LINUX.ORG.RU

US-CERT предупреждает о продолжающейся атаке на Linux-системы

 , ,


0

0

Американское полугосударственное агентство компьютерной безопасности US-CERT (U.S. Computer Emergency Readiness Team) предупреждает об основанных на краже или взломе SSH-ключей "активных атаках" на Linux-системы. Атаки используют украденные ключи для получения исходного доступа к системе, чтобы затем, используя локальные уязвимости ядра, получить рутовый доступ и установить руткит, известный как phalanx2 (модификацию известного с 2005 года руткита phalanx). Он позволяет взломщику скрывать файлы, процессы и сокеты и включает в себя сниффер, tty-бэкдор и автоматическую самозагрузку при старте системы. Особенности работы руткита и возможные методы его обнаружения можно посмотреть на сайте US-CERT.

Для уменьшения опасности подвергнуться атаке, CERT рекомендует по возможности использовать пароли для доступа к системе вместо SSH-ключей, а также проверить системы аутентификации и наложить все необходимые патчи. Если подтвердится предположение, что атаки используют недавно выявленную уязвимость генератора случайных чисел в Debian, агентство, возможно, порекомендует отказаться от аутентификации по SSH-ключам и провести полный аудит затронутых систем.

>>> Подробности

Re: US-CERT предупреждает о продолжающейся атаке на Линукс-системы

>а настраивать фаервол или ssh пропатчить так чтобы можно было соединиться только с особым клиентом.

Для этого сделали knockd

anonymous ()

Re: US-CERT предупреждает о продолжающейся атаке на Linux-системы

>Всё-таки иногда нужно ходить по ссылкам и читать "рекомендации лучших собаководов"...

Это не лучшие собаководы, а лучшие идиоты. Систему надо защищать не запретом аутентификации по ключам (которая априори более секьюрна), а снижать возможность появления руткита. Руткиту пофигу, снимать ввод с клавиатуры, или воровать ключи. И то и то имеет одинаковый порядок сложности. Рекомендацией должны быть не эти бредни по ссылке, а установка chkrootkit и rkhunter.

anonymous ()

Re: US-CERT предупреждает о продолжающейся атаке на Линукс-системы

>Интересно - а кому прийдёт в голову открывать ssh с авторизацией по ключу в открытую сеть?

То есть 2048-битный DSA для тебя вообще не проблема, да?

volh ★★ ()

Re: US-CERT предупреждает о продолжающейся атаке на Linux-системы

И это пока Linux ещё не популярен)))) А когда всё виндоламерьё на него ломанётся - камня на камне не оставят) Да, при всём разнообразии дистрибутивов и прочих факторах, я не забыл про них. Просто кул_хацкеры ещё даже не брались за линукс, а когда возмутся - мир вздрогнет.

anonymous ()

Re: US-CERT предупреждает о продолжающейся атаке на Линукс-системы

>ты никак не поймёшь что это не добавит секурности твоей тачке.

а теперь смотрим на первое сообщение, которое я процитировал:

>только в том что на linux заранее известен логин суперпользователя, а на бсд ещё надо угадать имя аккаунта у которого есть sudo. Причём, настроить систему нужным образом никто не мешает ни в линухе ни в бсде. Те кто орут что вход под рутом широченная дыра в безопасности просто фанатики, их не стоит слушать.

известность логина суперпользователя в linux и не известность его в бсде - сомнительное преимущество/недостаток (по причинам указаным мною выше)

Но, IMHO, "PermitRootLogin yes" - зло, но не по причине известности логина суперпользователя.

ps кстати идея, можно сделать учетку root с юидом больше 0 и пусть скрипт-кидисы подбирают пароль =)

ale ★★ ()

Re: US-CERT предупреждает о продолжающейся атаке на Линукс-системы

> Интересно - а кому прийдёт в голову открывать ssh с авторизацией по ключу в открытую сеть? Может, тогда и root-у разрешить коннектиться по ssh? Или сразу в баню с гомосеками?

Я ставлю авторизацию по ключу и только по ключу. А что не так? Всё удобнее чем пароль. И безопаснее, вестимо.

AndreyKl ★★★★★ ()

Re: US-CERT предупреждает о продолжающейся атаке на Linux-системы

безопастный лингукс во всей красе ))))))))))))0

-----------енг

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.