LINUX.ORG.RU
решено ФорумTalks

Почему мои сервера на Debian, Ubuntu взламывают, а на CRUX нет?

 


2

4

Вчера вспомнил про VDS, после очередного «она мне изменила, но я её простил» решил накатить Ubuntu, установить и ввести в строй по-быстрому exim, bind.

Сегодня с утра наблюдаю какой-то кошмар в htop. Ну недолго думая затёр жестокий диск и poweroff.

То есть, чтобы вы понимали, я просто оставил систему в состоянии «из коробки», не заморачиваясь настройками, не ковыряя ssh или ещё что. Установил что было нужно (exim, bind), и забил, типа работает и пусть и работает, что ещё надо-то от меня?

Лень разбираться через что и как, тратить время на изучение причин, факт лишь в том, что Ubuntu из коробки подверглась ололо-взлому за ночь.

Почему-то с CRUX на том же VDS такой беды не происходит, хотя версии ПО по большей части те же, а в CRUX используется ванильный софт с дефолтными настройками от самих разработчиков, над настройкой которого я тоже шибко не парюсь.

Вот существует простая человеческая истина: чем решение проще — тем оно вернее. Зачем вообще этот говнод пихали, усложняли систему, лучше бы систему до ума довели, чтобы её можно было оставлять без присмотра.

РРРР! Бесит.

★★★★★

1 2

я опытный в вопросах ИБ, но заморачиваться над безопасностью одноразовой VDS это тоже самое, что устанавливать на старенькое жигули сигнализацию стоимостью почти в половину этого самого жигули. вот прям вообще, оно того не стоит. проще переустановить.

а тут меня выбесил сам факт, что так тупо и нелепо произошло. когда по-дефолту всё секурно.

и уже как ИБ я использую stateless-подход «одноразовой ОС» до перезагрузки, чтобы не тратить своё время и другие ресурсы на бэкап системы, и чтобы сломанная система по кнопке Reset возвращалась в исходное состояние.

а пароли root:toor это нормально для однопользовательской системы, ещё раз говорю, не должно быть удалённого доступна, по-дефолту в ССЩ этого нет! откуда мне было знать, что школоло-сборщики дистрибутива откроют эту дыру?

если вы говорите, что в обычной Ubuntu этого нет, тогда это сборщики дистрибутива на FirstVDS постарились.

Spoofing ★★★★★
() автор топика
Ответ на: комментарий от Murg

я бы на твоем месте беспокоился не за профессию, а за свое чувство юмора:) по-моему это гораздо хуже)

crypt ★★★★★
()
Ответ на: комментарий от grim

Я не думаю, я знаю. В ubuntu по-умолчанию опция

PermitRootLogin prohibit-password

Он БРЕ-ШЕТ.

targitaj ★★★★★
()

ХЗ про убунту, не ставлю, но Debian не помню, чтобы взломали.

turtle_bazon ★★★★★
()
Ответ на: комментарий от Spoofing

а я на все руты ставлю пароль toor

А я никакой не ставлю. ССЗБ.

turtle_bazon ★★★★★
()
Ответ на: комментарий от Spoofing

пароли … должны использоваться только для локального входа при физическом доступе к железу.

Вот тут я с тобой почти согласен. Кроме того, что и для этого они не должны использоваться.

turtle_bazon ★★★★★
()
Ответ на: комментарий от targitaj

БРЕХ-НЯ

Вот в дебиане тоже брехня, я про убунту удивился, но комментировать не стал, потому что убунту так тонко не знаю, но подозреваю, что где-то как в дебиане.

turtle_bazon ★★★★★
()
Ответ на: комментарий от grim

Убунту с настройками от провайдера.

Возможно. Типа, пользователям лень с ключами возиться.

turtle_bazon ★★★★★
()
Ответ на: комментарий от Spoofing

я опытный в вопросах ИБ

Разве что пассивно. Потому что пенетрируют тебя, как ты сам сказал, регулярно.

но заморачиваться над безопасностью одноразовой VDS это тоже самое, что устанавливать на старенькое жигули сигнализацию стоимостью почти в половину этого самого жигули. вот прям вообще, оно того не стоит. проще переустановить.

И поэтому ты поставил простой пароль для рута и открыл ему доступ по ssh.

пароли root:toor это нормально для однопользовательской системы

Это нормально только если у тебя IQ равен комнатной температуре.

hateyoufeel ★★★★★
()
Ответ на: комментарий от hateyoufeel

Да, если сервер взломали, то пусть сразу рутают его, потому что для тебя любое нестандартное поведение сервера станет поводом для беспокойства.

А не так, что взломали условного nobody, www или другого пользователя (сервис, под которым оный запущен) и для тебя этот факт остался незамеченным.

Я так считаю, уж если взломали, то пусть идут до конца и я тогда об этом узнаю, чем как-бы взломали, но как-бы root'а не получили, но и ты об этом тоже не узнаешь.

Писать лишний раз про удобство одноразовых систем до перезагрузки уже не стану.

Spoofing ★★★★★
() автор топика
Ответ на: комментарий от hateyoufeel 
МИМО ДОМА УБУНТЕНКА Я БЕЗ ШУТОК НЕ ХОЖУ
ТО В ОКНО ПРОСУНУ ПАМЯТЬ, ТО ШВАБОДКУ ПОКАЖУ

УБУНТЁНОК-УБУНТЁНОК, ОН ВЕЗДЕ СПЕЦИАЛИСТ
ОН У БАБУШКИ ПСИХОЛОГ И У МАМКИ ПРОГРАММИСТ

УБУНТЁНОК-УБУНТЁНОК ЛЮБИТ В ГУГЛ ПОСЫЛАТЬ
ХОТЬ И ГУГЛУ НЕ УМЕЕТ САМ ВОПРОСЫ ЗАДАВАТЬ

УБУНТЁНОК-УБУНТЁНОК МОЖЕТ МУДРЫЙ ДАТЬ СОВЕТ:
ВСЁ НЕНУЖНО, ЧТО СЛОМАЛОСЬ; ВСЁ НЕ НУЖНО, ЧЕГО НЕТ

УБУНТЁНОК-УБУНТЁНОК ДРАЙВЕРА НЕ СТАЛ ИСКАТЬ
ВЕДЬ С УБУНТОЮ КОМПЬЮТЕР НЕТУ СМЫСЛА В СЕТЬ ВКЛЮЧАТЬ

ОХ, УБУНТОЧКА-УБУНТА, ЛУЧШЕ НЕ НАЙДЁШЬ НИГДЕ
АЭРО И КВИП ПОД ВАЙНОМ, ВСЁ ПРИВЫЧНО, КАК В ВИНДЕ
Spoofing ★★★★★
() автор топика
Ответ на: комментарий от Spoofing

Да, если сервер взломали, то пусть сразу рутают его, потому что для тебя любое нестандартное поведение сервера станет поводом для беспокойства.

А не так, что взломали условного nobody, www или другого пользователя (сервис, под которым оный запущен) и для тебя этот факт остался незамеченным.

Я так считаю, уж если взломали, то пусть идут до конца и я тогда об этом узнаю, чем как-бы взломали, но как-бы root’а не получили, но и ты об этом тоже не узнаешь.

Да, ты явно иксперд. Такой тупости я давно не читал.

Писать лишний раз про удобство одноразовых систем до перезагрузки уже не стану.

То, что левые перцы всё равно будут иметь доступ к твоим данным, могут запускать до ребута майнеры, использовать твой сервер для DDOS, а так же то, что твой дебильный пароль так и останется дебильным после ребута и сервер так же через 5 минут поимеют, ты, конечно же, не учитываешь.

повторяюсь, ЭТО СДЕЛАЛИ УБУНТЯТА

В штаны тебе тоже они насрали? Вот специально сейчас залез на один из серверов на убанте, которые я админю, и проверил.

$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 20.04.1 LTS
Release:        20.04
Codename:       focal
$ sudo cat /etc/shadow|grep root
root:*:18375:0:99999:7:::
$ cat /etc/ssh/sshd_config|grep PermitRootLogin
#PermitRootLogin prohibit-password
# the setting of "PermitRootLogin without-password".

Логиниться рут не может ни по ssh, ни через консоль, вообще никак. Прекрати позориться уже.

hateyoufeel ★★★★★
()
Последнее исправление: hateyoufeel (всего исправлений: 2)
Ответ на: комментарий от hateyoufeel

вообще никак

я помню, то ли в минте, то ли в какой-то убунту-басед смог войти под рутом через sudo -sE, хотя не добавлял пользователя в группу wheel, т.е. она (убунта) сама так настроила, что через судо без пароля пользователь может войти и стать рутом.

teod0r ★★★★★
()
Последнее исправление: teod0r (всего исправлений: 1)
Ответ на: комментарий от teod0r

смог войти под рутом через sudo -sE, хотя не добавлял пользователя в группу wheel

Проверил на беспарольном юзере. Нет, в 20.04 нельзя.

hateyoufeel ★★★★★
()
Ответ на: комментарий от hateyoufeel

значит уже прикрыли. где-то ~ в 14 было. но точно что за дистр не помню. вроде минт

teod0r ★★★★★
()
Ответ на: комментарий от Spoofing

Если ты взял инструмент про который недостаточно знаешь и получил результат который не ожидал, то виноват ты а не инструмент. Не веди себя как маленький ребёнок.

sin_a ★★★★★
()
Ответ на: комментарий от teod0r

Ну и чо? Если юзер не из группы wheel может через sudo стать рутом, это 100% дыра в sudo и это давно бы заметили. Не важно, есть у него пароль или нет.

hateyoufeel ★★★★★
()
Ответ на: комментарий от crypt

ну это понятно. не все же админят.=)

На самом деле, это нифига не шутка, а менталитет. Легаси админы строят культ из того самого «пароля на рут» и прочей ереси. Моя профессия - випиливать такие «шуточки» из продакшена и делать так, что бы никто больше не мог «пошутить».

В общем, не смешно.

Murg ★★★
()
Ответ на: комментарий от hateyoufeel

я не говорил, что пользователь не в группе wheel, я имел в виду, что я его туда не добавлял, т.е., может, и в группе (тогда я этого не проверял), но добавила его туда умбута сама.
речь про дефолтного пользователя.

teod0r ★★★★★
()
Ответ на: комментарий от teod0r

А… Ну блин, в инсталляторе убанты буквально большими буквами написано, что первый юзер в системе будет иметь админский доступ через sudo. Я не знаю, как ты это смог пропустить.

hateyoufeel ★★★★★
()
Последнее исправление: hateyoufeel (всего исправлений: 1)
Ответ на: комментарий от Spoofing

А не так, что взломали условного nobody, www или другого пользователя (сервис, под которым оный запущен) и для тебя этот факт остался незамеченным.

А разве нельзя научиться не замечать факт взлома пользователя root?

sinaps
()
Ответ на: комментарий от gremlin_the_red

конечно нет, отсутствуют оценочные прилагательные )

Но шутку заценил, да ))

zgen ★★★★★
()
Ответ на: комментарий от Spoofing

если вы говорите, что в обычной Ubuntu этого нет, тогда это сборщики дистрибутива на FirstVDS постарились.

FirstVDS

Аренда VDS или VPS сервера, Дешевый хостинг | firstvds.ru

https://i.imgur.com/zRvpEeA.png

anonymous-angler ★☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
Talks