apt, tak některé aktualizace<br>
>> se nedají provést přes upgrade, ale je potřeba dist-upgrade. A ten<br>
>> doinstalovává nově vzniklé neodsouhlasené závislosti, které se<br>
>> tímto v podstatě odsouhlasí. Takže buď časem nutně některé<br>
>> aktualizace uváznou při čekání na dist-upgrade, nebo automaticky<br>
>> nechám tahat nové závislosti a netuším co nového - co by případně<br>
>> vyžadovalo administrátorský zásah, aby bylo bezpečné - se mi na<br>
>> serveru zjevilo. A ano, šance, že se něco takového nebezpečného<br>
>> objeví je asi velmi malá, ale není to zase sci-fi, dle mého<br>
>> názoru.<br>
>><br>
>> Já jen jestli by tohle nestálo za úvahu.<br>
>><br>
>> R. O.<br>
>><br>
>> Dne 28.11.2013 10:01, Pavel Snajdr napsal(a):<br>
>>> No, aby me zas nekdo nebral doslovne - ty technologie, co pise<br>
>>> Standa i jini, maji svoje misto, ale moje pointa je, ze diskuze o<br>
>>> nich nema valnejsiho vyznamu, dokud vsichni nebudou splnovat<br>
>>> aspon ta minima :)<br>
>>><br>
>>> Kdo mate na VPS automaticke aktualizace?<br>
>>><br>
>>> Najde se nekdo, kdo je ochotnu to zpracovat na nasi Knowledge<br>
>>> Base? Nabizim mesic clenstvi gratis, pripadne nejake misto na<br>
>>> NASu :)<br>
>>><br>
>>> S pozdravem,<br>
>>><br>
>>> Pavel Snajdr<br>
>>><br>
>>> Odeslano z mobilniho zarizeni.<br>
>>><br>
>>> On 28 Nov 2013, at 09:39, Pavel Snajdr <<a href="mailto:snajpa@snajpa.net">snajpa@snajpa.net</a><br>
>>> <mailto:<a href="mailto:snajpa@snajpa.net">snajpa@snajpa.net</a>>> wrote:<br>
>>><br>
>>>> Ahoj,<br>
>>>><br>
>>>> 3x ne :)<br>
>>>><br>
>>>> Ale je mi trochu smutno z toho, ze vsichni resite "blbosti". Ja<br>
>>>> chapu, ze tyhle technologie maji svoje misto, ale ty hacky, co<br>
>>>> se nam deji, jsou zpusobene banalitami a vubec je to cela<br>
>>>> diskuse na mnohem primitivnejsi urovni - aktualizujte.<br>
>>>><br>
>>>> Pokud vim, jeste jsme nemeli prunik zadnou 0day zranitelnosti,<br>
>>>> vsechno jsou to trapnosti typu par mesicu neaktualizovany<br>
>>>> system, slabe heslo ci propujceny pristup takovym "co s tim<br>
>>>> linuxem, teda jako taky umi".<br>
>>>><br>
>>>> Trochu jsem rozladenej z toho, ze existuji v podstate 2 skupiny<br>
>>>> lidi - ti co neresi bezpecnost vubec a pak ti, kteri to radi<br>
>>>> prehaneji a pridelavaji si praci zbytecnou paranoiou :) Pritom<br>
>>>> fakt naprostou vetsinu problemu by vyresil pristup k veci nekde<br>
>>>> mezi tim - dodrzovat zakladni pravidla jako nepoustet, co<br>
>>>> nepotrebuju, aktualizovat, jak casto to jde, nerozdavat pristup<br>
>>>> k tem strojum nikomu, kdo nedodrzuje stejna pravidla a pouzivat<br>
>>>> silna hesla (hlavne dlouha, kratka random hesla jsou blbost).<br>
>>>> Dal bych jmenoval jeste nepoustet pod rootem co vylozene<br>
>>>> nemusim (hlavne vsemozne weby, to pustit pod rootem =<br>
>>>> sebevrazda).<br>
>>>><br>
>>>> Zkus mi to prosim nemit za zle, ale docela si dovolim zastavat<br>
>>>> nazor, ze v situacich, kde opravdu realne vyzadujes veci jako<br>
>>>> SELinux, si stejne nemuzes dovolit byt na sdilenem hardwaru s<br>
>>>> nekym dalsim, protoze si nemuzes dovolit, aby ti nekdo videl do<br>
>>>> pameti - a ze to fakt neni slozity, teda obzvlast pokud tam mas<br>
>>>> tak bezny system, jako je RHEL/debian... Vysvetlit tomu<br>
>>>> systemu, ze ma spustit novy shell a podobne ve spravnem selinux<br>
>>>> kontextu pro tak motivovaneho jedince, ktery bude mit zajem se<br>
>>>> tam prolamat, nebude asi az tak problem. A ze zranitelnosti,<br>
>>>> jak se vylamat i z KVM uz bylo docela dost, nemuzu to najit,<br>
>>>> ale nekde jsem videl video, jak se z kvm diky zranitelnosti ve<br>
>>>> virtio vylamali na hypervisora pingem(!).<br>
>>>><br>
>>>> Teda, abychom byli na stejne strance spolu - absence SELinuxu<br>
>>>> vadi i mne, akorat ne kvuli zabezpeceni proti hrozbam z venku,<br>
>>>> ale proti lepsi izolaci procesu v ramci jednoho systemu. Az<br>
>>>> bude chvili cas, pokusim se vyuzit nas Parallels OpenVZ<br>
>>>> maintenance partnership prave na to, aby se kouknuli po<br>
>>>> implementaci SELinuxu.<br>
>>>><br>
>>>> S pozdravem,<br>
>>>><br>
>>>> Pavel Snajdr<br>
>>>><br>
>>>> Odeslano z mobilniho zarizeni.<br>
>>>><br>
>>>> On 27 Nov 2013, at 20:57, Stanislav Petr <<a href="mailto:glux@glux.org">glux@glux.org</a><br>
>>>> <mailto:<a href="mailto:glux@glux.org">glux@glux.org</a>>> wrote:<br>
>>> Kdyz uz jsme u ty bezpecnosti, tak mam par dotazu:<br>
>>><br>
>>> 1. Podpora SElinuxu jeste porad v OpenVZ neni? Nebo na tom nekdo<br>
>>> pracuje? Spouste utokum (zejmena 0day exploity) to dokaze velice<br>
>>> efektivne zabranit. Pripadne jinej bezpecnostni modul (AppArmor,<br>
>>> TOMOYO)?<br>
>>><br>
>>> 2. Co se tyka firewallu, slo by doplnit moduly iplimit, u32,<br>
>>> mport, pkttype, psd (mozna i ||ipv4options)? Dost uzivatelum by<br>
>>> to asi pomohlo.<br>
>>><br>
>>> 3. Muze uvnitr OpenVZ guestu jadro vyuzivat tc? Jak se ve<br>
>>> vyslednym provozu projevi qos nastaveny uvnitr konternerove<br>
>>> virtualizace?<br>
>>><br>
>>><br>
>>> Chapu vyhody OpenVZ v maximani efektivite vyuziti systemovych<br>
>>> prostredku serveru, ale pokud se jedna o bezpecnost, tak tam mi<br>
>>> prijde ze obcas OpenVZ hazi klacky pod nohy...<br>
>>><br>
>>>>><br>
>>>>><br>
>>>>><br>
>>>>> --------------------------------------------------------------------------------<br>
> <<a href="http://www.avast.com/" target="_blank">http://www.avast.com/</a>><br>
>>>>><br>
>>>>> Tato zpráva neobsahuje viry ani jiný škodlivý kód -avast!<br>
>>>>> Antivirus <<a href="http://www.avast.com/" target="_blank">http://www.avast.com/</a>> je aktivní.<br>
>>>>><br>
>>>>><br>
>>>>> _______________________________________________<br>
>>>>> Community-list mailing list <a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a><br>
>>>>> <mailto:<a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a>><br>
>>>>> <a href="http://lists.vpsfree.cz/listinfo/community-list" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
>>>> _______________________________________________ Community-list<br>
>>>> mailing list <a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a><br>
>>>> <mailto:<a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a>><br>
>>>> <a href="http://lists.vpsfree.cz/listinfo/community-list" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
>>><br>
>>><br>
>>> _______________________________________________ Community-list<br>
>>> mailing list <a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a><br>
>>> <a href="http://lists.vpsfree.cz/listinfo/community-list" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
>><br>
>><br>
>><br>
>> _______________________________________________ Community-list<br>
>> mailing list <a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a><br>
>> <a href="http://lists.vpsfree.cz/listinfo/community-list" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
> -----BEGIN PGP SIGNATURE-----<br>
> Version: GnuPG/MacGPG2 v2.0.20 (Darwin)<br>
> Comment: GPGTools - <a href="https://gpgtools.org" target="_blank">https://gpgtools.org</a><br>
> Comment: Using GnuPG with Thunderbird - <a href="http://www.enigmail.net/" target="_blank">http://www.enigmail.net/</a><br>
><br>
> iQIcBAEBCgAGBQJSl1cLAAoJEIma271KQWS/MIAP+wSlPIIzEdUyiUWAmU7+Ww64<br>
> sP25KgCRdCfqmPoopXIRkLpSd3PaTVdTsJRnVZYB5MV6VBpPLg2Z5L3MoW1fRRjm<br>
> Oq4asF7DzSce6UfD4yfQa7VAjzy2ox31rmu7MQ51T09uKhrtlWF5ZqRNuoIQCZ/R<br>
> CdJsNiMii87e5QhD4fMW4sXB2TM6lIcjG6CWkoIjODolY5/TD98gzvTPDySyxPUA<br>
> 3AhwWEWqV9h9VbBvjoMSWADHQy1z2ccKjF8ckGCOLlJsc4yWJk9tNQaBaP9oYdq3<br>
> 2+8mSPgOOiIb2TFw6Mab97Ur6shF5i97UZORNYAnBDVskuo7qqKFTxzZs9E2EHMF<br>
> u6rC1BhQZNQeVV6HqTvO0xxe7rnByUakphftRSWm9S7qMvS33M2Hew13ofyrwFSI<br>
> nrTTqUhC6TXNfFZ6xIBKzxJoBKhkxLlm8s60wr5x8YTcXfFjSTWBFMQfSqgpMrXD<br>
> UmyYnZ8ZBfcPzW1q41rc5ucunUmqkivHl07bqQd0cd3/ywD3RmkglAcQ5kkBYjuK<br>
> UfQRF4ou6YZXyh9D3GQe3PLz8p/a54ez7FdNRFn2FEbYZOIT7TsAuynFhxlEqUGr<br>
> 433DWOQX3fWPKQnDpI7lb9fqeOPh8bOK1qE7Cn1mzIQbqQNc2SbA82Q2pL1ITUAs<br>
> C0Vs7TKFVIWT8WwxI0Mm<br>
> =tbDZ<br>
> -----END PGP SIGNATURE-----<br>
> _______________________________________________<br>
> Community-list mailing list<br>
> <a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a><br>
> <a href="http://lists.vpsfree.cz/listinfo/community-list" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
_______________________________________________<br>
Community-list mailing list<br>
<a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a><br>
<a href="http://lists.vpsfree.cz/listinfo/community-list" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
</div></div></blockquote></div><br></div></div>