Login

[Michal Varga]

> Spat k threadu:
> > Utok formou zkouseni hesla pres SSH mozna vypada pekne...
> Neuverite, ale v mojich Linux zaciatkoch ma dvakrat hackli cez SSH... Aj ked
> tam podozrievam mladenca, ktory mi to instaloval a konfiguroval, ale to je o
> inom. To som o Unix-like OSs vedel akurat, ako sa spustia, chpasswd, halt a
> pod. Tak som sa ucil a ucil a ucil :-)
> 
Neuveris, a prosim neber to jako provokaci, ale tady jsem nekolikrat
zalapal po dechu. Hlubsi reakce nejsem schopny jeste ani ted..


> > sel na SSH, tak nejspis pres nezverejneny buffer overflow
> Tu sa pristavim - zatial kazdy utok, co som videl, spocival vo vytvoreni
> backdoors. T.j. adduser (zrejme v inej podobe, aby nesyslogoval), neskorsie
> prihlasenie ako tento user a instalacie nejakych programov. A tu sa uz ta
> SMS-ka objavi, nie ? Takze aj ked nie ihned, aspon neskor.
> 
"Vytvoreni backdoors" neni utok, nybrz "prace administratora". Pokud ma
nekdo moznost tvorit na tvem serveru backdoory, nepotrebuje te hackovat,
protoze v tom case mu dany box uz hodne davno patri.

Dalsi vec je, ze "backdoor" bude v tomto pripade na 98% custom binarka,
kde ti zadna univerzalni ochrana nepomuze a login script uz vubec ne.
Existujou ale dve veci, ktere se v takovem pripade daji delat:

a/ Nesverovat instalaci servru (pripadne jakehokoliv systemu vubec)
lidem, o kterych si nasledne myslim, ze me mohli "hacknout". Nad timhle
se jaksi pozastavuje rozum. Pokud neni jina moznost, existuji lide s
kvalitni reputaci, kteri tohle delaji komercne a jistym zpusobem je na
ne tedy spoleh.

b/ Nesverovat instalaci vubec nikomu. Vyhody takoveho reseni snad neni
nutno popisovat, ale timhle uz debata stejne zachazi k extremnimu
offtopicu.

> Preto som vyvolal tento thread, ako to urobit UNIVERZALNE. Proste som sa
> snazil neobjavovat to koleso znovu, ak to uz niekto z vas ma daaavno
> vyriesene. Asi nema, a asi to ani nikoho netrapi.
> 
Pokud by byla serverova bezpecnost zalezitosti peti minut a jednoho
login scriptu, desetitisice administratoru na svete by se stali
zbytecnymi a spolecnosti je mohou s klidnym svedomim propustit. Jelikoz
se tak nedeje (a nikdy nestane), neco nam automaticky napovida, ze to s
tou bezpecnosti asi tak lehke nebude. A uz vubec ne UNIVERZALNE.
"Instantni zabezpeceni v prasku" se jednoduse zatim neprodava.

> Skoda, ze to skonci na tom, ze "nemam cas studovat". Ozaj nemam, aj napriek
> tomu musim nejako chranit moju firemnu LAN-ku. Aj preto som dal zbohom
> Linuxu (kedze, ako som videl, prelomit ho bolo dielom 3 minut) a presiel k
> FreeBSD.
> 
Problem je ze vec, o ktere mluvis neni ani trochu FreeBSD specificka a
plati jak pro Linux, tak pro Windows, AtariTOS nebo operacni system
tveho digitalniho fotoaparatu. Bez zakladnich znalosti bezpecnostnich
postupu neexistuje zpusob, jak firemnou LAN-ku ochranit a samotne
pouziti FreeBSD na tom nezmeni vubec. Co je taky duvod, proc jsi videl
prolomit Linux do tri minut a stejnou vec uvidis i s FreeBSD. Pokud
"nemas cas studovat", navrhni firme zaplaceni profesionalniho admina.
Pokud na to "nejsou penize", bylo by vhodnym krokem zvazit vysazeni
pocitacu a prejit na psaci stroje. Moznym resenim "mezi" je projit s
nekym zkusenym stavajici infrastrukturu firemni site a najit zpusob, jak
nahradit mizerne nainstalovane FreeBSD servery necim, co nevyzaduje
udrzbu. Pokud neni cas ani na to, doporucuju hodne casto zalohovat.

> > Evidentne si sa este asi nikdy nepokusil ziadnu dokumentaciu napisat
> Pokusil, a robim tak s kazdym multimedialnym projetom, ktory dokoncujem.
> A teraz sa este snazim dopisat po nociach Anti-SPAM How-To. Prosim,
> nepomohol by mi niekto odtialto s korekturami, ked to bude v takom stadiu ?
> Cca 10 dni oddnes.
> 
Anti-SPAM howto existuje vic nez nekolik, viz zde:
http://www.google.com/search?q=spamassassin%20howto

Pokud ale pujde o solidni dokument s navaznosti na FreeBSD, rad pomuzu
treba ja.

> No, tak sa majte pekne.
> 
> Peter Rosa
-- 
Michal Varga <varga at stonehenge.sk>
Stonehenge