Ahoj vsichni,
Tak jsem mel dnes odpoledne takovou paranoidni naladu a doslo mi, ze kdyz si clovek vytvori nove VPS a chce se tam poprve SSHckout, tak mu to pekne ukaze fingerprints accept yes/no, ale neni to prakticky kde overit. Napadlo me, jestli by treba do VPS admina pod VPS nesla vlozit prave ta informace, ktera je potreba k prvotnimu overeni fingerprintu…
Je tu jeste nekdo tak paranoidni? :-)
Zdravim, Ondra Kupka
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahoj,
to muzes pokracovat:
1. jak muzes verit, ze v template neni rootkit? 2. jak muzes verit, ze cela komunikace se serverem neni zaznamenavana? 3. do nekonecna
Nic ti nebrani ty klice pregenerovat :)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 11/28/2012 11:59 PM, Ondrej Kupka wrote:
Ahoj vsichni,
Tak jsem mel dnes odpoledne takovou paranoidni naladu a doslo mi, ze kdyz si clovek vytvori nove VPS a chce se tam poprve SSHckout, tak mu to pekne ukaze fingerprints accept yes/no, ale neni to prakticky kde overit. Napadlo me, jestli by treba do VPS admina pod VPS nesla vlozit prave ta informace, ktera je potreba k prvotnimu overeni fingerprintu…
Je tu jeste nekdo tak paranoidni? :-)
Zdravim, Ondra Kupka _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
To je pravda no :-)
On Nov 29, 2012, at 12:02 AM, Pavel Snajdr wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahoj,
to muzes pokracovat:
- jak muzes verit, ze v template neni rootkit?
- jak muzes verit, ze cela komunikace se serverem neni zaznamenavana?
- do nekonecna
Nic ti nebrani ty klice pregenerovat :)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 11/28/2012 11:59 PM, Ondrej Kupka wrote:
Ahoj vsichni,
Tak jsem mel dnes odpoledne takovou paranoidni naladu a doslo mi, ze kdyz si clovek vytvori nove VPS a chce se tam poprve SSHckout, tak mu to pekne ukaze fingerprints accept yes/no, ale neni to prakticky kde overit. Napadlo me, jestli by treba do VPS admina pod VPS nesla vlozit prave ta informace, ktera je potreba k prvotnimu overeni fingerprintu…
Je tu jeste nekdo tak paranoidni? :-)
Zdravim, Ondra Kupka _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iF4EAREIAAYFAlC2l/YACgkQdh+64ds5Dab8GAEAh8QbM/UaY8ZQNdTA5QK0IP8P S8aA6l2WJJgUs4H1ObUA/1tLLOlXwadn+85SZjfLLYokTzZLuqeP6jo1q2soSSnZ =MQs9 -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
No to si snad děláš srandu. Pochopil bych odpověď "hodilo by se, ale nebyl čas to udělat". Ale odpověď ve stylu "je to zbytečnost"? Vážně?
Oba dva body, které jsi tu napsal, se dají odmítnout s tím, že když si pořizuju u vpsfree server, tak předpokládám, že mi nechcete škodit. Vstoupit do komunikace mezi serverem a mnou při přihlašování na SSH může kdokoliv po cestě.
Pavel Snajdr wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahoj,
to muzes pokracovat:
- jak muzes verit, ze v template neni rootkit?
- jak muzes verit, ze cela komunikace se serverem neni zaznamenavana?
- do nekonecna
Nic ti nebrani ty klice pregenerovat :)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 11/28/2012 11:59 PM, Ondrej Kupka wrote:
Ahoj vsichni,
Tak jsem mel dnes odpoledne takovou paranoidni naladu a doslo mi, ze kdyz si clovek vytvori nove VPS a chce se tam poprve SSHckout, tak mu to pekne ukaze fingerprints accept yes/no, ale neni to prakticky kde overit. Napadlo me, jestli by treba do VPS admina pod VPS nesla vlozit prave ta informace, ktera je potreba k prvotnimu overeni fingerprintu…
Je tu jeste nekdo tak paranoidni? :-)
Zdravim, Ondra Kupka _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iF4EAREIAAYFAlC2l/YACgkQdh+64ds5Dab8GAEAh8QbM/UaY8ZQNdTA5QK0IP8P S8aA6l2WJJgUs4H1ObUA/1tLLOlXwadn+85SZjfLLYokTzZLuqeP6jo1q2soSSnZ =MQs9 -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Nedelam si srandu a ano, myslel jsem to vazne. Pri virtualizaci a obzvlast pri OpenVZ jsou takovehle debaty dost zajimave - kdo kdy studoval kod OpenVZ, musi vedet, o cem mluvim.
Bezpecnost je vzdycky kompromisem, ktery by mel lezet nekde tam, kde se jeste vyplati do ni investovat cas vs. jake je realne riziko.
Za tech nevimkolik let, co delam s pocitaci, jsem se jeste ani jednou nesetkal s MITM utokem na SSH, takze v tom *opravdu* problem nevidim.
Nemam rad prilisnou paranoiu, proto byla reakce, jaka byla. Navic jsem to pochopil tak, ze Ondra ten jeho puvodni mail myslel tak napul ze srandy, tak jsem tak napul ze srandy poslal odpoved a on pochopil co tim myslim. Nehledej v tom nic vic.
Neznamena to, ze je mi bezpecnost volna, ale prehanet to nehodlam. Jestli nekdo chce tuhle featuru do vpsadminu doimplementovat, nebranim v tom nikomu.
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 11/29/2012 11:57 AM, Jirka Bourek wrote:
No to si snad děláš srandu. Pochopil bych odpověď "hodilo by se, ale nebyl čas to udělat". Ale odpověď ve stylu "je to zbytečnost"? Vážně?
Oba dva body, které jsi tu napsal, se dají odmítnout s tím, že když si pořizuju u vpsfree server, tak předpokládám, že mi nechcete škodit. Vstoupit do komunikace mezi serverem a mnou při přihlašování na SSH může kdokoliv po cestě.
Pavel Snajdr wrote: Ahoj,
to muzes pokracovat:
- jak muzes verit, ze v template neni rootkit? 2. jak muzes verit,
ze cela komunikace se serverem neni zaznamenavana? 3. do nekonecna
Nic ti nebrani ty klice pregenerovat :)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 11/28/2012 11:59 PM, Ondrej Kupka wrote:
Ahoj vsichni,
Tak jsem mel dnes odpoledne takovou paranoidni naladu a doslo mi, ze kdyz si clovek vytvori nove VPS a chce se tam poprve SSHckout, tak mu to pekne ukaze fingerprints accept yes/no, ale neni to prakticky kde overit. Napadlo me, jestli by treba do VPS admina pod VPS nesla vlozit prave ta informace, ktera je potreba k prvotnimu overeni fingerprintu…
Je tu jeste nekdo tak paranoidni? :-)
Zdravim, Ondra Kupka _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
No kdyz clovek vidi, co lidi delaj, tak nemuze bejt moc paranoidni, pac by si musel prostrelit hlavu :P
Na ty zdrojaky se nekdy podivam ;-)
On Nov 29, 2012, at 12:46 PM, Pavel Snajdr wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Nedelam si srandu a ano, myslel jsem to vazne. Pri virtualizaci a obzvlast pri OpenVZ jsou takovehle debaty dost zajimave - kdo kdy studoval kod OpenVZ, musi vedet, o cem mluvim.
Bezpecnost je vzdycky kompromisem, ktery by mel lezet nekde tam, kde se jeste vyplati do ni investovat cas vs. jake je realne riziko.
Za tech nevimkolik let, co delam s pocitaci, jsem se jeste ani jednou nesetkal s MITM utokem na SSH, takze v tom *opravdu* problem nevidim.
Nemam rad prilisnou paranoiu, proto byla reakce, jaka byla. Navic jsem to pochopil tak, ze Ondra ten jeho puvodni mail myslel tak napul ze srandy, tak jsem tak napul ze srandy poslal odpoved a on pochopil co tim myslim. Nehledej v tom nic vic.
Neznamena to, ze je mi bezpecnost volna, ale prehanet to nehodlam. Jestli nekdo chce tuhle featuru do vpsadminu doimplementovat, nebranim v tom nikomu.
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 11/29/2012 11:57 AM, Jirka Bourek wrote:
No to si snad děláš srandu. Pochopil bych odpověď "hodilo by se, ale nebyl čas to udělat". Ale odpověď ve stylu "je to zbytečnost"? Vážně?
Oba dva body, které jsi tu napsal, se dají odmítnout s tím, že když si pořizuju u vpsfree server, tak předpokládám, že mi nechcete škodit. Vstoupit do komunikace mezi serverem a mnou při přihlašování na SSH může kdokoliv po cestě.
Pavel Snajdr wrote: Ahoj,
to muzes pokracovat:
- jak muzes verit, ze v template neni rootkit? 2. jak muzes verit,
ze cela komunikace se serverem neni zaznamenavana? 3. do nekonecna
Nic ti nebrani ty klice pregenerovat :)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 11/28/2012 11:59 PM, Ondrej Kupka wrote:
Ahoj vsichni,
Tak jsem mel dnes odpoledne takovou paranoidni naladu a doslo mi, ze kdyz si clovek vytvori nove VPS a chce se tam poprve SSHckout, tak mu to pekne ukaze fingerprints accept yes/no, ale neni to prakticky kde overit. Napadlo me, jestli by treba do VPS admina pod VPS nesla vlozit prave ta informace, ktera je potreba k prvotnimu overeni fingerprintu…
Je tu jeste nekdo tak paranoidni? :-)
Zdravim, Ondra Kupka _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iF4EAREIAAYFAlC3Sv0ACgkQdh+64ds5DaZelwD+IzHZnuyWH0tjC052rN8i5w/R ph0m4A3xeRCWlQO+JcUA/1N0ffDwQE0WV8FdtEBQs9KEa92PmFZNwkOIOVDlFrN1 =PXju -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Bezpecnost je vzdycky kompromisem, ktery by mel lezet nekde tam, kde se jeste vyplati do ni investovat cas vs. jake je realne riziko.
Za tech nevimkolik let, co delam s pocitaci, jsem se jeste ani jednou nesetkal s MITM utokem na SSH, takze v tom *opravdu* problem nevidim.
a) jestli s klidem píšeš "yes" na výzvu o potvrzení klíče aniž by sis ho ověřil, tak bys měl tvrdit, že jsi se s MITM útokem ještě nesetkal nebo sis ho nevšiml.
b) potřebný čas je doplnit do zakládání VPS volání ssh_keygen a hodnoty, které to vrátí, zapsat do DB a zobrazit ve vpsadminu. Nekoukal jsem, jak to máš udělané, ale pokud ten admin není vyloženě zprasený, je to práce na jedno odpoledne.
Za možnost tvrdit "podívejte se, že řešíme i tohle" mi to tolik času nepřijde.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Prijde mi, ze to moc hrotis a zajimalo by mne proc :)
Ale kdyz uz se hlasis jako dobrovolnik, napis mi na pavel.snajdr@vpsfree.cz a muzes to naimplementovat :)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 11/29/2012 01:01 PM, Jirka Bourek wrote:
Bezpecnost je vzdycky kompromisem, ktery by mel lezet nekde tam, kde se jeste vyplati do ni investovat cas vs. jake je realne riziko.
Za tech nevimkolik let, co delam s pocitaci, jsem se jeste ani jednou nesetkal s MITM utokem na SSH, takze v tom *opravdu* problem nevidim.
a) jestli s klidem píšeš "yes" na výzvu o potvrzení klíče aniž by sis ho ověřil, tak bys měl tvrdit, že jsi se s MITM útokem ještě nesetkal nebo sis ho nevšiml.
b) potřebný čas je doplnit do zakládání VPS volání ssh_keygen a hodnoty, které to vrátí, zapsat do DB a zobrazit ve vpsadminu. Nekoukal jsem, jak to máš udělané, ale pokud ten admin není vyloženě zprasený, je to práce na jedno odpoledne.
Za možnost tvrdit "podívejte se, že řešíme i tohle" mi to tolik času nepřijde. _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Pavel Snajdr wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Prijde mi, ze to moc hrotis a zajimalo by mne proc :)
Protože nemám rád, když se nad potenciálním bezpečnostním rizikem jenom tak mávne rukou s tím, že to vlastně není problém.
A taky nemám rád, když předseda sdružení, které o sobě tvrdí, že se věci projednávají otevřeně, během diskuze začne psát soukromé maily. Když otevřenost, tak ne na dobré zprávy, ale i na ty špatné, ne?
== Btw, timhle docilujes akorat to, ze priste na podobny paranoicky veci nebudu reagovat vubec a proste je prejdu.
Ano, shodneme se, byla by to cool featura;
ale taky *ANO*, je zbytecna a *ANO*, do ted to nikomu nevadilo.
To, ze jsi to zacal hrotit (a ten styl) ve mne vyvolava totalni nechut to vubec resit. ==
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Protoze jsem si to s tebou chtel vyrikat soukromne.
Ok, evidentne se bavit nechces, neresim.
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 11/29/2012 01:11 PM, Jirka Bourek wrote:
Pavel Snajdr wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Prijde mi, ze to moc hrotis a zajimalo by mne proc :)
Protože nemám rád, když se nad potenciálním bezpečnostním rizikem jenom tak mávne rukou s tím, že to vlastně není problém.
A taky nemám rád, když předseda sdružení, které o sobě tvrdí, že se věci projednávají otevřeně, během diskuze začne psát soukromé maily. Když otevřenost, tak ne na dobré zprávy, ale i na ty špatné, ne?
== Btw, timhle docilujes akorat to, ze priste na podobny paranoicky veci nebudu reagovat vubec a proste je prejdu.
Ano, shodneme se, byla by to cool featura;
ale taky *ANO*, je zbytecna a *ANO*, do ted to nikomu nevadilo.
To, ze jsi to zacal hrotit (a ten styl) ve mne vyvolava totalni nechut to vubec resit. ==
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Tak ja si taky zaflamewaruji :-)
TL;DR: odpoved je SSHFP || TOFU || Perspectives, ale neni to bez prace
On 11/29/2012 05:57 PM, Jirka Bourek wrote:
No to si snad děláš srandu. Pochopil bych odpověď "hodilo by se, ale nebyl čas to udělat". Ale odpověď ve stylu "je to zbytečnost"? Vážně?
+1
On 11/29/2012 06:02 AM, Pavel Snajdr wrote:
to muzes pokracovat:
- jak muzes verit, ze v template neni rootkit?
- jak muzes verit, ze cela komunikace se serverem neni zaznamenavana?
Dle tehle logiky se muzeme vratit k telnetu. Duvod vsech techhle "vymyslu" je "layered security".
- do nekonecna
Neni pravda. Cf. model checking, provable security, provable computing (ale drahe jak svin, dela to tak mozna Boeing a NASA, protoze Goedelova veta o neuplnosti neni uplne prejici).
Nejblizsi jednoduche reseni je SSHFP zaznam v DNS (podporovano primo v SSH klientu, mozna nekde bude treba nejaky option zapnout), napr.:
dig +dnssec -t SSHFP perdulce.torproject.org
Druha "workaround" metoda je pouzit pristup Perspectives - podivat se na SSH fingerprinty z ruznych mist/IP po svete (lze treba z runych jinych stroju/VPS nebo pres Tor, viz option ProxyCommand u SSH a NEWNYM v Tor control protocol). Pokud fingerprinty z ruznych mist sedi, je to nejspis v poradku; pokud se lisi, je definitivne problem.
Pristup SSH "do you think this fingerprint is correct" pri prvnim pripojeni navzdory jeho jednoduchosti je dost ucinny (TOFU = trust on first use). Na stejnem principu je tez zalozen HSTS (HTTP Strict Transport Security) a bylo kolem TOFU uz dost flamewaru.
Stejne bych se nikdy neodvazil tvrdit, ze na "protokol X jsem MitM nevidel". Jednak jsem videl a druhak plati "absence of evidence doesn't imply evidence of absence".
OM
Podla mna tu neni nikto tak paranoidny :) ak chces overit,ci je to naozaj ten server,tak pri prvom prihlaseni ho cez konzolu shutdownni a pozri sa vo vpsadmine,ci je vypnuty a vies,ze je to on :) pripadne ti nose stacit to,ze ti funguje heslo,ktore si si nastavil cez vps admin.. lebo IMHO je velmi mala pravdepodobnost,ze "podvrhnuty" falosny server bude mat na roota rovnake heslo,ake si si nastavil cez vps admina :) mylim sa? Dňa 29.11.2012 0:00, "Ondrej Kupka" ondra.cap@gmail.com napísal(-a):
Ahoj vsichni,
Tak jsem mel dnes odpoledne takovou paranoidni naladu a doslo mi, ze kdyz si clovek vytvori nove VPS a chce se tam poprve SSHckout, tak mu to pekne ukaze fingerprints accept yes/no, ale neni to prakticky kde overit. Napadlo me, jestli by treba do VPS admina pod VPS nesla vlozit prave ta informace, ktera je potreba k prvotnimu overeni fingerprintu...
Je tu jeste nekdo tak paranoidni? :-)
Zdravim, Ondra Kupka _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Podvrhnuty server muze proste prijmout jakekoliv heslo a tvarit se jako original, right? ;-)
On Nov 29, 2012, at 10:58 AM, Michal Dobsovic wrote:
Podla mna tu neni nikto tak paranoidny :) ak chces overit,ci je to naozaj ten server,tak pri prvom prihlaseni ho cez konzolu shutdownni a pozri sa vo vpsadmine,ci je vypnuty a vies,ze je to on :) pripadne ti nose stacit to,ze ti funguje heslo,ktore si si nastavil cez vps admin.. lebo IMHO je velmi mala pravdepodobnost,ze "podvrhnuty" falosny server bude mat na roota rovnake heslo,ake si si nastavil cez vps admina :) mylim sa?
Dňa 29.11.2012 0:00, "Ondrej Kupka" ondra.cap@gmail.com napísal(-a): Ahoj vsichni,
Tak jsem mel dnes odpoledne takovou paranoidni naladu a doslo mi, ze kdyz si clovek vytvori nove VPS a chce se tam poprve SSHckout, tak mu to pekne ukaze fingerprints accept yes/no, ale neni to prakticky kde overit. Napadlo me, jestli by treba do VPS admina pod VPS nesla vlozit prave ta informace, ktera je potreba k prvotnimu overeni fingerprintu…
Je tu jeste nekdo tak paranoidni? :-)
Zdravim, Ondra Kupka _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
No :) ano,to je mozno pravda.. tym padom moja metoda shutdownu je jedina spolahliva :) Dňa 29.11.2012 11:13, "Ondrej Kupka" ondra.cap@gmail.com napísal(-a):
Podvrhnuty server muze proste prijmout jakekoliv heslo a tvarit se jako original, right? ;-)
On Nov 29, 2012, at 10:58 AM, Michal Dobsovic wrote:
Podla mna tu neni nikto tak paranoidny :) ak chces overit,ci je to naozaj ten server,tak pri prvom prihlaseni ho cez konzolu shutdownni a pozri sa vo vpsadmine,ci je vypnuty a vies,ze je to on :) pripadne ti nose stacit to,ze ti funguje heslo,ktore si si nastavil cez vps admin.. lebo IMHO je velmi mala pravdepodobnost,ze "podvrhnuty" falosny server bude mat na roota rovnake heslo,ake si si nastavil cez vps admina :) mylim sa? Dňa 29.11.2012 0:00, "Ondrej Kupka" ondra.cap@gmail.com napísal(-a):
Ahoj vsichni,
Tak jsem mel dnes odpoledne takovou paranoidni naladu a doslo mi, ze kdyz si clovek vytvori nove VPS a chce se tam poprve SSHckout, tak mu to pekne ukaze fingerprints accept yes/no, ale neni to prakticky kde overit. Napadlo me, jestli by treba do VPS admina pod VPS nesla vlozit prave ta informace, ktera je potreba k prvotnimu overeni fingerprintu...
Je tu jeste nekdo tak paranoidni? :-)
Zdravim, Ondra Kupka _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ano, pleteš se. Podvrhnutý "server" může být proces běžící na napadeném zařízení tvého poskytovatele internetu. Neudělá nic jiného, než že naváže spojení tam, kam jsi původně chtěl ty, odposlechne tvoje heslo, předá ho na tvůj server, a následně bude předávat veškerou komunikaci.
Takže protože sis fingerprint neměl jak ověřit, má najednou tvoje heslo někdo třetí.
Michal Dobsovic wrote:
Podla mna tu neni nikto tak paranoidny :) ak chces overit,ci je to naozaj ten server,tak pri prvom prihlaseni ho cez konzolu shutdownni a pozri sa vo vpsadmine,ci je vypnuty a vies,ze je to on :) pripadne ti nose stacit to,ze ti funguje heslo,ktore si si nastavil cez vps admin.. lebo IMHO je velmi mala pravdepodobnost,ze "podvrhnuty" falosny server bude mat na roota rovnake heslo,ake si si nastavil cez vps admina :) mylim sa? Dňa 29.11.2012 0:00, "Ondrej Kupka"ondra.cap@gmail.com napísal(-a):
Ahoj vsichni,
Tak jsem mel dnes odpoledne takovou paranoidni naladu a doslo mi, ze kdyz si clovek vytvori nove VPS a chce se tam poprve SSHckout, tak mu to pekne ukaze fingerprints accept yes/no, ale neni to prakticky kde overit. Napadlo me, jestli by treba do VPS admina pod VPS nesla vlozit prave ta informace, ktera je potreba k prvotnimu overeni fingerprintu...
Je tu jeste nekdo tak paranoidni? :-)
Zdravim, Ondra Kupka _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ano :-) ale to je predsa jasna vec uz od doby,kedy internet vznikol.. internet neni bezpecny a cim dalej,tym to bude len horsie..cize ake je z toho ponaucenie? Ak chcem 100% bezpecny server, tak ho odpojim od internetu,od elektriny,zakopem ho pod zem a obmurujem ho aspon 1m hrubym zelezobetonovym murom (aby nebolo mozne nejakou super citackou precitat data na disku). Otazne vsak je, na co taky server potom bude :-) teoreticky bezpecnost nikdy nedosiahnes.. lebo co ak v jadre systemu je tiez nejaky rootkit? Bud veris tomu,ze linux,vpsfree a tvoj provider su seriozni,alebo nie,inu moznost nemas.. Dňa 29.11.2012 11:59, "Jirka Bourek" trekker.dk@abclinuxu.cz napísal(-a):
Ano, pleteš se. Podvrhnutý "server" může být proces běžící na napadeném zařízení tvého poskytovatele internetu. Neudělá nic jiného, než že naváže spojení tam, kam jsi původně chtěl ty, odposlechne tvoje heslo, předá ho na tvůj server, a následně bude předávat veškerou komunikaci.
Takže protože sis fingerprint neměl jak ověřit, má najednou tvoje heslo někdo třetí.
Michal Dobsovic wrote:
Podla mna tu neni nikto tak paranoidny :) ak chces overit,ci je to naozaj ten server,tak pri prvom prihlaseni ho cez konzolu shutdownni a pozri sa vo vpsadmine,ci je vypnuty a vies,ze je to on :) pripadne ti nose stacit to,ze ti funguje heslo,ktore si si nastavil cez vps admin.. lebo IMHO je velmi mala pravdepodobnost,ze "podvrhnuty" falosny server bude mat na roota rovnake heslo,ake si si nastavil cez vps admina :) mylim sa? Dňa 29.11.2012 0:00, "Ondrej Kupka"ondra.cap@gmail.com napísal(-a):
Ahoj vsichni,
Tak jsem mel dnes odpoledne takovou paranoidni naladu a doslo mi, ze kdyz si clovek vytvori nove VPS a chce se tam poprve SSHckout, tak mu to pekne ukaze fingerprints accept yes/no, ale neni to prakticky kde overit. Napadlo me, jestli by treba do VPS admina pod VPS nesla vlozit prave ta informace, ktera je potreba k prvotnimu overeni fingerprintu...
Je tu jeste nekdo tak paranoidni? :-)
Zdravim, Ondra Kupka ______________________________**_________________ Community-list mailing list Community-list@lists.vpsfree.**cz Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/**listinfo/community-listhttp://lists.vpsfree.cz/listinfo/community-list
______________________________**_________________ Community-list mailing list Community-list@lists.vpsfree.**cz Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/**listinfo/community-listhttp://lists.vpsfree.cz/listinfo/community-list
______________________________**_________________ Community-list mailing list Community-list@lists.vpsfree.**cz Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/**listinfo/community-listhttp://lists.vpsfree.cz/listinfo/community-list
"Argument" ad absurdum? Soudný člověk vidí, že mezi "zakopu server pod zem odpojený od internetu" a "budu totálně kašlat na jakékoliv zabezpečení, protože 100% bezpečný server připojený do internetu nejde udělat" je ještě docela dost dalších možností...
Michal Dobsovic wrote:
Ano :-) ale to je predsa jasna vec uz od doby,kedy internet vznikol.. internet neni bezpecny a cim dalej,tym to bude len horsie..cize ake je z toho ponaucenie? Ak chcem 100% bezpecny server, tak ho odpojim od internetu,od elektriny,zakopem ho pod zem a obmurujem ho aspon 1m hrubym zelezobetonovym murom (aby nebolo mozne nejakou super citackou precitat data na disku). Otazne vsak je, na co taky server potom bude :-) teoreticky bezpecnost nikdy nedosiahnes.. lebo co ak v jadre systemu je tiez nejaky rootkit? Bud veris tomu,ze linux,vpsfree a tvoj provider su seriozni,alebo nie,inu moznost nemas.. Dňa 29.11.2012 11:59, "Jirka Bourek"trekker.dk@abclinuxu.cz napísal(-a):
Ano, pleteš se. Podvrhnutý "server" může být proces běžící na napadeném zařízení tvého poskytovatele internetu. Neudělá nic jiného, než že naváže spojení tam, kam jsi původně chtěl ty, odposlechne tvoje heslo, předá ho na tvůj server, a následně bude předávat veškerou komunikaci.
Takže protože sis fingerprint neměl jak ověřit, má najednou tvoje heslo někdo třetí.
Michal Dobsovic wrote:
Podla mna tu neni nikto tak paranoidny :) ak chces overit,ci je to naozaj ten server,tak pri prvom prihlaseni ho cez konzolu shutdownni a pozri sa vo vpsadmine,ci je vypnuty a vies,ze je to on :) pripadne ti nose stacit to,ze ti funguje heslo,ktore si si nastavil cez vps admin.. lebo IMHO je velmi mala pravdepodobnost,ze "podvrhnuty" falosny server bude mat na roota rovnake heslo,ake si si nastavil cez vps admina :) mylim sa? Dňa 29.11.2012 0:00, "Ondrej Kupka"ondra.cap@gmail.com napísal(-a):
Ahoj vsichni,
Tak jsem mel dnes odpoledne takovou paranoidni naladu a doslo mi, ze kdyz si clovek vytvori nove VPS a chce se tam poprve SSHckout, tak mu to pekne ukaze fingerprints accept yes/no, ale neni to prakticky kde overit. Napadlo me, jestli by treba do VPS admina pod VPS nesla vlozit prave ta informace, ktera je potreba k prvotnimu overeni fingerprintu...
Je tu jeste nekdo tak paranoidni? :-)
Zdravim, Ondra Kupka ______________________________**_________________ Community-list mailing list Community-list@lists.vpsfree.**czCommunity-list@lists.vpsfree.cz http://lists.vpsfree.cz/**listinfo/community-listhttp://lists.vpsfree.cz/listinfo/community-list
______________________________**_________________ Community-list mailing list Community-list@lists.vpsfree.**czCommunity-list@lists.vpsfree.cz http://lists.vpsfree.cz/**listinfo/community-listhttp://lists.vpsfree.cz/listinfo/community-list
______________________________**_________________ Community-list mailing list Community-list@lists.vpsfree.**czCommunity-list@lists.vpsfree.cz http://lists.vpsfree.cz/**listinfo/community-listhttp://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Zaprve naprosto souhlasim s tim, ze bezpecnost sit vs poskytovatel je neco uplne jineho, tudiz mnou navrhovane overeni fingerprints ma smysl.
Vyjadreni ve smysl proc se tim trapit, kdyz zabezpeceni stejne nekde pokulhava, je naprosto mimo. Jde o to zneprijemnit a pokud mozne znemoznit to napadeni jak to jde. Samozrejme, pokud ma nepritel dost prostredku, tak si postavi jadernou elektrarnu, nakoupi vic serveru nez ma Google a Facebook dohromady a zDoSuje cokoliv na svete. To ale neznamena, ze se clovek nema snazit o zabezpeceni… A zpristupneni fingerprintu jako neni podle me tezke a prinasi to hodne. Pokud nemame fingerprints, tak je proste dira uz na zacatku.
On Nov 29, 2012, at 12:03 PM, Michal Dobsovic wrote:
Ano :-) ale to je predsa jasna vec uz od doby,kedy internet vznikol.. internet neni bezpecny a cim dalej,tym to bude len horsie..cize ake je z toho ponaucenie? Ak chcem 100% bezpecny server, tak ho odpojim od internetu,od elektriny,zakopem ho pod zem a obmurujem ho aspon 1m hrubym zelezobetonovym murom (aby nebolo mozne nejakou super citackou precitat data na disku). Otazne vsak je, na co taky server potom bude :-) teoreticky bezpecnost nikdy nedosiahnes.. lebo co ak v jadre systemu je tiez nejaky rootkit? Bud veris tomu,ze linux,vpsfree a tvoj provider su seriozni,alebo nie,inu moznost nemas..
Dňa 29.11.2012 11:59, "Jirka Bourek" trekker.dk@abclinuxu.cz napísal(-a): Ano, pleteš se. Podvrhnutý "server" může být proces běžící na napadeném zařízení tvého poskytovatele internetu. Neudělá nic jiného, než že naváže spojení tam, kam jsi původně chtěl ty, odposlechne tvoje heslo, předá ho na tvůj server, a následně bude předávat veškerou komunikaci.
Takže protože sis fingerprint neměl jak ověřit, má najednou tvoje heslo někdo třetí.
Michal Dobsovic wrote: Podla mna tu neni nikto tak paranoidny :) ak chces overit,ci je to naozaj ten server,tak pri prvom prihlaseni ho cez konzolu shutdownni a pozri sa vo vpsadmine,ci je vypnuty a vies,ze je to on :) pripadne ti nose stacit to,ze ti funguje heslo,ktore si si nastavil cez vps admin.. lebo IMHO je velmi mala pravdepodobnost,ze "podvrhnuty" falosny server bude mat na roota rovnake heslo,ake si si nastavil cez vps admina :) mylim sa? Dňa 29.11.2012 0:00, "Ondrej Kupka"ondra.cap@gmail.com napísal(-a):
Ahoj vsichni,
Tak jsem mel dnes odpoledne takovou paranoidni naladu a doslo mi, ze kdyz si clovek vytvori nove VPS a chce se tam poprve SSHckout, tak mu to pekne ukaze fingerprints accept yes/no, ale neni to prakticky kde overit. Napadlo me, jestli by treba do VPS admina pod VPS nesla vlozit prave ta informace, ktera je potreba k prvotnimu overeni fingerprintu...
Je tu jeste nekdo tak paranoidni? :-)
Zdravim, Ondra Kupka _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Mno.
To jsem se zas jednou nechal unest.... takze abych to shrnul:
1. implementace toho, co navrhuje Ondra, je zbytecna (trololol, umad, Jirka?)
... ... ...
- -- ale ne protoze bych tak "brutalne" podcenoval bezpecnost, ale protoze mame mnohem-mnohem-mnohem lepsi reseni, na kterem Aither pracuje uz nejaky tyden - kdo prijde na schuzi, dozvi se prvni, do te doby nepovim :)
2. musim si priste uvedomit, ze i kdyz vim, ze moji odpoved puvodni tazatel pochopi presne, jak jsem chtel, precte si to i par desitek jinych lidi, kteri maji ruznou naladu a pochopi to uplne jinak (coz sice uprimne neni muj problem, ale mohl bych to priste trochu rozvest a nejenom si delat srandu dal :))
(a vzhledem k tomu, v kolik aktualne cca bezne vstavam, bych si mel dat pravidlo, ze nebudu odepisovat na maily, dokud nejsem aspon 3 hodiny vzhuru - protoze po "ranu" mam chut odpalovat atomovy hlavice, kdo mne zazil po ranu, muze dosvedcit)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 11/28/2012 11:59 PM, Ondrej Kupka wrote:
Ahoj vsichni,
Tak jsem mel dnes odpoledne takovou paranoidni naladu a doslo mi, ze kdyz si clovek vytvori nove VPS a chce se tam poprve SSHckout, tak mu to pekne ukaze fingerprints accept yes/no, ale neni to prakticky kde overit. Napadlo me, jestli by treba do VPS admina pod VPS nesla vlozit prave ta informace, ktera je potreba k prvotnimu overeni fingerprintu…
Je tu jeste nekdo tak paranoidni? :-)
Zdravim, Ondra Kupka _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ale prosimte, copak ti dneska kdo udelal?
Zatim tu porad akorat hejtujes, ale s nicim konkretnim jsi neprisel.
A tak mi prosimte vase vysosti prominte, kdyz z toho mam srandu.
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 11/29/2012 02:00 PM, Jirka Bourek wrote:
To jsem se zas jednou nechal unest.... takze abych to shrnul:
- implementace toho, co navrhuje Ondra, je zbytecna (trololol,
umad, Jirka?)
Z toho, že předseda vpsfree do mailové konference píše jako patnáctiletý fracek? Ano, to se mi nelíbí. Tady už chybí jenom narážka na "ur mum" _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ale prosimte, copak ti dneska kdo udelal?
Nikdo nic. Jenom se mi nelíbí dnešní chování předsedy sdružení, který nejdřív mávne rukou nad potenciálním bezpečnostním rizikem*, následně z otevřenosti sdružení dělá jenom hloupou frázi tím, že diskuzi o nějakém problému** přesouvá z veřejné konference do osobní roviny (což mimo jiné nebylo poprvé), a nakonec to završí hláškou, která je hodná patnáctiletého anonyma v nějaké online hře.
* ok, s tím, že podle mailu z 13:56 řešení ve skutečnosti existuje, ale v tu chvíli ví jenom on
** s tím, že různé strany mohou mít různý názor na to, jak velký problém to je
Zatim tu porad akorat hejtujes, ale s nicim konkretnim jsi neprisel.
Viz mail z 11:52 (konkrétní popis, kde vidím problém) a z 13:01, bod b) (konkrétní popis možného řešení)
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
:) dalsie +++ , ktore dostava clen vpsFree...0 pretoze byt clenom nie je len o tom mat VPS, ale aj o tom, ze tu kazdy moze zazit zaujimave stories ;) , u konkurencie nikdy nebudete mat kontakt s podobnymi zalezitostami (hadanim, srandovanim, kto vie co este - nech si to kazdy pomenuje ako mu je libo...)
Velka vdaka pani za chvilkove rozptylenie ;)
On 11/29/2012 02:01 PM, Pavel Snajdr wrote:
Ale prosimte, copak ti dneska kdo udelal?
Zatim tu porad akorat hejtujes, ale s nicim konkretnim jsi neprisel.
A tak mi prosimte vase vysosti prominte, kdyz z toho mam srandu.
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 11/29/2012 02:00 PM, Jirka Bourek wrote:
To jsem se zas jednou nechal unest.... takze abych to shrnul:
- implementace toho, co navrhuje Ondra, je zbytecna (trololol,
umad, Jirka?)
Z toho, že předseda vpsfree do mailové konference píše jako patnáctiletý fracek? Ano, to se mi nelíbí. Tady už chybí jenom narážka na "ur mum" _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
- -- S pozdravom / Best regards - --------------------------------------------- [Peter Bubeliny] [+421 948 358 078] [PGP Key: http://hakin.eu/peter.bubeliny.gpg]
Udělejte to jednoduše, v sobotu oba dojděte na schůzi a tam si dejte po tlamě. Kdo má ten flamewar (teď už navíc naprosto o ničem) číst? On 29.11.2012 14:01, Pavel Snajdr wrote:
Ale prosimte, copak ti dneska kdo udelal?
Zatim tu porad akorat hejtujes, ale s nicim konkretnim jsi neprisel.
A tak mi prosimte vase vysosti prominte, kdyz z toho mam srandu.
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 11/29/2012 02:00 PM, Jirka Bourek wrote:
To jsem se zas jednou nechal unest.... takze abych to shrnul:
- implementace toho, co navrhuje Ondra, je zbytecna (trololol,
umad, Jirka?)
Z toho, že předseda vpsfree do mailové konference píše jako patnáctiletý fracek? Ano, to se mi nelíbí. Tady už chybí jenom narážka na "ur mum" _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Z toho, že předseda vpsfree do mailové konference píše jako patnáctiletý fracek? Ano, to se mi nelíbí. Tady už chybí jenom narážka na "ur mum"
No, mozna bysme tu "debatu" (jestli se to tak fakt da nazvat) mohli trosku zklidnit ne? :)
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
On 11/29/2012 02:11 PM, Tomas Volf wrote:
Z toho, že předseda vpsfree do mailové konference píše jako patnáctiletý fracek? Ano, to se mi nelíbí. Tady už chybí jenom narážka na "ur mum"
No, mozna bysme tu "debatu" (jestli se to tak fakt da nazvat) mohli trosku zklidnit ne? :)
Mas pravdu Tomasi.
Zbytecne si to beru moc osobne :) Na druhou stranu, to je u mne normalni. Ja se strasne nerad pretvaruju a mam za to, ze ani na mailing listech bych se nemel vydavat za nekoho, kdo nejsem - nerad pisu strojeny a oficialni odpovedi a vyjadreni k "problemu". Kdo mne trochu zna, vi, ze umim veci brat vazne, ale zaroven si z nich dost casto delam srandu. Proste to jsem ja a menit to nehodlam - komu se nelibi, nemusi se mnou komunikovat. Jenom si nekdy neuvedomuju, ze podstatny prvky komunikace, jako napr. vyraz ve tvari a intonace se v mailech ztraci - z nich je poznat, jak to kdy myslim.
Ze diskuze okolo bezpecnostni vyvolava emoce, to je koukam asi docela normalni jev.
Muj pohled na vec je takovej, ze aby riziko MITM utoku bylo realny, utocnik by musel:
1. vedet, ze si clovek u nas udelal novy VPS 2. zachytit jeho IP adresu 3. nekde na trase mezi nasim rackem a obeti premostit veskerou konektivitu mezi temi body
Proc si myslim, ze je cela tahle diskuze blbost a proc si z toho delam srandu?
Za prvy, situace, ze by pripadny utocnik mel dost vysokou motivaci se vubec necim takovym zabyvat, je uz sama o sobe ohromne pravdepodobna. Za druhy, vetsina trasy je vcelku secure z pohledu, ze utocnik by musel mit opravdu velkou motivaci, aby se do komunikace mohl dostat jeste v datacentru (v nasi siti je to docela challenge udelat, kvuli tomu, jak funguje OpenVZ a routing nad nim), nebo nekde na trase (pristup k tem uzlum nema kdekdo a kdo ho ma, riskoval by vetsinou docela krute smluvni pokuty a navic trestni stihani). Nejvetsi ohrozeni jsou tak ruzny nezabezpeceny wifi site - ale jestli se na VPS obet pripojuje odtamtud, tak to si myslim, ze moznost podvrzeni SSH klice je posledni, co je jeji problem. Za treti, kdo ma vubec duvod navazet se do komunikace VPS, na kterem jeste vubec nic neni? To by ta motivace utocnika musela bejt vylozene hodne vysoka vuci konkretni osobe obeti, ktera si myslim, ze by asi o takovym riziku vedela - pak by ale napr. Ondra nezacinal mail ve smyslu "asi jsem hodne paranoidni, ale...", nybrz by psal "potreboval bych, abychom meli..."
Kdo se uz pri tomhle nezacne smat, kdyz vidi, jak nekteri tohle riziko berou vazne? Seriozne? :)))) Lezim na zemi.
Ale dobre, dejme tomu, ze je to nice-to-have feature - pak ale nahravame falesnymu pocitu, ze je clovek u nas opravdu 100% secure.
Jenze. Kdo vi, co je kontejnerova virtualizace, musi mu bejt jasny, ze 100% bezpecnost se s ni zarucit neda. Pro nase pouziti bych to nazval jako "secure-enough", tedy dostatecne bezpecne, abychom si nelezli navzajem do zeli a mohli povazovat svoje data jako ulozena v bezpeci. Nad timhle vsim jsem stravil dlouhe hodiny premejsleni, nez jsme vpsfree vubec realizovali - a bude to OpenVZ dostatecne bezpecne? Na co bychom si meli dat bacha, abychom zustali dostatecne secure? A vubec, co je v nasem kontextu "dostatecne secure"? Jaka data tam budou lidi mit a jak moc potrebujeme investovat do bezpecnosti?
Ze na tuhle fingerprint aferku vlastne mame reseni, mi doslo az v kontextu toho, co jsem si o tyhle srande psal s Mrkvou. Dojdete na schuzi a uvidite.
Jo a k transparentnosti, do ktere se chudak urazeny Jirka navazi. Mno, naivne jsem si myslel, ze to s nim vyresim off-the-list, ze ze sebe nebudeme navzajem na verejnosti delat idioty. Ale budiz, kdyz transparentnost, tak transparentnost :) A ze je to opakovane? Ano, je. Opakovane ze sebe a z toho druheho nechci delat idiota na verejnosti.
Tak si o mne, Jirko, klidne mysli, ze se chovam jako 15ti lety fracek. Mysli si, ze mam bezpecnost u zadnice.
No co, pobavili jsme se, cas se vratit k praci a delat neco uzitecnyho.
S uctenym pozdravem poklonu posila
Pavel Snajdr
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Jasne no, ve finale je to docela usmevne, ale mozna bych mohl napsat, jak jsem vlastne k dotazu dosel.
Zacal jsem nedavno cist VPN Illustrated, protoze ted delam v praci VPNku. Samozrejme jsem se prokousal nejakym tim uvodem pres PPP, PPTP, L2PT and stuff, kde jsem zjistil, ze situace je vlastne dost hrozna. Prakticky nic neni bezpecne tak, jak technologie puvodne zamyslely a zarucovaly. A z velke casti je to lemplovstvim bud v implementaci nebo nastaveni. No a kdyz jsem byl plny takovychto temnych myslenek a znechuceni, tak jsem si vzpomnel na to, jak jsem JA SAM potvrdil ty fingerprints na vpsFree. A najednou jsem psal email do mailing listu :D
On Nov 29, 2012, at 2:44 PM, Pavel Snajdr wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
On 11/29/2012 02:11 PM, Tomas Volf wrote:
Z toho, že předseda vpsfree do mailové konference píše jako patnáctiletý fracek? Ano, to se mi nelíbí. Tady už chybí jenom narážka na "ur mum"
No, mozna bysme tu "debatu" (jestli se to tak fakt da nazvat) mohli trosku zklidnit ne? :)
Mas pravdu Tomasi.
Zbytecne si to beru moc osobne :) Na druhou stranu, to je u mne normalni. Ja se strasne nerad pretvaruju a mam za to, ze ani na mailing listech bych se nemel vydavat za nekoho, kdo nejsem - nerad pisu strojeny a oficialni odpovedi a vyjadreni k "problemu". Kdo mne trochu zna, vi, ze umim veci brat vazne, ale zaroven si z nich dost casto delam srandu. Proste to jsem ja a menit to nehodlam - komu se nelibi, nemusi se mnou komunikovat. Jenom si nekdy neuvedomuju, ze podstatny prvky komunikace, jako napr. vyraz ve tvari a intonace se v mailech ztraci - z nich je poznat, jak to kdy myslim.
Ze diskuze okolo bezpecnostni vyvolava emoce, to je koukam asi docela normalni jev.
Muj pohled na vec je takovej, ze aby riziko MITM utoku bylo realny, utocnik by musel:
- vedet, ze si clovek u nas udelal novy VPS
- zachytit jeho IP adresu
- nekde na trase mezi nasim rackem a obeti premostit veskerou
konektivitu mezi temi body
Proc si myslim, ze je cela tahle diskuze blbost a proc si z toho delam srandu?
Za prvy, situace, ze by pripadny utocnik mel dost vysokou motivaci se vubec necim takovym zabyvat, je uz sama o sobe ohromne pravdepodobna. Za druhy, vetsina trasy je vcelku secure z pohledu, ze utocnik by musel mit opravdu velkou motivaci, aby se do komunikace mohl dostat jeste v datacentru (v nasi siti je to docela challenge udelat, kvuli tomu, jak funguje OpenVZ a routing nad nim), nebo nekde na trase (pristup k tem uzlum nema kdekdo a kdo ho ma, riskoval by vetsinou docela krute smluvni pokuty a navic trestni stihani). Nejvetsi ohrozeni jsou tak ruzny nezabezpeceny wifi site - ale jestli se na VPS obet pripojuje odtamtud, tak to si myslim, ze moznost podvrzeni SSH klice je posledni, co je jeji problem. Za treti, kdo ma vubec duvod navazet se do komunikace VPS, na kterem jeste vubec nic neni? To by ta motivace utocnika musela bejt vylozene hodne vysoka vuci konkretni osobe obeti, ktera si myslim, ze by asi o takovym riziku vedela - pak by ale napr. Ondra nezacinal mail ve smyslu "asi jsem hodne paranoidni, ale...", nybrz by psal "potreboval bych, abychom meli..."
Kdo se uz pri tomhle nezacne smat, kdyz vidi, jak nekteri tohle riziko berou vazne? Seriozne? :)))) Lezim na zemi.
Ale dobre, dejme tomu, ze je to nice-to-have feature - pak ale nahravame falesnymu pocitu, ze je clovek u nas opravdu 100% secure.
Jenze. Kdo vi, co je kontejnerova virtualizace, musi mu bejt jasny, ze 100% bezpecnost se s ni zarucit neda. Pro nase pouziti bych to nazval jako "secure-enough", tedy dostatecne bezpecne, abychom si nelezli navzajem do zeli a mohli povazovat svoje data jako ulozena v bezpeci. Nad timhle vsim jsem stravil dlouhe hodiny premejsleni, nez jsme vpsfree vubec realizovali - a bude to OpenVZ dostatecne bezpecne? Na co bychom si meli dat bacha, abychom zustali dostatecne secure? A vubec, co je v nasem kontextu "dostatecne secure"? Jaka data tam budou lidi mit a jak moc potrebujeme investovat do bezpecnosti?
Ze na tuhle fingerprint aferku vlastne mame reseni, mi doslo az v kontextu toho, co jsem si o tyhle srande psal s Mrkvou. Dojdete na schuzi a uvidite.
Jo a k transparentnosti, do ktere se chudak urazeny Jirka navazi. Mno, naivne jsem si myslel, ze to s nim vyresim off-the-list, ze ze sebe nebudeme navzajem na verejnosti delat idioty. Ale budiz, kdyz transparentnost, tak transparentnost :) A ze je to opakovane? Ano, je. Opakovane ze sebe a z toho druheho nechci delat idiota na verejnosti.
Tak si o mne, Jirko, klidne mysli, ze se chovam jako 15ti lety fracek. Mysli si, ze mam bezpecnost u zadnice.
No co, pobavili jsme se, cas se vratit k praci a delat neco uzitecnyho.
S uctenym pozdravem poklonu posila
Pavel Snajdr
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iF4EAREIAAYFAlC3ZscACgkQdh+64ds5DaaQTAD/blH/qMwo5a0RoxSPplGGIsT9 aUX1BBJnLXf2qMs0u14A/0OKjHKwIagPibKRqZbOMkLPgTM5bc5XUTHvXkdrJ5vH =hIlR -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ja jsem si myslel, ze za tim bude neco podobnyho.
Riziko to neni, napad to zlej taky neni, kdyby nam ta diskuze o tom nezacala, jak zacala, mozna bychom se dopracovali k tomu, ze by to nekdo implementoval :)
Ale implementovat to ani neni potreba.
Prijdes na schuzi?
Snajpa
On 11/29/2012 03:02 PM, Ondrej Kupka wrote:
Jasne no, ve finale je to docela usmevne, ale mozna bych mohl napsat, jak jsem vlastne k dotazu dosel.
Zacal jsem nedavno cist VPN Illustrated, protoze ted delam v praci VPNku. Samozrejme jsem se prokousal nejakym tim uvodem pres PPP, PPTP, L2PT and stuff, kde jsem zjistil, ze situace je vlastne dost hrozna. Prakticky nic neni bezpecne tak, jak technologie puvodne zamyslely a zarucovaly. A z velke casti je to lemplovstvim bud v implementaci nebo nastaveni. No a kdyz jsem byl plny takovychto temnych myslenek a znechuceni, tak jsem si vzpomnel na to, jak jsem JA SAM potvrdil ty fingerprints na vpsFree. A najednou jsem psal email do mailing listu :D
On Nov 29, 2012, at 2:44 PM, Pavel Snajdr wrote:
On 11/29/2012 02:11 PM, Tomas Volf wrote:
Z toho, že předseda vpsfree do mailové konference píše jako patnáctiletý fracek? Ano, to se mi nelíbí. Tady už chybí jenom narážka na "ur mum"
No, mozna bysme tu "debatu" (jestli se to tak fakt da nazvat) mohli trosku zklidnit ne? :)
Mas pravdu Tomasi.
Zbytecne si to beru moc osobne :) Na druhou stranu, to je u mne normalni. Ja se strasne nerad pretvaruju a mam za to, ze ani na mailing listech bych se nemel vydavat za nekoho, kdo nejsem - nerad pisu strojeny a oficialni odpovedi a vyjadreni k "problemu". Kdo mne trochu zna, vi, ze umim veci brat vazne, ale zaroven si z nich dost casto delam srandu. Proste to jsem ja a menit to nehodlam - komu se nelibi, nemusi se mnou komunikovat. Jenom si nekdy neuvedomuju, ze podstatny prvky komunikace, jako napr. vyraz ve tvari a intonace se v mailech ztraci - z nich je poznat, jak to kdy myslim.
Ze diskuze okolo bezpecnostni vyvolava emoce, to je koukam asi docela normalni jev.
Muj pohled na vec je takovej, ze aby riziko MITM utoku bylo realny, utocnik by musel:
- vedet, ze si clovek u nas udelal novy VPS 2. zachytit jeho IP
adresu 3. nekde na trase mezi nasim rackem a obeti premostit veskerou konektivitu mezi temi body
Proc si myslim, ze je cela tahle diskuze blbost a proc si z toho delam srandu?
Za prvy, situace, ze by pripadny utocnik mel dost vysokou motivaci se vubec necim takovym zabyvat, je uz sama o sobe ohromne pravdepodobna. Za druhy, vetsina trasy je vcelku secure z pohledu, ze utocnik by musel mit opravdu velkou motivaci, aby se do komunikace mohl dostat jeste v datacentru (v nasi siti je to docela challenge udelat, kvuli tomu, jak funguje OpenVZ a routing nad nim), nebo nekde na trase (pristup k tem uzlum nema kdekdo a kdo ho ma, riskoval by vetsinou docela krute smluvni pokuty a navic trestni stihani). Nejvetsi ohrozeni jsou tak ruzny nezabezpeceny wifi site - ale jestli se na VPS obet pripojuje odtamtud, tak to si myslim, ze moznost podvrzeni SSH klice je posledni, co je jeji problem. Za treti, kdo ma vubec duvod navazet se do komunikace VPS, na kterem jeste vubec nic neni? To by ta motivace utocnika musela bejt vylozene hodne vysoka vuci konkretni osobe obeti, ktera si myslim, ze by asi o takovym riziku vedela - pak by ale napr. Ondra nezacinal mail ve smyslu "asi jsem hodne paranoidni, ale...", nybrz by psal "potreboval bych, abychom meli..."
Kdo se uz pri tomhle nezacne smat, kdyz vidi, jak nekteri tohle riziko berou vazne? Seriozne? :)))) Lezim na zemi.
Ale dobre, dejme tomu, ze je to nice-to-have feature - pak ale nahravame falesnymu pocitu, ze je clovek u nas opravdu 100% secure.
Jenze. Kdo vi, co je kontejnerova virtualizace, musi mu bejt jasny, ze 100% bezpecnost se s ni zarucit neda. Pro nase pouziti bych to nazval jako "secure-enough", tedy dostatecne bezpecne, abychom si nelezli navzajem do zeli a mohli povazovat svoje data jako ulozena v bezpeci. Nad timhle vsim jsem stravil dlouhe hodiny premejsleni, nez jsme vpsfree vubec realizovali - a bude to OpenVZ dostatecne bezpecne? Na co bychom si meli dat bacha, abychom zustali dostatecne secure? A vubec, co je v nasem kontextu "dostatecne secure"? Jaka data tam budou lidi mit a jak moc potrebujeme investovat do bezpecnosti?
Ze na tuhle fingerprint aferku vlastne mame reseni, mi doslo az v kontextu toho, co jsem si o tyhle srande psal s Mrkvou. Dojdete na schuzi a uvidite.
Jo a k transparentnosti, do ktere se chudak urazeny Jirka navazi. Mno, naivne jsem si myslel, ze to s nim vyresim off-the-list, ze ze sebe nebudeme navzajem na verejnosti delat idioty. Ale budiz, kdyz transparentnost, tak transparentnost :) A ze je to opakovane? Ano, je. Opakovane ze sebe a z toho druheho nechci delat idiota na verejnosti.
Tak si o mne, Jirko, klidne mysli, ze se chovam jako 15ti lety fracek. Mysli si, ze mam bezpecnost u zadnice.
No co, pobavili jsme se, cas se vratit k praci a delat neco uzitecnyho.
S uctenym pozdravem poklonu posila
Pavel Snajdr
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ja jsem si myslel, ze za tim bude neco podobnyho.
Riziko to neni, napad to zlej taky neni, kdyby nam ta diskuze o tom nezacala, jak zacala, mozna bychom se dopracovali k tomu, ze by to nekdo implementoval :)
Ale implementovat to ani neni potreba.
Prijdes na schuzi?
Jojo, je to v planu, i kdyz je tenhle tejden docela pekelnej.
Ondra
Snajpa
On 11/29/2012 03:02 PM, Ondrej Kupka wrote:
Jasne no, ve finale je to docela usmevne, ale mozna bych mohl napsat, jak jsem vlastne k dotazu dosel.
Zacal jsem nedavno cist VPN Illustrated, protoze ted delam v praci VPNku. Samozrejme jsem se prokousal nejakym tim uvodem pres PPP, PPTP, L2PT and stuff, kde jsem zjistil, ze situace je vlastne dost hrozna. Prakticky nic neni bezpecne tak, jak technologie puvodne zamyslely a zarucovaly. A z velke casti je to lemplovstvim bud v implementaci nebo nastaveni. No a kdyz jsem byl plny takovychto temnych myslenek a znechuceni, tak jsem si vzpomnel na to, jak jsem JA SAM potvrdil ty fingerprints na vpsFree. A najednou jsem psal email do mailing listu :D
On Nov 29, 2012, at 2:44 PM, Pavel Snajdr wrote:
On 11/29/2012 02:11 PM, Tomas Volf wrote:
Z toho, že předseda vpsfree do mailové konference píše jako patnáctiletý fracek? Ano, to se mi nelíbí. Tady už chybí jenom narážka na "ur mum"
No, mozna bysme tu "debatu" (jestli se to tak fakt da nazvat) mohli trosku zklidnit ne? :)
Mas pravdu Tomasi.
Zbytecne si to beru moc osobne :) Na druhou stranu, to je u mne normalni. Ja se strasne nerad pretvaruju a mam za to, ze ani na mailing listech bych se nemel vydavat za nekoho, kdo nejsem - nerad pisu strojeny a oficialni odpovedi a vyjadreni k "problemu". Kdo mne trochu zna, vi, ze umim veci brat vazne, ale zaroven si z nich dost casto delam srandu. Proste to jsem ja a menit to nehodlam - komu se nelibi, nemusi se mnou komunikovat. Jenom si nekdy neuvedomuju, ze podstatny prvky komunikace, jako napr. vyraz ve tvari a intonace se v mailech ztraci - z nich je poznat, jak to kdy myslim.
Ze diskuze okolo bezpecnostni vyvolava emoce, to je koukam asi docela normalni jev.
Muj pohled na vec je takovej, ze aby riziko MITM utoku bylo realny, utocnik by musel:
- vedet, ze si clovek u nas udelal novy VPS 2. zachytit jeho IP
adresu 3. nekde na trase mezi nasim rackem a obeti premostit veskerou konektivitu mezi temi body
Proc si myslim, ze je cela tahle diskuze blbost a proc si z toho delam srandu?
Za prvy, situace, ze by pripadny utocnik mel dost vysokou motivaci se vubec necim takovym zabyvat, je uz sama o sobe ohromne pravdepodobna. Za druhy, vetsina trasy je vcelku secure z pohledu, ze utocnik by musel mit opravdu velkou motivaci, aby se do komunikace mohl dostat jeste v datacentru (v nasi siti je to docela challenge udelat, kvuli tomu, jak funguje OpenVZ a routing nad nim), nebo nekde na trase (pristup k tem uzlum nema kdekdo a kdo ho ma, riskoval by vetsinou docela krute smluvni pokuty a navic trestni stihani). Nejvetsi ohrozeni jsou tak ruzny nezabezpeceny wifi site - ale jestli se na VPS obet pripojuje odtamtud, tak to si myslim, ze moznost podvrzeni SSH klice je posledni, co je jeji problem. Za treti, kdo ma vubec duvod navazet se do komunikace VPS, na kterem jeste vubec nic neni? To by ta motivace utocnika musela bejt vylozene hodne vysoka vuci konkretni osobe obeti, ktera si myslim, ze by asi o takovym riziku vedela - pak by ale napr. Ondra nezacinal mail ve smyslu "asi jsem hodne paranoidni, ale...", nybrz by psal "potreboval bych, abychom meli..."
Kdo se uz pri tomhle nezacne smat, kdyz vidi, jak nekteri tohle riziko berou vazne? Seriozne? :)))) Lezim na zemi.
Ale dobre, dejme tomu, ze je to nice-to-have feature - pak ale nahravame falesnymu pocitu, ze je clovek u nas opravdu 100% secure.
Jenze. Kdo vi, co je kontejnerova virtualizace, musi mu bejt jasny, ze 100% bezpecnost se s ni zarucit neda. Pro nase pouziti bych to nazval jako "secure-enough", tedy dostatecne bezpecne, abychom si nelezli navzajem do zeli a mohli povazovat svoje data jako ulozena v bezpeci. Nad timhle vsim jsem stravil dlouhe hodiny premejsleni, nez jsme vpsfree vubec realizovali - a bude to OpenVZ dostatecne bezpecne? Na co bychom si meli dat bacha, abychom zustali dostatecne secure? A vubec, co je v nasem kontextu "dostatecne secure"? Jaka data tam budou lidi mit a jak moc potrebujeme investovat do bezpecnosti?
Ze na tuhle fingerprint aferku vlastne mame reseni, mi doslo az v kontextu toho, co jsem si o tyhle srande psal s Mrkvou. Dojdete na schuzi a uvidite.
Jo a k transparentnosti, do ktere se chudak urazeny Jirka navazi. Mno, naivne jsem si myslel, ze to s nim vyresim off-the-list, ze ze sebe nebudeme navzajem na verejnosti delat idioty. Ale budiz, kdyz transparentnost, tak transparentnost :) A ze je to opakovane? Ano, je. Opakovane ze sebe a z toho druheho nechci delat idiota na verejnosti.
Tak si o mne, Jirko, klidne mysli, ze se chovam jako 15ti lety fracek. Mysli si, ze mam bezpecnost u zadnice.
No co, pobavili jsme se, cas se vratit k praci a delat neco uzitecnyho.
S uctenym pozdravem poklonu posila
Pavel Snajdr
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iF4EAREIAAYFAlC3a6MACgkQdh+64ds5DabvLAD/Qn5BYkoyP9JpqnVZ6DnA550K jdWU4WQJ6mt9MBfJab8BAJIuD0BrpdcGtG1S6nwoExHKGBU2QDathS9V6tWAQ9/B =mgCq -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Muj pohled na vec je takovej, ze aby riziko MITM utoku bylo realny, utocnik by musel:
- vedet, ze si clovek u nas udelal novy VPS
- zachytit jeho IP adresu
- nekde na trase mezi nasim rackem a obeti premostit veskerou
konektivitu mezi temi body
Ve skutečnosti stačí pouze bod 3.
IP adresu z bodu 2 si útočník zjistí tím, že se na ten server pokusíš připojit. Bod 1 vůbec není relevantní - nejde tu o to, že by nějaký útočník šel cíleně po uživatelích vpsfree, ale že se mu povedlo nasadit trošku šikovnější udělátko, které zachytává (např.) jakékoliv spojení na port 22 a hesla pak posílá nějakému botnetu.
Za treti, kdo ma vubec duvod navazet se do komunikace VPS, na kterem jeste vubec nic neni?
Třeba protože je to VPS, na kterou máš najednou roota, můžeš z toho spamovat, DoSovat, prostě si to připojit do botnetu.
Jo a k transparentnosti, do ktere se chudak urazeny Jirka navazi.
Bez urážek, argumentů ad hominem a nasazování psích hlav by to asi nešlo...?
A ze je to opakovane? Ano, je. Opakovane ze sebe a z toho druheho nechci delat idiota na verejnosti.
Opakovaně se snažíš zametat záležitosti, o kterých se diskutuje, pod koberec.
1)Nemyslim si, že se Pavel snaží někoho urážet. To, že píše přesně to co si myslí je mnohem lepší, než nějaké "oficiální" zprávy..
2) Furt se jedná časově o tu chvíli když se vytvoří VPS a než se tam poprvé přihlásí nový člen, pak už si může vygenerovat klíče,zakázat přihlašování loginem a hotovo. A když k tomu připojím pouze ten třetí bod, který je výše zmíněný tak si myslim, že to opravdu nemá smysl nějak hrotit.
3)Pokud to někdo považuje za vážnější problém, ať implementuje sám patch do VPSadmina. Evidentně jsou přednější věci, které se musí dodělat a to bych se především respektovat.
---------- Původní zpráva ----------
Od: Jirka Bourek trekker.dk@abclinuxu.cz
Datum: 29. 11. 2012
Předmět: Re: [vpsFree.cz: community-list] SSH - key fingerprints
">
Muj pohled na vec je takovej, ze aby riziko MITM utoku bylo realny,
utocnik by musel:
- vedet, ze si clovek u nas udelal novy VPS
- zachytit jeho IP adresu
- nekde na trase mezi nasim rackem a obeti premostit veskerou
konektivitu mezi temi body
Ve skutečnosti stačí pouze bod 3.
IP adresu z bodu 2 si útočník zjistí tím, že se na ten server pokusíš
připojit. Bod 1 vůbec není relevantní - nejde tu o to, že by nějaký
útočník šel cíleně po uživatelích vpsfree, ale že se mu povedlo nasadit
trošku šikovnější udělátko, které zachytává (např.) jakékoliv spojení na
port 22 a hesla pak posílá nějakému botnetu.
Za treti, kdo ma vubec duvod navazet se do komunikace VPS, na kterem
jeste vubec nic neni?
Třeba protože je to VPS, na kterou máš najednou roota, můžeš z toho
spamovat, DoSovat, prostě si to připojit do botnetu.
Jo a k transparentnosti, do ktere se chudak urazeny Jirka navazi.
Bez urážek, argumentů ad hominem a nasazování psích hlav by to asi nešlo...?
A ze je to opakovane? Ano, je. Opakovane ze sebe a z toho druheho
nechci delat idiota na verejnosti.
Opakovaně se snažíš zametat záležitosti, o kterých se diskutuje, pod
koberec.
_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list (http://lists.vpsfree.cz/listinfo/community-list)"
community-list@lists.vpsfree.cz
-
Jirka Bourek -
Michal Dobsovic -
Ondrej Kupka -
Ondrej Mikle -
Pavel Muller -
Pavel Snajdr -
Peter Bubeliny -
Radek Pilar -
Tomas Volf