- 1
- 2
- 3
Вы уронили продуктовое приложение и SSH-доступ изнутри виртуалки к нему,
все сессии потеряны. Доступ к виртуалке надо просить через заказчика, и это косяк.
Ваши действия?
Нашли или выдавили из себя код, который нельзя назвать нормальным, на который без улыбки не взглянешь? Не торопитесь его удалять или рефакторить, — запостите его на говнокод.ру, посмеёмся вместе!
+1
Вы уронили продуктовое приложение и SSH-доступ изнутри виртуалки к нему,
все сессии потеряны. Доступ к виртуалке надо просить через заказчика, и это косяк.
Ваши действия?
guest8 23.07.2020 18:29 # −999
guest8 23.07.2020 18:39 # −999
gost 23.07.2020 18:44 # 0
This.
А когда работаешь с «Iptables» на удалённой виртуалке — советую использовать вот такой шаблон:
Выполняешь скрипт, после «OK» нажимаешь «Ctrl+C». Если проебался и отрубил SSH — через пять секунд скрипт всё откатит к чистому листу. Не спасает от отрубания всех входящих соединений, но это уже экзотика.
Костыль, конечно, но если уж накатывать на прод нетестированные правила…
guest8 23.07.2020 18:48 # −999
gost 23.07.2020 18:59 # 0
В принципе да, так будет правильнее, но для немедленного отваливания сессии нужно ухитриться отправить TCP-reset от имени клиента, а это нетривиально. В большинстве случаев SSH-трафик просто будет DROPнут, и за пять секунд сессия отвалиться не успеет.
guest8 23.07.2020 19:02 # −999
gost 23.07.2020 19:07 # 0
guest8 23.07.2020 19:34 # −999
gost 23.07.2020 19:09 # 0
Поэтому скрипт перед очисткой и спит всего несколько секунд. Когда сессия отвалится по таймауту — правила уже давно будут очищены.
guest8 23.07.2020 19:39 # −999
Desktop 23.07.2020 19:49 # 0
guest8 23.07.2020 19:51 # −999
Desktop 23.07.2020 19:53 # 0
Но мне кажется странным, что правила фаервола лежат там же, где боевое приложение. А как же балансировщики, роутинг и прочие непонятные мне слова?
guest8 23.07.2020 19:56 # −999
Desktop 23.07.2020 19:57 # 0
и очень сложный заказчик
так и живём
guest8 23.07.2020 19:59 # −999
Desktop 23.07.2020 20:02 # 0
MAKAKA 23.07.2020 20:04 # 0
В общем дали ему возможность зайти по ssh на сервер.
Но правду знает только Вистефан
Desktop 23.07.2020 20:05 # 0
guest8 23.07.2020 20:10 # −999
Desktop 23.07.2020 20:12 # 0
А из панели в таком случае доступ останется? Как морда подключается к серваку?
guest8 23.07.2020 20:19 # −999
gost 24.07.2020 07:47 # 0
Распространённая ошибка, кстати. Боевой сервер за балансировщиками и проксями, у которого не настроен фаерволл — это как полный комплект брони с дыркой на заднице. Рано или поздно он утечёт (или перебором, или более экзотическими методами) — и всё, дальше всё зависит от степени безалаберности админа.
Именно поэтому я за
.
bormand 24.07.2020 08:31 # +1
А дальше монга без пароля, угу. Она же за балансировщиком и фаерволом.
gost 24.07.2020 08:34 # 0
guest8 24.07.2020 10:30 # −999
gost 24.07.2020 10:38 # 0
Ну так это фактически и есть фаерволл, запрещающий прямой доступ к серверу. Кто сказал, что «фаерволл» должен быть в виде кучки правил «iptables»?
guest8 24.07.2020 10:44 # −999
gost 24.07.2020 10:54 # 0
>>> Кто сказал, что «фаерволл» должен быть в виде кучки правил «iptables»?
guest8 24.07.2020 11:01 # −999
gost 24.07.2020 11:13 # 0
Или вот реальный пример статейки на «Хабре», написанной вчера: https://habr.com/post/512152/, там в разделе «Прямое подключение» просто-таки хрестоматийный пример такого рода ошибки.
guest8 24.07.2020 11:25 # −999
bormand 24.07.2020 14:38 # 0
guest8 24.07.2020 14:39 # −999
bormand 24.07.2020 14:48 # 0
guest8 24.07.2020 14:51 # −999
gost 24.07.2020 15:30 # 0
Ситуация, когда всю сеть компании ломает чувак, взломавший рабочий ЭВМ уборщицы тёти Маши, довольно распространены.
Desktop 24.07.2020 15:34 # 0
Какой энтерпрайз )))
bormand 24.07.2020 15:50 # 0
В идеальном мире, конечно, всё правильно настроено и код без багов пишется. Но в реальном мире лучше перестраховаться и сделать защиту на всех уровнях, где это получается. Авось хакерам надоест и они пойдут искать что-то более лёгкое.
guest8 24.07.2020 15:54 # −999
Desktop 24.07.2020 15:55 # 0
У меня нет опыта в этом, потому спорить не буду.
Хотя выглядит немного, как оверкилл, который всё равно в итоге не поможет.
bormand 24.07.2020 16:01 # 0
Дык ты по определению в проигрышном положении по отношению к хакеру. Всегда. Ему надо найти одну дыру в твоём коде или конфиге. Тебе надо закрыть все.
Поэтому все способы, которые уменьшают поверхность атаки хороши: поставить пароль на монгу, врубить фаер хотя бы на минималках, чтобы лишние сервисы случайно не засветились, настроить VPC как guest выше пишет.
Налажать можно на любом из этих этапов. Но есть шанс, что остальные тебя подстрахуют.
guest8 24.07.2020 15:37 # −999
bormand 24.07.2020 15:51 # 0
Зато там вполне может оказаться дырявое легаси на PHP.
guest8 24.07.2020 15:53 # −999
bormand 24.07.2020 15:54 # 0
guest8 24.07.2020 15:55 # −999
bormand 24.07.2020 18:01 # +2
Ну вот кстати не доверяю я таким решениям. В амазоне конечно далеко не макаки работают, но есть риск что после какого-нибудь неудачного апдейта инфраструктуры все тачки внезапно начнут видеть друг друга.
Поэтому прикрыть жопу фаервольчиком не помешает. Хотя бы минимальным, который экспозит только те порты, которые нужны для работы данного контейнера (да, я понимаю, что в контейнерах обычно ничего лишнего нет, но shit happens).
На бога надейся, а сам не плошай.
gost 24.07.2020 18:03 # +2
bormand 24.07.2020 18:06 # +2
И опытная крестоблядь заодно. Замечательное сочетание для развития паранойи.
gost 24.07.2020 18:18 # +2
bormand 24.07.2020 18:22 # +1
gost 24.07.2020 18:24 # 0
bormand 24.07.2020 18:29 # +1
guest8 24.07.2020 18:56 # −999
guest8 24.07.2020 19:02 # −999
bormand 24.07.2020 19:33 # 0
guest8 24.07.2020 19:34 # −999
bormand 24.07.2020 19:37 # +1
Десктопные тачки не должны ничего хостить. Иначе это колхоз какой-то.
guest8 24.07.2020 19:41 # −999
bormand 24.07.2020 19:44 # +1
> ну как я музыку-то коллеге передам?
Во вконтакте скинешь ссылку лол, один хер все там слушают. Или я уже отстал от жизни и сейчас это делают как-то по-другому?
TEH3OPHblu_nemyx 24.07.2020 19:45 # +2
bormand 24.07.2020 19:45 # 0
guest8 24.07.2020 19:45 # −999
bormand 24.07.2020 19:52 # +1
Только исходящие коннекты, только хардкор. Цепляться к шаре на серваке это, емнип, не мешает.
guest8 24.07.2020 19:54 # −999
gost 24.07.2020 19:46 # +2
Вопрос на миллион: нахуя на работе, за рабочим компом передавать кому-то музыку? На работе работать надо, ёба!
UPD: Ладно, ладно, я понимаю, зачем это надо работнику. А почему это должно волновать администратора?
guest8 24.07.2020 19:49 # −999
gost 24.07.2020 19:52 # 0
guest8 24.07.2020 19:55 # −999
bormand 24.07.2020 19:57 # 0
guest8 24.07.2020 20:01 # −999
bormand 24.07.2020 20:08 # 0
guest8 24.07.2020 20:09 # −999
bormand 24.07.2020 20:10 # 0
guest8 24.07.2020 20:00 # −999
bormand 24.07.2020 20:01 # 0
Какое юзабилити ))))
Вот до чего доводит не залупание на сотрудников.
bormand 24.07.2020 20:02 # 0
guest8 24.07.2020 20:04 # −999
guest8 24.07.2020 19:53 # −999
gost 24.07.2020 20:01 # 0
Ну а почему бы тогда не поставить «Стим» на все компы, чтобы совсем заебись стало?
> Ясен хуй, что в идеальном мире их надо в документооборот пихать, но это так не работает.
По-умолчанию всё должно быть максимально закрыто и заблочено. Разумеется, если у конкретной конторы есть реальная рабочая необходимость в открытом SMB-сервере на всех машинах, то ничего не поделаешь. Но это, повторюсь, должна быть, во-первых, необходимость, а во-вторых — рабочая.
Ну и да, «SMB» — это настолько дырявое говно, что его просто страшно запускать. В нём чуть ли не каждый год очередную 10/10 CVE находят.
guest8 24.07.2020 20:03 # −999
gost 24.07.2020 20:09 # +1
Пф-ф-ф.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
> An attacker who successfully exploited the vulnerability could gain the ability to execute code on the target server or client.
> To exploit the vulnerability against a server, an unauthenticated attacker could send a specially crafted packet to a targeted SMBv3 server. To exploit the vulnerability against a client, an unauthenticated attacker would need to configure a malicious SMBv3 server and convince a user to connect to it.
> Published: 03/12/2020
Сколько решето не нумеруй — оно так решетом и останется.
guest8 24.07.2020 20:13 # −999
gost 24.07.2020 20:17 # 0
Ну да, и на то, что кто-то не запустит удачную картинку.jpeg.exe. «EternalBlue» (привет, SMB), «WannaCry» (> Параллельно с шифрованием программа проводит сканирование произвольных адресов Интернета и локальной сети для последующего заражения новых компьютеров), «Petya» (> вредоносное ПО по-прежнему будет использовать «точку опоры» на заражённом ПК, с целью распространиться в другие компьютерные системы через локальную сеть), тысячи их.
guest8 24.07.2020 20:20 # −999
gost 24.07.2020 20:29 # 0
Ну да, есть такое. В случае с Бормандовской методой зашифрованы окажутся комп лоха нерадивого сотрудника и шара, а в случае с открытым везде «SMB» лежать будет вся маршрутка локалка, включая комп Большого Босса :-).
> Вы только что объяснили мне, что половина MS технологий нахуй не нужна, например)
Она была бы нужна, если бы «MS» выкинула нахуй весь код «SMB» и написала его с нуля, по современным и безопасным мето́дам (на пuтухе).
Ну потому что неавторизованное RCE одним пакетом в 2020-м году, в современном приложении — это ж пиздец хтонический.
guest8 24.07.2020 20:35 # −999
gost 24.07.2020 20:41 # 0
> С ноля MS переписивать не будет: проще сделать вебговно в облаке с доступом по https. По https, вроде как, Петя не ходит.
Ну тоже вореант, кстати. Всяческих облакоподобных решений сейчас как грязи развелось. Правда, насколько они enterprise-ready — хуй знает.
> На тайпскрипте, следуя модным тенденциям.
Подтверждаю. Какой багор )))
> А как дела у юниксов с NFS?
Совсем не в теме, извини.
guest8 24.07.2020 20:46 # −999
bormand 24.07.2020 20:57 # 0
Насколько помню, там виндовый клиент тупо весь файл выкачивает себе в кеш и потом ты с ним работаешь.
А вообще - они же вандрайв сейчас продвигают. Видимо хотят шары закопать и тупо хранить все данные у себя.
guest8 24.07.2020 21:01 # −999
bormand 24.07.2020 21:03 # 0
Может быть и можно нормальную реализацию запилить, но они теперь в вандрайв вложились. Смысла уже никакого вебдав допиливать.
guest8 24.07.2020 21:05 # −999
bormand 24.07.2020 20:46 # 0
guest8 24.07.2020 20:47 # −999
gost 24.07.2020 20:48 # 0
Музыку передавать.
guest8 24.07.2020 20:48 # −999
bormand 24.07.2020 20:49 # 0
> зачем вообще шары
А х.з. Ну одну на серваке то удобно держать. И права настроить можно и интеграция с доменом хорошая.
А зачем они на клиентских тачках - хер бы знал, для домашней локалки где нет хорошего роутера или наса, наверное.
guest8 24.07.2020 20:51 # −999
bormand 24.07.2020 20:52 # +1
Ответ от мс, как в далёкие годы: всё ок, просто не скачивайте petya.exe
guest8 24.07.2020 20:56 # −999
bormand 24.07.2020 20:58 # 0
guest8 24.07.2020 20:59 # −999
bormand 24.07.2020 21:00 # 0
Какая архитектура )))
guest8 24.07.2020 21:03 # −999
guest8 24.07.2020 21:04 # −999
bormand 24.07.2020 21:05 # 0
А эту хрень я так и не научился настраивать. Оно или гигабайты тянет и тупит на входе или нихуя не тянет и пользы вообще никакой.
guest8 24.07.2020 21:08 # −999
gost 24.07.2020 21:01 # 0
Я за «SRP» и «AppLocker». Запретить и не пущщать!
…Правда, для грамотной настройки этого ебаться придётся столько, что легче будет пойти и утопиться. Там целая IT-рота админов нужна будет.
bormand 24.07.2020 21:01 # 0
gost 24.07.2020 21:08 # 0
guest8 24.07.2020 21:11 # −999
gost 24.07.2020 21:12 # 0
Подтверждаю.
> **умные проги правда умеют в домашнюю папку LOCALAPPDATA уже
А некоторое слишком умное говно туда ставится, лол.
guest8 24.07.2020 21:14 # −999
gost 24.07.2020 21:17 # 0
>>> полноценно настроенный «SRP» — это когда запуск экзешников/скриптов и загрузка DLL разрешена только из анально огороженных read-only (для текущего юзера) папок
guest8 24.07.2020 21:21 # −999
gost 24.07.2020 21:22 # +1
guest8 24.07.2020 21:25 # −999
gost 24.07.2020 21:28 # 0
И в таскбар насрать.
И пункт «Не отметьте галочку, если вы не согласны с неустановкой инновационного антивируса McAffee (1 мес. беслпатно!)».
guest8 24.07.2020 21:30 # −999
gost 24.07.2020 21:31 # 0
>>>
guest8 24.07.2020 21:44 # −999
Desktop 24.07.2020 21:01 # 0
В виндовых политиках можно так анально огородить пользователя, что он сможет поставить себе ровно те три приложения, которые ему разрешит админ Валера.
Только спрашивается, а нахуя тогда целая винда?
guest8 24.07.2020 21:09 # −999
Desktop 24.07.2020 21:15 # 0
Выдали нам всё равно по виндовому ноуту, потому что только с винды можно было без ебли подключаться к почте, SfB и прочей хуете. Но больше я этот ноут ни для чего не юзал в принципе. То есть у меня была полноценная машина чисто почту проверить, ёпт.
Ещё там был очень ограниченный список софта, который можно было поставить. Но зато девелоперам разрешалось иметь папку типа C:\Work, в которой можно было невозбранно запускать любые бинари.
Хромимум в любом случае вряд ли бы взлетел, но планшета с какой-нибудь WinRT хватило бы за глаза. Впрочем, хороший виндовый планшет стоит примерно столько же, наверное, сколько и ноут.
bormand 24.07.2020 21:17 # 0
Desktop 24.07.2020 21:17 # 0
bormand 24.07.2020 21:19 # 0
Desktop 24.07.2020 21:20 # 0
Ну да, планшет конечно
guest8 24.07.2020 21:20 # −999
Desktop 24.07.2020 21:22 # 0
Только там сессия жила где-то час, а потом надо было заново переподключаться с бубном.
guest8 24.07.2020 21:23 # −999
Desktop 24.07.2020 21:26 # 0
gost 24.07.2020 21:22 # +1
Подтверждаю. На каждую скомпилированную версию бинаря писать заявление на включение исполняемого файла в белый список, SHA-256, дата, подпись.
guest8 24.07.2020 21:24 # −999
Desktop 24.07.2020 20:54 # 0
gost 24.07.2020 11:23 # 0
guest8 24.07.2020 11:26 # −999
gost 24.07.2020 11:31 # 0
guest8 24.07.2020 11:38 # −999
gost 24.07.2020 11:43 # 0
> Разрешено должно быть только то, что необходимо. Все остальное -- запрещено.
Подтверждаю.
guest8 24.07.2020 11:45 # −999
gost 24.07.2020 11:47 # 0
bormand 24.07.2020 14:58 # 0
IPsec?
guest8 24.07.2020 15:00 # −999
bormand 24.07.2020 15:09 # 0
В openvpn с его отдельным туннелем как-то спокойней было.
guest8 24.07.2020 15:14 # −999
bormand 23.07.2020 20:43 # +1
Ну да. И это даёт замечательный опыт, мне одного такого факапа хватило. С виртуалками скучно, можно тупо зайти в консоль на сайте хостера да пофиксить.
guest8 23.07.2020 20:54 # −999
Desktop 23.07.2020 21:07 # 0
bormand 23.07.2020 21:41 # 0
З.Ы. Признайся, тебе ведь тоже было лень делать и тестить бекапы пока ты первый раз всё не проебал.
Desktop 23.07.2020 21:46 # 0
guest8 23.07.2020 21:59 # −999
TEH3OPHblu_nemyx 23.07.2020 22:08 # 0
Сходу:
1. Не надо делать бекапы, потому что если ты делаешь бекапы, то ты админ, а не программист.
2. Не надо знать ма-те-ма-ти-ку, потому что иначе ты ма-те-ма-тик, а не программист.
Desktop 23.07.2020 22:13 # 0
https://www.youtube.com/watch?v=t7aJT4gRz0E
guest8 23.07.2020 22:52 # −999
guest8 23.07.2020 22:19 # −999
TEH3OPHblu_nemyx 24.07.2020 18:49 # 0
guest8 24.07.2020 19:12 # −999
j123123 24.07.2020 22:00 # 0
Можно просто по крону запускать раз в 5 минут некую поебень, которая пингует хуйню, если хуйня не пингуется то тогда вся хуйня с иптаблес сбрасывается.
MAKAKA 24.07.2020 22:01 # 0
хотя если дефалт разумный, то ок
bormand 24.07.2020 22:07 # 0
DROP
guest8 24.07.2020 22:09 # −999
bormand 24.07.2020 22:13 # 0
copy ru st
guest8 24.07.2020 22:16 # −999
Desktop 24.07.2020 22:24 # 0
guest8 24.07.2020 22:25 # −999
guest8 24.07.2020 22:26 # −999
gost 24.07.2020 22:13 # 0
Ну, если уж совсем как надо, то надо сначала отладить правила на тестовом сервере (причём не локальном), а потом уже коммитить их на прод.
guest8 24.07.2020 22:17 # −999
gost 24.07.2020 22:19 # 0
gost 24.07.2020 22:12 # +1
guest8 24.07.2020 22:18 # −999
gost 24.07.2020 22:21 # 0
Очень удивился, когда увидел такой вопрос на ГК.
guest8 24.07.2020 22:24 # −999
gostinho 24.07.2020 22:28 # 0
На всякий случай в «инкогнито» загуглил.
guest8 24.07.2020 22:28 # −999
guest8 25.07.2020 01:57 # −999
guest8 24.07.2020 22:49 # −999
bormand 24.07.2020 23:39 # 0
guest8 24.07.2020 23:44 # −999
defecatinho 24.07.2020 23:59 # 0
guest8 25.07.2020 00:00 # −999
Desktop 25.07.2020 00:01 # 0
defecatinho 25.07.2020 00:03 # 0
gost 25.07.2020 00:13 # 0
TEH3OPHblu_nemyx 25.07.2020 01:04 # 0
Desktop 25.07.2020 01:49 # 0
guest8 25.07.2020 01:53 # −999
Desktop 25.07.2020 01:56 # 0
guest8 25.07.2020 01:57 # −999
Desktop 25.07.2020 01:57 # 0
guest8 26.07.2020 03:40 # −999
bormand 26.07.2020 09:18 # 0
Hard Fault. По крайней мере на cortex'ах.
A hard fault is an exception that occurs because of an error during exception processing.
Desktop 26.07.2020 17:17 # 0
TEH3OPHblu_nemyx 26.07.2020 17:36 # 0
MAKAKA 26.07.2020 17:45 # 0
https://i.ytimg.com/vi/DUVd3jLim0A/maxresdefault.jpg
Вообще Макака популярная фамилия в Кении
Или нет?
TEH3OPHblu_nemyx 26.07.2020 17:54 # 0
Musoni married comedian and film director Anopa Makaka, and lives in London with their two children.
Magovo and his associate Mapouto were in charge of foreign affairs, Makaka was the minister of war and commander of the army, Mfouka was the minister of commerce, and Makimba was the "grand master of waters and forests" as well as a number of others.
Watford's academy in 2015–16 consists of 17 scholars: In the second year: Jacob Cook, Andrew Eleftheriou, Michael Folivi, Nathan Gartside, Max Makaka, Brandon Mason, Ogo Obi, Charlie Rowan and Connor Stevens.
MAKAKA 26.07.2020 17:56 # +1
Approximately 8,737 people bear this surname
MOST PREVALENT IN:
Malawi
HIGHEST DENSITY IN:
Botswana
The meaning of this surname is not listed.
(((
TEH3OPHblu_nemyx 26.07.2020 17:59 # 0
Реальный пример: в суахили «mtu» означает взрослого человека, а «mtoto» — ребёнка.
guest8 26.07.2020 18:05 # −999
TEH3OPHblu_nemyx 26.07.2020 18:08 # 0
Кстати, крикетчик Бонга Макака — вообще круто звучит.
https://youtu.be/QnDg55h2-uc