Obsah fóra » Ostatné » O hocičom » Počítače a veci súvisiace

Počítače a veci súvisiace

Založený: 12.05.2007
Príspevky: 2 642
Bike: Specialized Tarmac Comp

Tu nejde o strašenie, ale o reálne bezpečnostné riziko. Že nebolo nikdy hacknuté neznamená že tie diery neboli dostupné. O nič viac a nič menej asi nešlo v tejto debate.

07.02.2024 - 10:15:32

foobar

Založený: 20.02.2019
Príspevky: 2 762

flegko napísal:

Takze s cim nesuhlaism? S tvojim automatickym rebootom, s tvojimi 800 dierami v kerneli, ktore treba okazmite riesit a celkovo s tvojim konceptom strasenia.

Tych 800 dier je fakt, ze s nim nesuhlasis je tvoj problem. Automaticky reboot po kritickej aktualizacii je v domacich podmienkach uplne normalna vec. Na to bol unattended-upgrades vytvoreny a funguje stabilne uz roky.

Nie je to ziadne strasenie. Skor tvoj nazor, ze bezpecnostne diery netreba platat, je uplne pomyleny. Uviedol som aj priklad.
Malver si sam automaticky skenuje hosty, hlada derave sluzby, ziskava opravnenie a siri sa dalej - na to netreba ziaden cieleny utok. 5 rokov neaktualizovany system je na 100% zneuzitelny. Ak jedine, co tento system chrani je nejaky domaci firewall/router, staci jedina VPNka a tato ochrana je prekonana. Napr. to spominane Hamachi vie automaticky routovat medzi vzdialenou VPN sietou a lokalnou sietou, takze staci nejaky infikovany stroj na druhej strane a moze sa veselo sirit na 5 rokov neaktualizovany lokalny server akoze "chraneny" firewallom.

Ked koncept IT bezpecnosti povazujes za strasenie, mal by si zmenit profesiu.

07.02.2024 - 10:22:36

lear1

Založený: 02.01.2022
Príspevky: 164
Bike: Kellys SOOT 50

tvl dať svoju infra do správy takému adminovi ako si ty flegko, tak to dovidenia... to vôbec nie je žiaden argument, že tvoje servre neboli hacknuté, tak netreba patchovať.

07.02.2024 - 10:50:24

bedo

Mesto: Košice
Založený: 17.08.2010
Príspevky: 4 674
Bicykle: rizek | šípik

Očúvajte, netreba to nejako hrotiť, flegko popísal svoje skúsenosti a v takýchto prípadoch (riziko nefunkčnosti) by som postupoval podobne. To neznamená, že chyby netreba plátať, len treba zhodnotiť, či je prínos zodpovedajúci rizikám. Inak povedané nefunkčný zaplátaný systém je na dve veci, špeciálne ak sa chyby týkali komponentov, ktoré sa na danom serveri vôbec nevyskytovali. Príklad viď vyššie, ksmbd je síce vážna chyba, ale keďže ho na serveri nemám, vôbec ma netrápi...

Zoznam chýb v linuxovom jadre zotriedený podľa rizika zneužitia:
Linux » Linux Kernel : Security Vulnerabilities, CVEs, (Code Execution)

Služby a bežné komponenty neriešim, tie sa dajú aktualizovať bez reštartu servera (teda nie je pravda, že 5 rokov v kuse bežiaci server nie je aktualizovaný - môže aj nemusí byť, tvrdiť to a priori je nezmysel), ale u jadra je to trošku zložitejšie. Ale aj tak, tri štvrtiny toho zoznamu sú kadejaké chyby v ovládačoch (poučenie: netreba mať na serveri zbytočné ovládače, grafiku atď.) a rozumné je aj obmedziť prístup. Myslím tým aj interne, každý server hodný tohoto názvu má možnosť filtrovať, čo do neho (aj od neho) prúdi po sieti.

BTW Google hľadanie výrazu "linux kernel regression" vrátilo "približne 2 150 000 výsledkov (0,34 sekundy)". Ta tak.

07.02.2024 - 13:57:39

flegko

Založený: 20.12.2021
Príspevky: 899
Bicykle: CTM Pulze Expert(2021) | Cube Reaction Pro(2021) | Author A3306

Bedo to v podstate vystihol, mam podobnu filozofiu, ze suma bezpecnostnych opatreni sa ma rovnat dolezitosti dat na servri a vacsinou staci obycajna zaloha (uz to je problem si niekedy presadit). Ja sa nerad hram na NSA u zakaznika, kde to podla mna netreba. Toto prehananie s bezpecnostou mi pripada ako keby som tvrdi, ze sietove zariadenie moze byt len Cisco a ziadne ine, pretoze je najlepsie a najbepecnejsie na svete. A veru som sa uz stretol v praxi, ze nic ine ako Cisco na sieti nemohlo byt.
Ja len doplnim, ze asi nepracujete ako spravci a uz vobec neriesite veci na dialku.
V drevnych dobach sa mi napriklad stavalo, ze po upgrade jadra som mal prehodene interfejsy = nefunkcny server, takze ma cakal vyjazd k nemu. V sucasnych dobach sa tiez relativne casto stane, ze jedna aktualizacia plata potencionalnu dieru, ale dalsiu vytvara, respektive znefunkcnuje dovtedy funkcnu sluzbu. Tymto trpia hlavne Win servre a desktopy, kde aktualizujem hrozne nerad...nastastie fyzickych serverov ubuda a pred aktualizaciami si robim snapshoty, takze pripadne problemy viem hravo vyriesit. V desktopoch sa zase len odinstaluje posledne KB, ktore sposobilo problem a je na urcity cas pokoj. Zrovna par tyzdnov dozadu zacalo isete KB znefunkcnovat PPTP a L2TP vpnky.
Bezne maju moji zakaznici admin pristupy k svojim Win serverom, dokonca aj ku kontu Administratora, pretoze ja ich sice upozornim, ze to nie je spravne, ale kedze sa toho dozaduju....ja sa s nimi hadat nebudem. Budem kazdy den robit dump servera a tak sa branit proti ich vlastnej hluposti.
Bezne maju zakaznici otvorene RDP porty smerom von, pretoze napriklad ked pani konatelke z IT nejde spustit na jej macbooku VPN, ktoru som jej nastavil a pol roka fungovala ja sa s nou po telefone hadat nebudem, ja jej ten port otvorim a ked bude server raz zasifrovany obnovim ho z nocnej zalohy. Ona je spokojna, ja som kludny, win-win.
Proste treba v praxi improvizovat, nie sa hrat na korporatne prostredie so striktnymi pravidlami, kde tak, ci tak dochadza k pruserom v rovnakej miere. Vy by ste urcite najradsej nasadili hned AD do firmy, ktora ma 3 PC, alebo do skoly, kde je sice 50 ucitelskych pc, ale nemaju admina, ktory by sa im o domenu s AD staral a keby to tam nasadite mate kazdu chvilu telefonat, ze nieco nejde. Vo finale ste za blbca lebo ste nasadili nieco co nefunguje, respektive su s tym problemy a domena bez domenoveho admina to uz radsej ziadnu. Treba skusiti;o).
K tym chybam....netreba pozerat na relativne nicnehovirace cisla, ale na to ako je chyba zneuzitelna v praxi. Ksmbd ma skore 10, ale vobec z toho nie som uneseny. Za prve tento modul nie je zapnuty vo vacsine linuxovych distribucii v defaulte. Za druhe ak aj je, na jeho zneuzitie musim splnat iste predpoklady a v tomto pripade sa to absolutne netyka beznych internetovych serverov.
Dolezitymi udajmi o zranitelnosti su okrem nic nehovoriacie popisu, ze je mozno spustit nejaky kod aj napriklad, ci je dokladne popisany sposob ako zranitelnost funguje, ci je popisany sposob akym je mozno zranitelnost zneuzit a vo finale kto vsetko je schopny tuto zranitelnsot zneuzit.

07.02.2024 - 14:47:59

iron.hide

Mesto: Bratislava
Založený: 08.01.2011
Príspevky: 19 420
Bicykle: Orbea Oiz 29 H30 2020 | Specialized Epic Expert Carbon | Merida Theorema 909

07.02.2024 - 21:07:16

jordi

Mesto: Trencin
Založený: 17.05.2012
Príspevky: 1 766
Bike: Canyon Grizl
Odjazdené '24: 52 km

Hello odbornici

Potrebujem pozbierať nejaké dáta z pár počítačov, čo sa roky používali a dať ich na jeden disk... može byť aj SSD či radšej klasický disk ? Co sa týka zálohy...

11.02.2024 - 13:18:29

bedo

Mesto: Košice
Založený: 17.08.2010
Príspevky: 4 674
Bicykle: rizek | šípik

Záleží aj od toho, aké vzácne sú tie dáta, osobne by som pozbieral na SSD a z toho potom ešte urobil kópiu 1:1 na HDD. Ja mám okrem toho ešte ďalšiu kópiu (ale už nie všetko, len vybrané veci) vypálené aj na optických nosičoch (DVD/BR).

11.02.2024 - 17:37:06

flegko

Založený: 20.12.2021
Príspevky: 899
Bicykle: CTM Pulze Expert(2021) | Cube Reaction Pro(2021) | Author A3306

jordi napísal:

Hello odbornici

Potrebujem pozbierať nejaké dáta z pár počítačov, čo sa roky používali a dať ich na jeden disk... može byť aj SSD či radšej klasický disk ? Co sa týka zálohy...

Dolezie data mas vzdy na 2 nosicoch minimalne, ak ti na nich zalezi mas ich na 3, pricom jeden sa geograficky nenachadza tam, kde su tie 2 (predchadzas elekrickym zlyhaniam, bleskom, poziarom, kradeziam a pod).
Na aky disk si das svoje data je uplne jedno.

11.02.2024 - 20:27:00

scarinko

Mesto: Bratislava
Založený: 26.08.2016
Príspevky: 22 240
Bicykle: Joker | Obrik | Smrtka | Ibis
Odjazdené '24: 3 540 km

Nema niekto osobnu skusenost s pouzitim HP HDD ako napr 657753-007 (pripadne ineho) mimo servra? v beznom desktop prostredi pripadne v mojom pripade v LSI raid karte.
samozrejme ked sa to vyberie z toho SAS ramceka tak by to mal byt Seagate ST4000NM0033 len teda predpokladam ze to ma nejaky HP FW v sebe ktory by mohol robit nejake problemy mimo HP prostredia ale mozno aj nie.

13.02.2024 - 14:07:19

flegko

Založený: 20.12.2021
Príspevky: 899
Bicykle: CTM Pulze Expert(2021) | Cube Reaction Pro(2021) | Author A3306

Nevidim dovod preco by to mimo servera nemalo ist. Aspon som nikdy nepocul, zeby to bolo takto robene.

13.02.2024 - 14:31:55

scarinko

Mesto: Bratislava
Založený: 26.08.2016
Príspevky: 22 240
Bicykle: Joker | Obrik | Smrtka | Ibis
Odjazdené '24: 3 540 km

neviem, pytam sa lebo nemam s tym skusenost a tieto korporatne utility mozu robit problemy mimo svojho prirodzeneho prostredia kam su smerovane

13.02.2024 - 14:33:47

peter120

Založený: 09.11.2022
Príspevky: 2 415

Ista opatrnost sa vyplati, nove cpu vytiahnute zo oem serverov mozu mat prehrate "fuses", a mimo oem dosky nebude fungovat.
To su ficuriny dnesnej doby.
novo kupeny oem sigejt600pro ssd pouzivam v pohode na desktope, (ale nic nevlastnim vytiahnute z serverov).

13.02.2024 - 14:58:40

canopus

Mesto: MOON
Založený: 31.07.2008
Príspevky: 7 974
Bike: Specialized Tarmac Expert SL3

scarinko ziadny problem nebude,ani s lsi

13.02.2024 - 15:31:49

Dudo

Mesto: Blabla
Založený: 15.05.2007
Príspevky: 6 579

Lama prosi o pomoc. Vsimol som si, ze sa mi automaticky spusta video v prehliadaci Chrome. Viem sa toho zbavit? Tu na stranke kliknem na komentar pod clankom a spusti sa automaticky video, je to dost otravne a myslim, ze to doteraz nerobilo. V Chrome funkciu najst neviem.
Dik

21.02.2024 - 12:07:15

Obľúbené · Aktívne

Obsah fóra » Ostatné » O hocičom » Počítače a veci súvisiace

Výber z produktov

Prejsť do shopu