Příspěvky

8221

Hardware / Re:NRPE a modul check_hddtemp

« kdy: 27. 08. 2012, 08:39:58 »

Tak pak uz jedine to, co je v tom odkazovanym clanku:

Then the problem is in the requiretty options in /etc/sudoers, enabled by default on CentOS. Simply comment it as follows:
#Defaults requiretty

...a pak uz nevim, takze leda improvizovat (vytvorit si vlastni command, dat si do nej kontrolni vypisy a spoustet ho stejnym zpusobem - podle me se vubec nespusti).

8222

Odkladiště / Re:Znechutenost z IT

« kdy: 27. 08. 2012, 07:33:41 »

b) Lenin nemáš náhodou nějakou referenci na svojí práci? Zajímalo by mě to, má ta tvoje firma web abych si početl?

Lenin je anonymní hrdina. Na tenhle dotaz řekl jenom to, že prý není těžké ho najít, protože má dvě ICANN registrace )

8223

Server / Re:Blokace IP útočníků na VPS

« kdy: 27. 08. 2012, 07:28:42 »

IDS je vam na nic pokial system nekontrolujete offline.

Vy pravidelně vyndaváte ze všech serverů disky a na nezávislém počítači je kontrolujete na změny?

Pánové, psal jsem "správně naimplementované IDSko". To znamená naimplementované tak, aby se nedalo snadno obejít.

Pokud jde o to, jak rootovi zamezit, aby mohl modifikovat kernel, tak může jít například o tahle opatření (konkrétní implementace samozřejmě záleží na organizaci):

0. "běžný správce" roota nepotřebuje. Systém modifikuje výhradně pomocí patchů commitnutých skrz change management => všechny změny jsou archivované, nikdo si nelajzne commitnout backdoor, protože riskuje vězení
1. "běžný root" má přístup jenom k jailu. Z něj je výrazně složitější (ne-li nemožné) s kernelem manipulovat => člověk, který má přístup i k hostu, se tak často nemění a má přísnější režim
2. sysctl kern.securelevel=1
3. MAC, např. Capsicum

8224

Server / Re:blokace ip

« kdy: 26. 08. 2012, 19:41:14 »

Niekedy to nahodou moze fungovat, ale komplexne sa to bude robit tazko. Ked si raz root napriklad patchne SSHd, aby [...]

Nevím, jestli mluvíme o tom samým, ale já mám namysli HIDS na úrovní filesystému - tj. nejjednodušeji realizovaný tak, že mám někde bezpečně uložené fingerprinty toho, jak mají soubory vypadat. Něco na způsob tohodle: http://www.freebsd.org/doc/handbook/updating-upgrading-freebsdupdate.html - System State Comparison, ale spíš něco pořádnějšího, provázaného s cfg mgmt, jako např. http://rsug.itd.umich.edu/software/radmind/

Čili sshd si patchnout může, ale při nejbližším checku to bude odhaleno.

Samozřejmě může nějak docílit, že jeho patch se dostane do oficiálního čistého stavu systému, ale to už je zas trochu o něčem jiným - otázka politik atp. atd. - ale to pořád neznamená, že by platilo "jednou root, navždy root".

8225

Server / Re:blokace ip

« kdy: 26. 08. 2012, 16:24:31 »

O RLY? IDS odhalí backdoor, nebo v mírnějším případě úmyslnou chybu konfigurace umožňující vzdálené převzetí shellu?

No a ne snad?

8226

Hardware / Re:NRPE a modul check_hddtemp

« kdy: 26. 08. 2012, 14:43:07 »

Ještě mě teď napadlo (nrpe nepoužívám, tyhle věci mám přes SNMP): pod jakým uživatelem běží ten nrpe démon? Tady totiž nezáleží na tom, pod jakým userem spouštím to check_nrpe, ale pod jakým uživatelem ten příkaz spouští on.

Tady by asi taky mohl být zakopanej pes:
1. běží pod rootem -> pro roota není nastavený requiretty na off, takže sudo zhavaruje (?)
2. běží pod jiným uživatelem než nagios -> dtto

8227

Hardware / Re:NRPE a modul check_hddtemp

« kdy: 26. 08. 2012, 14:17:43 »

Jo, tak to fakt vypadá, že je problém v tom tty.

Proč to nejde vypnout per user, to nechápu, ale možná by mohlo pomoct to vypnout v defaultech - viz http://www.cyberz.org/blog/2009/01/03/nagios-nrpe-and-sudo-nrpe-unable-to-read-output/

8228

Odkladiště / Re:Znechutenost z IT

« kdy: 26. 08. 2012, 14:08:13 »

Bible a ani proroci nikdy na politickou korektnost nehrali.

Urážet lidi, který jsi nikdy neviděl a nic o nich nevíš, to není žádná politická nekorektnost, ale úplně normální hovadismus, kterýho si každej může dosytosti užít v libovolné nádražní restauraci.

Čímž se dostáváme zpět k mojí předchozí otázce: proč se tady za celý ty roky, co tady tajtrlíkuješ, neobjevil nikdo, kdo by napsal "tak jsem to s Leninem zkusil a je to fakt jízda"?

8229

Odkladiště / Re:Znechutenost z IT

« kdy: 26. 08. 2012, 12:58:30 »

Jinak v USA máte právě tak nějak 4 hodiny ráno, ne? To asi bude nejvyšší čas jít spát

8230

Odkladiště / Re:Znechutenost z IT

« kdy: 26. 08. 2012, 12:52:41 »

protoze kdyz ti rikam jak se to dela tak mi neuveris.

Víš o mně kulový, zejména o tom, čemu věřím a čemu ne, takže těmahle moudrama zkus jako tradičně oblbovat spíš čerstvý absolventy, co ještě nevědí, co s načatým životem. Na mě to jaksi neúčinkuje.

8231

Odkladiště / Re:Znechutenost z IT

« kdy: 26. 08. 2012, 12:38:15 »

Bez dal vysavat lidi ty pijavko. Az budes mit svoji firmu a budes mit jako vedouciho neschopne hovado tak mi napis, rad se prijedu podivat.

Já bych zase ve firmě chtěl mít za manažera arogantní hovado, který je sprostý na lidi, který vůbec nezná, a ještě se při tom zašťiťuje Biblí.

8232

Hardware / Re:NRPE a modul check_hddtemp

« kdy: 26. 08. 2012, 11:26:07 »

Tím requiretty by to snad být nemělo - viz man sudoers: This flag is off by default.

Jak vypadá definice toho příkazu v konfigiraci Icingy? Nechybí tam sudo?

Nouzový debug by byl přidat si do toho scriptu check_hddtemp.sh nějaký ladící výstupy (jestli se vůbec spustí, pod jakým uživatelem atd.)

8233

Server / Re:blokace ip

« kdy: 26. 08. 2012, 09:03:42 »

Jednou rootem, pořád rootem, jak se praví v jedné reklamě na prací prášek.

Ovšem jenom tehdy, když organizace nemá správně naimplementované IDSko.

8234

Odkladiště / Re:Znechutenost z IT

« kdy: 26. 08. 2012, 00:15:26 »

A vždy platilo, platí a platit bude, že opravdu velký prachy berou ti, na který někdo maká.

No a proto tady Lenin to rádobyheadhunterství dělá, ne?

8235

Server / Re:blokace ip

« kdy: 25. 08. 2012, 23:18:53 »

Tak jo, tak to myslím můžeme uzavřít s tím, že PermitRootLogin No je lepší než drátem do voka