Byl někdy v historii VPSfree útok přes vpsadmina?
Dne 29. listopadu 2013 8:42 Pavel Snajdr <snajpa(a)snajpa.net> napsal(a):
Ja teda vychazim ze svych zkusenosti, stable instalace
Debianu 5 i 6 se mi
nikdy pri updatu nerozbila, stejne jako RHEL5 a 6 (+ SL).
Clovek ale nesmi mit pridane pochybne repozitare, i na EPEL uz jsem slysel
nemalo nadavani, ackoliv jsem jeste problemy nezazil.
Pouzivame vetsinu aplikaci tak, jak je poskytuji stable distribuce, holt
veci, co by nejely pod starsimi interpretery maji smulu. I kdyz pomalu ale
jiste se mi pod rukama tvori vlastni repozitar, kde si clovek musi hlidat
verze sam a hlavne si tomu musi delat QA :) ale rekl bych, ze k tomu dojde
casem kazdy admin, kdyz toho ma vic.
Jinak pro min stabilni systemy, jak nekdo uz dobre zminil, je aspon dobre
o aktualizacich vedet a nechat se tim spamovat do mailu :)
S pozdravem,
Pavel Snajdr
Odeslano z mobilniho zarizeni.
On 28 Nov 2013, at 15:45, Stanislav Petr
<glux(a)glux.org> wrote:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
Tohle je dost zavisly odpouzite distribuce. Pokud pouziju napriklad
CentOS/Scientific Linux/RHEL a necham automaticky aktualizace jen ze
zakladnich repozitaru, muzu bejt celkem v klidu a verit ze se nic
nerobije. Na hruhou stranu u distribuci jako Gentoo, Arch a podobnejch
jsou automaticky aktualizace naprosta silenost.
- --
Stanislav Petr
> On 28/11/13 15:22, Robin Obůrka wrote:
> Ahoj, já si jen dovolím jednu malou poznámku.
>
> Mám takový pocit, že se poměrně důrazně nedoporučuje dělat
> automatické aktualizace. Že vždycky by se měl člověk pečlivě koukat
> jestli se něco nerozbilo, jestli není před aktualizací potřeba
> nějaký další úkon apod.
>
> Jednoduše řečeno, myslím, že nechat dělat automatické aktualizace
> není úplně dobrý zvyk a že bychom asi neměli masivně podporovat
> špatné zvyky. Jestli by nebylo lepší sepsat nějaký návod, "jak se
> nechovat nebezpečně" a k aktualizacím se postavit několika radami.
>
> 1) pravidelně je kontrolovat 2) pokud jsem moc líný, tak něco "jsou
> nějaké dostupné?" nechat cronem posilat na email jednou za.. .den,
> 2, 3? 3) pokud jsem moc líný i na tohle, tak se aspoň zregistrovat
> do security mailing listu příslušné distribuce.
>
> Moje interakce se serverem je poměrně dost častá, takže nemám
> problém aktualizace zjišťovat často, navíc jsem zaregistrovaný v
> mailing listu, takže jakákoliv kritická aktualizace je u mě
> nasazena v řádu minut až hodin. Nemám pocit, že by mě to stálo
> nějaký čas, ale chápu, že spousta lidí chce ať to funguje a nemusím
> o tom vědět - ale... asi bych na to opravdu nešel automatickými
> aktualizacemi, člověk pak neví co se na serveru vlastně děje a to
> může časem vyvrcholit v ještě větší bezpečnostní problém.
>
> Pokud jde o debian a moji zkušenost s apt, tak některé aktualizace
> se nedají provést přes upgrade, ale je potřeba dist-upgrade. A ten
> doinstalovává nově vzniklé neodsouhlasené závislosti, které se
> tímto v podstatě odsouhlasí. Takže buď časem nutně některé
> aktualizace uváznou při čekání na dist-upgrade, nebo automaticky
> nechám tahat nové závislosti a netuším co nového - co by případně
> vyžadovalo administrátorský zásah, aby bylo bezpečné - se mi na
> serveru zjevilo. A ano, šance, že se něco takového nebezpečného
> objeví je asi velmi malá, ale není to zase sci-fi, dle mého
> názoru.
>
> Já jen jestli by tohle nestálo za úvahu.
>
> R. O.
>
> Dne 28.11.2013 10:01, Pavel Snajdr napsal(a):
>> No, aby me zas nekdo nebral doslovne - ty technologie, co pise
>> Standa i jini, maji svoje misto, ale moje pointa je, ze diskuze o
>> nich nema valnejsiho vyznamu, dokud vsichni nebudou splnovat
>> aspon ta minima :)
>>
>> Kdo mate na VPS automaticke aktualizace?
>>
>> Najde se nekdo, kdo je ochotnu to zpracovat na nasi Knowledge
>> Base? Nabizim mesic clenstvi gratis, pripadne nejake misto na
>> NASu :)
>>
>> S pozdravem,
>>
>> Pavel Snajdr
>>
>> Odeslano z mobilniho zarizeni.
>>
>> On 28 Nov 2013, at 09:39, Pavel Snajdr <snajpa(a)snajpa.net
>> <mailto:snajpa@snajpa.net>> wrote:
>>
>>> Ahoj,
>>>
>>> 3x ne :)
>>>
>>> Ale je mi trochu smutno z toho, ze vsichni resite "blbosti". Ja
>>> chapu, ze tyhle technologie maji svoje misto, ale ty hacky, co
>>> se nam deji, jsou zpusobene banalitami a vubec je to cela
>>> diskuse na mnohem primitivnejsi urovni - aktualizujte.
>>>
>>> Pokud vim, jeste jsme nemeli prunik zadnou 0day zranitelnosti,
>>> vsechno jsou to trapnosti typu par mesicu neaktualizovany
>>> system, slabe heslo ci propujceny pristup takovym "co s tim
>>> linuxem, teda jako taky umi".
>>>
>>> Trochu jsem rozladenej z toho, ze existuji v podstate 2 skupiny
>>> lidi - ti co neresi bezpecnost vubec a pak ti, kteri to radi
>>> prehaneji a pridelavaji si praci zbytecnou paranoiou :) Pritom
>>> fakt naprostou vetsinu problemu by vyresil pristup k veci nekde
>>> mezi tim - dodrzovat zakladni pravidla jako nepoustet, co
>>> nepotrebuju, aktualizovat, jak casto to jde, nerozdavat pristup
>>> k tem strojum nikomu, kdo nedodrzuje stejna pravidla a pouzivat
>>> silna hesla (hlavne dlouha, kratka random hesla jsou blbost).
>>> Dal bych jmenoval jeste nepoustet pod rootem co vylozene
>>> nemusim (hlavne vsemozne weby, to pustit pod rootem =
>>> sebevrazda).
>>>
>>> Zkus mi to prosim nemit za zle, ale docela si dovolim zastavat
>>> nazor, ze v situacich, kde opravdu realne vyzadujes veci jako
>>> SELinux, si stejne nemuzes dovolit byt na sdilenem hardwaru s
>>> nekym dalsim, protoze si nemuzes dovolit, aby ti nekdo videl do
>>> pameti - a ze to fakt neni slozity, teda obzvlast pokud tam mas
>>> tak bezny system, jako je RHEL/debian... Vysvetlit tomu
>>> systemu, ze ma spustit novy shell a podobne ve spravnem selinux
>>> kontextu pro tak motivovaneho jedince, ktery bude mit zajem se
>>> tam prolamat, nebude asi az tak problem. A ze zranitelnosti,
>>> jak se vylamat i z KVM uz bylo docela dost, nemuzu to najit,
>>> ale nekde jsem videl video, jak se z kvm diky zranitelnosti ve
>>> virtio vylamali na hypervisora pingem(!).
>>>
>>> Teda, abychom byli na stejne strance spolu - absence SELinuxu
>>> vadi i mne, akorat ne kvuli zabezpeceni proti hrozbam z venku,
>>> ale proti lepsi izolaci procesu v ramci jednoho systemu. Az
>>> bude chvili cas, pokusim se vyuzit nas Parallels OpenVZ
>>> maintenance partnership prave na to, aby se kouknuli po
>>> implementaci SELinuxu.
>>>
>>> S pozdravem,
>>>
>>> Pavel Snajdr
>>>
>>> Odeslano z mobilniho zarizeni.
>>>
>>> On 27 Nov 2013, at 20:57, Stanislav Petr <glux(a)glux.org
>>> <mailto:glux@glux.org>> wrote:
>> Kdyz uz jsme u ty bezpecnosti, tak mam par dotazu:
>>
>> 1. Podpora SElinuxu jeste porad v OpenVZ neni? Nebo na tom nekdo
>> pracuje? Spouste utokum (zejmena 0day exploity) to dokaze velice
>> efektivne zabranit. Pripadne jinej bezpecnostni modul (AppArmor,
>> TOMOYO)?
>>
>> 2. Co se tyka firewallu, slo by doplnit moduly iplimit, u32,
>> mport, pkttype, psd (mozna i ||ipv4options)? Dost uzivatelum by
>> to asi pomohlo.
>>
>> 3. Muze uvnitr OpenVZ guestu jadro vyuzivat tc? Jak se ve
>> vyslednym provozu projevi qos nastaveny uvnitr konternerove
>> virtualizace?
>>
>>
>> Chapu vyhody OpenVZ v maximani efektivite vyuziti systemovych
>> prostredku serveru, ale pokud se jedna o bezpecnost, tak tam mi
>> prijde ze obcas OpenVZ hazi klacky pod nohy...
>>
>>>>
>>>>
>>>>
>>>>
--------------------------------------------------------------------------------
<http://www.avast.com/>
>>
>> Tato zpráva neobsahuje viry ani jiný škodlivý kód -avast!
>> Antivirus <http://www.avast.com/> je aktivní.
>>
>>
>> _______________________________________________
>> Community-list mailing list Community-list(a)lists.vpsfree.cz
>> <mailto:Community-list@lists.vpsfree.cz>
>>
http://lists.vpsfree.cz/listinfo/community-list
> _______________________________________________ Community-list
> mailing list Community-list(a)lists.vpsfree.cz
> <mailto:Community-list@lists.vpsfree.cz>
>
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list
mailing list Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list
mailing list Community-list(a)lists.vpsfree.cz
-----BEGIN PGP
SIGNATURE-----
Version: GnuPG/MacGPG2 v2.0.20 (Darwin)
Comment: GPGTools -
https://gpgtools.org
Comment: Using GnuPG with Thunderbird -
http://www.enigmail.net/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=tbDZ
-----END PGP SIGNATURE-----
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list