Куча говна / Говнокод #26814 Ссылка на оригинал

0

  1. 1
  2. 2
  3. 3
Вы уронили продуктовое приложение и SSH-доступ изнутри виртуалки к нему,
все сессии потеряны. Доступ к виртуалке надо просить через заказчика, и это косяк.
Ваши действия?

Запостил: vistefan vistefan, (Updated )

Комментарии (203) RSS

  • iptables накрутил? А перезагрузить удаленно нельзя?

    Попроси доступ, и сделай вывод о том, что всегда обязательно нужно иметь доступ к консоли.
    Ответить
  • > Попроси доступ, и сделай вывод о том, что всегда обязательно нужно иметь доступ к консоли.
    This.

    А когда работаешь с «Iptables» на удалённой виртуалке — советую использовать вот такой шаблон:
    #!/bin/bash
    
    iptables -A ........
    
    
    echo "OK."
    sleep 5s
    
    echo "Failed. Falling back."
    
    iptables -t filter -F
    iptables -t filter -X
    iptables -t filter -Z
    iptables -t raw -F
    iptables -t raw -X
    iptables -t raw -Z
    iptables -t mangle -F
    iptables -t mangle -X
    iptables -t mangle -Z
    iptables -t nat -F
    iptables -t nat -X
    iptables -t nat -Z

    Выполняешь скрипт, после «OK» нажимаешь «Ctrl+C». Если проебался и отрубил SSH — через пять секунд скрипт всё откатит к чистому листу. Не спасает от отрубания всех входящих соединений, но это уже экзотика.
    Костыль, конечно, но если уж накатывать на прод нетестированные правила…
    Ответить
    • скрипт нужно нохапать же, иначе у него tty отвалится, и баша с собой заберет, не?

      В моей юности не было vps, и правила правили на реальных железных серверах. Вот это правда был экстрим, иногда нужно было куда-то ехать ногами:)
      Ответить
      • > скрипт нужно нохапать же, иначе у него tty отвалится, и баша с собой заберет, не?
        В принципе да, так будет правильнее, но для немедленного отваливания сессии нужно ухитриться отправить TCP-reset от имени клиента, а это нетривиально. В большинстве случаев SSH-трафик просто будет DROPнут, и за пять секунд сессия отвалиться не успеет.
        Ответить
        • Это если DROP, а если REJECT? Разве клиент, получив REJECT, не закроется?
          Альсо, у тебя может самого в этот момент что-то отвалиться, а пока будешь чинить -- таймаут TCP придет
          Ответить
          • Клиент закроется, но сервер-то об этом не узнает (ему TCP-RST не придёт, он же REJECTится) и будет молча ждать таймаута.
            Ответить
          • > Альсо, у тебя может самого в этот момент что-то отвалиться, а пока будешь чинить -- таймаут TCP придет
            Поэтому скрипт перед очисткой и спит всего несколько секунд. Когда сессия отвалится по таймауту — правила уже давно будут очищены.
            Ответить
            • Да, всё так. Забавный хак, хотя и опасный.

              Кстати, в некоторых конторах программисты вообще не имеют доступа к продакшену: они собирают Dockerfile, и дальше админы сами его запускают, во многом по этой вот причине
              Ответить
              • Да тут похоже речь не про деплой, а кто-то шаловливыми ручками полез что-то править по ftp
                Ответить
                • Ну если бы у него физически не было доступа к продакшену, то он бы там ничего и не сломал)

                  Думаю, он всё таки правил правила файрвола по ssh, и вот
                  Ответить
                  • Вообще я в этом нихуя не понимаю.

                    Но мне кажется странным, что правила фаервола лежат там же, где боевое приложение. А как же балансировщики, роутинг и прочие непонятные мне слова?
                    Ответить
                    • Возможно, что у него очень простой продакшен, состоящий из одной виртуальной машины, на которой работает приложение.
                      Ответить
                      • очень простой продакшен

                        и очень сложный заказчик

                        так и живём
                        Ответить
                        • Ну я примерно понимаю, как это работает:

                          "Вот тебе ssh, выложи туда сайт, который ты нам сделал".
                          А доступа панели хостера не дает
                          Ответить
                          • А что в данном случае "вот тебе ssh"? В чувака плюнули публичным ключом?
                            Ответить
                            • Могли дать логин/пароль, а могли попросить его публичный ключ, и добавить там его в authorized_keys.

                              В общем дали ему возможность зайти по ssh на сервер.


                              Но правду знает только Вистефан
                              Ответить
                              • Я просто не понимаю, как тогда можно было потерять сессию. В ружье был всего один патрон?
                                Ответить
                                • Ну вот ты правишь правила файрвола, и случайно закрываешь доступ к серверу по сети.

                                  Твой SSH клиент отваливается, и веб-приложение тоже больше недоступно.

                                  Если политика по умолчанию "всё закрыто", то нужно явно добавлять правила для ssh. Если ты его случайно удалил этот правило -- то всё
                                  Ответить
                                  • Теперь понял, спасибо.

                                    А из панели в таком случае доступ останется? Как морда подключается к серваку?
                                    Ответить
                                    • Зависит от того, как устроен гипервизор у хостера.

                                      Многие гипервизоры дают доступ к консоли (к тому месту, куда у реальной машины подключались бы клавиатура и дисплей).

                                      Ты заходишь через веб-интерфейс, ждмешь кнопку, и у тебя открывается эта косноль или в виде веб-приложения с канвасом, или тебе дается адрес для подключения по VNC.

                                      Попадаешь на консоль, там терминал, логинишься, и чинишь.

                                      Если гипервизор не дает такого доступа, то у виртуалки можно сделать ком-порт. Гипервизор обычно позволяет замапить такой порт на TCP порт. На том порту можно запустить login, и зайти как-бы на ком-порт машины. В линуксе там обычный терминал будет.
                                      Ответить
                    • > Но мне кажется странным, что правила фаервола лежат там же, где боевое приложение. А как же балансировщики, роутинг и прочие непонятные мне слова?
                      Распространённая ошибка, кстати. Боевой сервер за балансировщиками и проксями, у которого не настроен фаерволл — это как полный комплект брони с дыркой на заднице. Рано или поздно он утечёт (или перебором, или более экзотическими методами) — и всё, дальше всё зависит от степени безалаберности админа.
                      Именно поэтому я за
                      #!/usr/bin/env bash
                      
                      SET_NAME_CLOUDFLARE=cloudflare
                      IPS_URL="https://www.cloudflare.com/ips-v4"
                      
                      now=$(date '+%d-%m-%Y %H:%M:%S')
                      echo "Started Cloudflare IPv4 update script at $now"
                      
                      ipset -L $SET_NAME_CLOUDFLARE >/dev/null 2>&1
                      if [ $? -ne 0 ]; then
                          ipset create $SET_NAME_CLOUDFLARE hash:net
                      else
                          ipset -F $SET_NAME_CLOUDFLARE
                      fi
                      
                      curl -sS $IPS_URL | grep -E "^[0-9\./]+$" | xargs -I % ipset add $SET_NAME_CLOUDFLARE %
                      
                      now_end=$(date '+%d-%m-%Y %H:%M:%S')
                      entries_num=$(expr `ipset -o save list $SET_NAME_CLOUDFLARE | wc -l` - 1)
                      echo "Done Cloudflare IPv4 update script at $now_end: $entries_num total entries"
                      echo ""
                      .
                      Ответить
                      • > от степени безалаберности админа

                        А дальше монга без пароля, угу. Она же за балансировщиком и фаерволом.
                        Ответить
                      • >Боевой сервер за балансировщиками и проксями, у которого не настроен фаерволл

                        ну, привет.

                        На AWS продакшен сервер может вообще не иметь внешнего IP, и быть доступен только из VPC, в которую входит балансировщик.

                        Нахуй там файрвол?
                        Ответить
                        • > На AWS продакшен сервер может вообще не иметь внешнего IP, и быть доступен только из VPC, в которую входит балансировщик.
                          Ну так это фактически и есть фаерволл, запрещающий прямой доступ к серверу. Кто сказал, что «фаерволл» должен быть в виде кучки правил «iptables»?
                          Ответить
                          • Тогда это ровно то, про что сказал Десктоп, не?

                            Правила настраивются на балансировщике, а сервер приложений никаких правил своих не имеет, тем не менее он защищен
                            Ответить
                            • Ну как это не имеет? Тебе в любом случае придётся в «AWS» настраивать доступ к серверу приложений (пусть и путём помещения его в «VPC»).
                              >>> Кто сказал, что «фаерволл» должен быть в виде кучки правил «iptables»?
                              Ответить
                              • Он сказал:

                                "Но мне кажется странным, что правила фаервола лежат там же, где боевое приложение."

                                Ты возразил, что это ошибка.

                                Так вот в примере с VPC на боевом сервере нету сущности, которая называется "правило файрвола".
                                Ответить
                                • Я сказал, что это распространённая ошибка. Окей, в случае с «AWS VPC» на боевом сервере нет никаких «правил файрвола» (хотя настраивать файрвол всё равно нужно). Но если ты возьмёшь эдак процентов девяносто сайтов, «защищённых» «Cloudflare», то увидишь, что на них спокойно можно зайти по их реальному адресу, что является грубой ошибкой конфигурации (во-первых, теряются все защитные свойства, во-вторых, появляется возможность крупно наебать бан по IP).
                                  Или вот реальный пример статейки на «Хабре», написанной вчера: https://habr.com/post/512152/, там в разделе «Прямое подключение» просто-таки хрестоматийный пример такого рода ошибки.
                                  Ответить
                                  • Ну так большинство админов -- идиоты)

                                    Просто если у тебя есть несколько продакшен серверов (для блю грин деплоя, сервер с базой итд), то нет никакого смысла их всех выставлять наружу и на каждом настраивать файрвол. Лучше бы им быть в приватной сети за SNATом, и в той же сети будет балансировщик с двумя интерфейсами -- внешним и внутренним (для связи с продакшен сервером).

                                    Вообще чем меньше у тебя реальных IP -- тем безопаснее
                                    Ответить
                                    • Нахождение в приватной сети это круто, но не отменяет настроек фаервола.
                                      Ответить
                                      • Зачем настраивать файрвол в приватной сети?

                                        У тебя дома файрвол на ноуте настроен?
                                        Ответить
                                        • Да, настроен. Зачем портами наружу светить если они явно не требуются соседним тачкам? Сегодня сеть приватная, а завтра один из серваков слегка ломанут или во внешнем фаере админы накосячат.
                                          Ответить
                                          • >Да, настроен.
                                            ну, у меня нет)

                                            > а завтра один из серваков слегка ломанут или во внешнем фаере админы накосячат.

                                            Если речь идет о VPC, то там software defined network: если там и настраивают файрвол, то он там же описывается, где и факт приватности сети)

                                            Можно конечно на каждом сервере еще явно подымать iptables, передавать туда как-то адрес балансера, давать доступ именно к нему, не забывать поменять всё, когда адрес балансера поменяется, но это боль
                                            Ответить
                                            • Вот, кстати, да, Борманд вполне реальный пример привёл. Конечно, в повседневной жизни кейсы взлома локальной сети рассматривать непродуктивно, но вот для крупных/дорогих сервисов может быть очень важно, что злоумышленник, проникший на какую-нибудь машину для сбора лишних байтов, не получит лёгкого и простого доступа к окружающим серверам.
                                              Ситуация, когда всю сеть компании ломает чувак, взломавший рабочий ЭВМ уборщицы тёти Маши, довольно распространены.
                                              Ответить
                                              • То есть сначала чуваки засунули пека уборщицы в одну сетку с боевыми серваками, а потом решили замести срань фаерволом под коврик?

                                                Какой энтерпрайз )))
                                                Ответить
                                                • Ну дык. Типичная проблема больших систем. Ошибки копятся, никто не понимает как это работает в целом и рано или поздно комп уборщицы попадает в продакшен.

                                                  В идеальном мире, конечно, всё правильно настроено и код без багов пишется. Но в реальном мире лучше перестраховаться и сделать защиту на всех уровнях, где это получается. Авось хакерам надоест и они пойдут искать что-то более лёгкое.
                                                  Ответить
                                                  • Сети VPC описаны в текстовых конфигурационных файлах.
                                                    Если ты случайно включил туда уборщицу, то это баг.
                                                    С таким же успехом ты случайно можешь налажать с файрволом
                                                    Ответить
                                                  • Ну ок.

                                                    У меня нет опыта в этом, потому спорить не буду.

                                                    Хотя выглядит немного, как оверкилл, который всё равно в итоге не поможет.
                                                    Ответить
                                                    • > который всё равно в итоге не поможет.

                                                      Дык ты по определению в проигрышном положении по отношению к хакеру. Всегда. Ему надо найти одну дыру в твоём коде или конфиге. Тебе надо закрыть все.

                                                      Поэтому все способы, которые уменьшают поверхность атаки хороши: поставить пароль на монгу, врубить фаер хотя бы на минималках, чтобы лишние сервисы случайно не засветились, настроить VPC как guest выше пишет.

                                                      Налажать можно на любом из этих этапов. Но есть шанс, что остальные тебя подстрахуют.
                                                      Ответить
                                              • Разумеется, машина уборщицы не должна быть в одной сети с продакшен серверами.

                                                Они должны быть разделены на разные сети, и общаться через маршрутизатор с файрволом.

                                                В VPC нету уборщицы, там вообще реальных машин нету.
                                                Ответить
                                                • > там вообще реальных машин нету

                                                  Зато там вполне может оказаться дырявое легаси на PHP.
                                                  Ответить
                                                  • Если у тебя в сети продакшен серверов есть приложение с дыркой, то ты конечно можешь наебнуть все продакшен сервера и сервер с базой тоже. Это правда
                                                    Ответить
                                                    • Ну а если на них фаер и аутентификация во всяких монгах - то уже далеко не все.
                                                      Ответить
                                                      • Аутентификация есть конечно, а вот файеров может не быть.

                                                        Но обычно твое дырявое приложение ходит в базу под пользователем с правами на запись. Ты можешь сделать DROP DATABASE
                                                        Ответить
                                            • > software defined network

                                              Ну вот кстати не доверяю я таким решениям. В амазоне конечно далеко не макаки работают, но есть риск что после какого-нибудь неудачного апдейта инфраструктуры все тачки внезапно начнут видеть друг друга.

                                              Поэтому прикрыть жопу фаервольчиком не помешает. Хотя бы минимальным, который экспозит только те порты, которые нужны для работы данного контейнера (да, я понимаю, что в контейнерах обычно ничего лишнего нет, но shit happens).

                                              На бога надейся, а сам не плошай.
                                              Ответить
                                              • Сразу видно, что ты опытный админ. Ты параноик.
                                                Ответить
                                                • > опытный админ

                                                  И опытная крестоблядь заодно. Замечательное сочетание для развития паранойи.
                                                  Ответить
                                                  • Подтверждаю. Когда из-за отсутствия переноса строки в конце файла единицы трансляции компилятор получает право сделать «rm -rf /*», паранойя развивается очень быстро.
                                                    Ответить
                                                    • Да ладно, PHP вон тоже от наличия переноса строки в конце файла получает право отправить заголовки...
                                                      Ответить
                                              • Если ты не доверяешь амазону, то зачем там вообще хостица? Почему не иметь свой железный сервер под кроватью? Вдруг там твое хранидище случайно станет общедоступным
                                                Ответить
                                              • инетресно, в виндосети ты тоже будешь конфигурировать файрволы на каждой станции?

                                                Марьванне нужно скачать файлы у Серпетровича: откроем у него 445-й для адреса марьванны.

                                                А еще лучше каждую станцию запустим в отдельный vlan, и откроем файр на маршрутизаторе между ними, а vlan привяжем к розетке, чтоб не спуфили адреса.

                                                Ну и конечно не забудем про IEEE 802.1X, чтобы левые хуи в розетку не сувались
                                                Ответить
                                                • В венде ж наоборот все пердолятся чтобы выключить фаер. А по дефолту он неплохо настроен, особенно если сказать что это не локалка.
                                                  Ответить
                                                  • >особенно если сказать что это не локалка.
                                                    так я же про локалку говорю, точнее даже про доменный профайл
                                                    Ответить
                                                    • Есть шара с антивирусником и бекапами, есть принтсервер. Нахуй друг другу на тачки лазить то?

                                                      Десктопные тачки не должны ничего хостить. Иначе это колхоз какой-то.
                                                      Ответить
                                                      • таак) то-есть ты бы закрыл им 445-й порт?

                                                        >Десктопные тачки не должны ничего хостить.
                                                        ну как я музыку-то коллеге передам?
                                                        Ответить
                                                        • Да, закрыл бы.

                                                          > ну как я музыку-то коллеге передам?

                                                          Во вконтакте скинешь ссылку лол, один хер все там слушают. Или я уже отстал от жизни и сейчас это делают как-то по-другому?
                                                          Ответить
                                                          • Да нет, это я форшу реалии 2005-го года. Ты прав.

                                                            Так что с файром? Ты реально бы вот групповухой закрыл бы всем доступ по сети?
                                                            Ответить
                                                            • Да, закрыл бы. Нехер клиентской операционке из себя сервак строить. Особенно после стольких уязвимостей в этой подсистеме.

                                                              Только исходящие коннекты, только хардкор. Цепляться к шаре на серваке это, емнип, не мешает.
                                                              Ответить
                                                              • Ты реально крейзи:))

                                                                Можно стопнуть службу server, правда тогда еще че-нить отвалица, и вероятно лучше так не делать.


                                                                Короче, ты более параноик, чем все виданные мною админы.
                                                                Ответить
                                                        • > ну как я музыку-то коллеге передам?
                                                          Вопрос на миллион: нахуя на работе, за рабочим компом передавать кому-то музыку? На работе работать надо, ёба!

                                                          UPD: Ладно, ладно, я понимаю, зачем это надо работнику. А почему это должно волновать администратора?
                                                          Ответить
                                                          • >ёба
                                                            ой, да ладно. Кто на работе работает-то?
                                                            Ответить
                                                            • Ну это понятно. А админу-то зачем это поощрять? Чтобы cMeWHou_KoTuK_KapTuHKa.jpeg.exe быстрее по компам расползся?
                                                              Ответить
                                                              • "cMeWHou_KoTuK_KapTuHKa.jpeg.exe" и так окажется на

                                                                \\srv323\1C\Питуховский Е К.\базы

                                                                ну или на \\puthu.local\1C\.., если админ осилил DFS
                                                                Ответить
                                                                • Дык там этот экзешник быстро проверят и ёбнут к чертям. Плюс в аудите останется запись откуда он туда попал. А по шарам между компами он прекрасно будет размножаться сам, без участия юзеров даже.
                                                                  Ответить
                                                                  • >Дык там этот экзешник быстро проверят и ёбнут к чертям.
                                                                    Ну у такого админа и на каждой машине был бы антивир, не

                                                                    > Плюс в аудите останется запись откуда он туда попал.
                                                                    Я, кстати, никогда не видел, как работает аудит доступа именно к сетевым папкам вместе с записью файлов.. ты видел?

                                                                    >без участия юзеров даже.
                                                                    только если его уже запустили
                                                                    Ответить
                                                                    • Да так же как к обычным, насколько я знаю. Просто доменный юзер будет в ивентах показан. Но сам я не пробовал, я ж не виндовый админ.
                                                                      Ответить
                                                                      • Ты имеешь ввиду аудит доступа к объекту?
                                                                        Ответить
                                                                        • Да, аудит доступа к объектам внутри каталога, который расшарен на серваке.
                                                                          Ответить
                                                              • Ну хотя вообще в вашем с Бромандом подходе есть некоторыый смысл.

                                                                Список компов сети можно же получить у мастербраузера или широковещалкой по WSD в современных виндах, потом всех их просканировать, и найти наверняка

                                                                зарплата2020.xlsx у бухгалтера
                                                                пароли_соцсети.doc у SMMщика
                                                                маша_в_бане.jpg у директора...
                                                                Ответить
                                                                • Ага, я в некоторых конторах видел C:\ расшаренный на запись для всех.

                                                                  Какое юзабилити ))))

                                                                  Вот до чего доводит не залупание на сотрудников.
                                                                  Ответить
                                                                • Плюс бухи очень любят портить и проёбывать документы. А на централизованной шаре таки бекап есть. Хоть что-то останется.
                                                                  Ответить
                                                                  • Так и комп можно бекапить, Veritas же всякий
                                                                    Ответить
                                                          • > А почему это должно волновать администратора?
                                                            Потому что зачем залупаца с сотрудниками на пустом месте?

                                                            А вообще дело не только в музыяке.
                                                            Ты никогда не видел совконтор?
                                                            Там какие-нить фото с объекта или PDF с договором принесли на флешке или на почту получили, и надо их кому-то показать.

                                                            Ясен хуй, что в идеальном мире их надо в документооборот пихать, но это так не работает.

                                                            Да даже у нас на работе я иногда могу дамп в шару выложить
                                                            Ответить
                                                            • > Потому что зачем залупаца с сотрудниками на пустом месте?
                                                              Ну а почему бы тогда не поставить «Стим» на все компы, чтобы совсем заебись стало?

                                                              > Ясен хуй, что в идеальном мире их надо в документооборот пихать, но это так не работает.
                                                              По-умолчанию всё должно быть максимально закрыто и заблочено. Разумеется, если у конкретной конторы есть реальная рабочая необходимость в открытом SMB-сервере на всех машинах, то ничего не поделаешь. Но это, повторюсь, должна быть, во-первых, необходимость, а во-вторых — рабочая.

                                                              Ну и да, «SMB» — это настолько дырявое говно, что его просто страшно запускать. В нём чуть ли не каждый год очередную 10/10 CVE находят.
                                                              Ответить
                                                              • >Ну а почему бы тогда не поставить «Стим» на все компы, чтобы совсем заебись стало?

                                                                Во многих конторах человек локальный админ у себя на компе, и пускай стим ставит.

                                                                >По-умолчанию всё должно быть максимально закрыто и заблочено.
                                                                Это правда. Но я такого никогда не видел в офисных сетях, потому и спросил "а как бы сделали"

                                                                >Ну и да, «SMB» — это настолько дырявое говно,
                                                                Даже SMB3?
                                                                Ответить
                                                                • > Даже SMB3?
                                                                  Пф-ф-ф.
                                                                  https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
                                                                  > An attacker who successfully exploited the vulnerability could gain the ability to execute code on the target server or client.
                                                                  > To exploit the vulnerability against a server, an unauthenticated attacker could send a specially crafted packet to a targeted SMBv3 server. To exploit the vulnerability against a client, an unauthenticated attacker would need to configure a malicious SMBv3 server and convince a user to connect to it.
                                                                  > Published: 03/12/2020

                                                                  Сколько решето не нумеруй — оно так решетом и останется.
                                                                  Ответить
                                                                  • да, багор знатный:) Остается надеется на то, что внутри сети всё таки хакиров нету, а наружу говно конечно никто не выставлчет
                                                                    Ответить
                                                                    • > Остается надеется на то, что внутри сети всё таки хакиров нету
                                                                      Ну да, и на то, что кто-то не запустит удачную картинку.jpeg.exe. «EternalBlue» (привет, SMB), «WannaCry» (> Параллельно с шифрованием программа проводит сканирование произвольных адресов Интернета и локальной сети для последующего заражения новых компьютеров), «Petya» (> вредоносное ПО по-прежнему будет использовать «точку опоры» на заражённом ПК, с целью распространиться в другие компьютерные системы через локальную сеть), тысячи их.
                                                                      Ответить
                                                                      • Обычно самые ценные данные лежат всё таки на шаре 1С, а доступ туда есть скорее всего (потому что 1С локален). И вирус всё равно туда придет, и зашифрует всё нахрен.

                                                                        С другой стороны, 1С можно запускать на сервере приложений, и запускать на него питухов по RDP с тонких клиентов вообще без входа в домен. Правда, доступ в Интернет придется закрыть, иначе они Петю все равно скачают.

                                                                        Пиздец.
                                                                        Вы только что объяснили мне, что половина MS технологий нахуй не нужна, например)
                                                                        Ответить
                                                                        • > И вирус всё равно туда придет, и зашифрует всё нахрен.
                                                                          Ну да, есть такое. В случае с Бормандовской методой зашифрованы окажутся комп лоха нерадивого сотрудника и шара, а в случае с открытым везде «SMB» лежать будет вся маршрутка локалка, включая комп Большого Босса :-).

                                                                          > Вы только что объяснили мне, что половина MS технологий нахуй не нужна, например)
                                                                          Она была бы нужна, если бы «MS» выкинула нахуй весь код «SMB» и написала его с нуля, по современным и безопасным мето́дам (на пuтухе).
                                                                          Ну потому что неавторизованное RCE одним пакетом в 2020-м году, в современном приложении — это ж пиздец хтонический.
                                                                          Ответить
                                                                          • Ну вот есть мнение, что комп Босса ты восстановишь без бекапа (у него только пароль от вк в браузере), а базу 1С за сегодня нет (придется откатываться на вчера). То-есть если уж куда и запрещать доступ по SMB, так это на файлопомойку.

                                                                            С ноля MS переписивать не будет: проще сделать вебговно в облаке с доступом по https. По https, вроде как, Петя не ходит.

                                                                            >на пuтухе
                                                                            На тайпскрипте, следуя модным тенденциям.

                                                                            А как дела у юниксов с NFS? Оно ведь тоже для этого. Питухи там домашнюю папку хранят ради одинаковых настроек на всех серверах
                                                                            Ответить
                                                                            • Ну базу 1С всё равно придётся восстанавливать, просто во втором случае в добавок к ней придётся пердолиться вообще со всеми рабочими компами («а куда пропал Новый Документ (14).rtf?!», повторить 100 раз). А вот если бэкапы тоже заливались по «SMB»…

                                                                              > С ноля MS переписивать не будет: проще сделать вебговно в облаке с доступом по https. По https, вроде как, Петя не ходит.
                                                                              Ну тоже вореант, кстати. Всяческих облакоподобных решений сейчас как грязи развелось. Правда, насколько они enterprise-ready — хуй знает.

                                                                              > На тайпскрипте, следуя модным тенденциям.
                                                                              Подтверждаю. Какой багор )))

                                                                              > А как дела у юниксов с NFS?
                                                                              Совсем не в теме, извини.
                                                                              Ответить
                                                                              • Родилась мысль: почему MSу не заменить SMB на HTTPS+WebDav?
                                                                                Пусть каждый комп при входе в домен получает подписанный контроллером сертификат.
                                                                                Правда нужно как-то Kerberos поверх него пустить.

                                                                                Я хз правда есть ли там возможность seekнуться в нужный кусок файла. Если есть, то звучит куда лучше SMB.
                                                                                И с браузера и с iPhone проще ходить
                                                                                Ответить
                                                                                • Вебдав - говнище тормозное.

                                                                                  Насколько помню, там виндовый клиент тупо весь файл выкачивает себе в кеш и потом ты с ним работаешь.

                                                                                  А вообще - они же вандрайв сейчас продвигают. Видимо хотят шары закопать и тупо хранить все данные у себя.
                                                                                  Ответить
                                                                                  • >по весь файл выкачивает себе в кеш и потом ты с ним работаешь
                                                                                    то-есть RANGE не осилилил? Тогда багор, конечно
                                                                                    А кажется, что могли бы, не?
                                                                                    Ответить
                                                                                    • Ну там вроде жопа в том, что это не виртуальная фс, а просто костыль для проводника.

                                                                                      Может быть и можно нормальную реализацию запилить, но они теперь в вандрайв вложились. Смысла уже никакого вебдав допиливать.
                                                                                      Ответить
                                                                                      • >Ну там вроде жопа в том, что это не виртуальная фс,

                                                                                        Может и слава богу, иначе пришлось бы делать редиректор и поддерживать это в kernel space же.
                                                                                        Хочешь HTTP/WebDAV клиент в kernel space?

                                                                                        Кажется, юзерспейс FS а-ля фьюз давеча завезли, то раньше вроде не было
                                                                                        Ответить
                                                                        • Поставь уже восьмую одинэску, там вроде шара не требуется.
                                                                          Ответить
                                                                          • ты же не думаешь, что у меня есть 1Ска?
                                                                            А как там? MS-SQL? Шары не нужны?

                                                                            Тогда зачем вообще шары в 2020?
                                                                            Документы хранить?
                                                                            Ответить
                                                                            • > Тогда зачем вообще шары в 2020?
                                                                              Музыку передавать.
                                                                              Ответить
                                                                              • Ну групповые политики вроде по шаре качаются, но это с сервера
                                                                                Ответить
                                                                            • Да, там какой-то SQL сервак был. То ли мс то ли постгрес вообще. Видимо надоело им фокспро-на-шаре.

                                                                              > зачем вообще шары

                                                                              А х.з. Ну одну на серваке то удобно держать. И права настроить можно и интеграция с доменом хорошая.

                                                                              А зачем они на клиентских тачках - хер бы знал, для домашней локалки где нет хорошего роутера или наса, наверное.
                                                                              Ответить
                                                                              • И вот я скачиваю Petya.exe и ёбаю к хуям контроллер домена, не?
                                                                                Ответить
                                                                                • Да 🙁

                                                                                  Ответ от мс, как в далёкие годы: всё ок, просто не скачивайте petya.exe
                                                                                  Ответить
                                                                                  • ну вот на этом фоне потеря кома не звучит как самое стращное, когда вся сеть ляжет.**

                                                                                    В политике можно запретить скачку .exe, и антивирь все поставить

                                                                                    **особенно, если у горя-админа один контроллер -- так бывает внезапно
                                                                                    Ответить
                                                                                    • Ну то что помойка и контроллер на одном компе - это уже странно. Видимо бюджета админу совсем не дали. Даже на виртуалку.
                                                                                      Ответить
                                                                                      • я не о помойке, я о шаре с групповыми политиками.
                                                                                        Они же на контроллее в шаре

                                                                                        SYSVOL. Знаешь таку хунйю?
                                                                                        Ответить
                                                                                        • Т.е. хочешь домен - садись на смб?

                                                                                          Какая архитектура )))
                                                                                          Ответить
                                                                                          • Хочшеь групповые политики -- да, садись.
                                                                                            Без нее керберос может и заведется, но груповухи и скрипты загрузочные это же тоже важно.

                                                                                            Написино

                                                                                            The default location is %SYSTEMROOT%\SYSVOL\sysvol for the shared folder, although you can change that during the DC promotion process or anytime thereafter. SYSVOL is made up of Folders. The folders are used to store:

                                                                                            Group Policy templates (GPTs), which are replicated via SYSVOL replication. The Group Policy container (GPC) is replicated via Active Directory replication. (то-есть может только на другите контроллеры так репилкация идет)_

                                                                                            Scripts, such as startup scripts that are referenced in a GPO.
                                                                                            Ответить
                                                                                          • зы: еще бывают roaming profiles, они тоже по SMB
                                                                                            Ответить
                                                                                            • > roaming profiles

                                                                                              А эту хрень я так и не научился настраивать. Оно или гигабайты тянет и тупит на входе или нихуя не тянет и пользы вообще никакой.
                                                                                              Ответить
                                                                                              • Там вроде есть два стула: либо он их копирует локально (и тянет гигабайты) либо он реально ходит в профиль по сети (надо прикрутить как сетевой диск сначала).

                                                                                                Во-втором случае скачка гигабайта приятно растянута во времени
                                                                                                Ответить
                                                                                    • > В политике можно запретить скачку .exe, и антивирь все поставить
                                                                                      Я за «SRP» и «AppLocker». Запретить и не пущщать!

                                                                                      …Правда, для грамотной настройки этого ебаться придётся столько, что легче будет пойти и утопиться. Там целая IT-рота админов нужна будет.
                                                                                      Ответить
                                                                                      • Ну кстати я родителям включил политику про запрет запуска скачанных экзешников. Пять лет полёт нормальный. Ни вирей ни рекламного говна. Браузера им хватает.
                                                                                        Ответить
                                                                                        • Ну, полноценно настроенный «SRP» — это когда запуск экзешников/скриптов и загрузка DLL разрешена только из анально огороженных read-only (для текущего юзера) папок. Для этого надо с практически каждой установленной программой ебаться отдельно, потому что долбоёбы обязательно хотят насрать в папку установки или выполнить какое-то говно из %TEMP%. Я некоторое время на домашнем компе такое держал, потом заебался в край и забил.
                                                                                          Ответить
                                                                                          • Ну это всегда трейдофф.

                                                                                            Людям дают локальных админов на компах ровно за тем, чтобы очередную аську питух сам себе мог поставить, не трогая аникея.**

                                                                                            И ваша идея закрыть SMB тоже может повысить кол-во ебли (как минимум нужно групповой настраивать файр).

                                                                                            Вопрос в том, сколько ебли вы готовы заплатить.

                                                                                            **умные проги правда умеют в домашнюю папку LOCALAPPDATA уже
                                                                                            Ответить
                                                                                            • > Ну это всегда трейдофф.
                                                                                              Подтверждаю.

                                                                                              > **умные проги правда умеют в домашнюю папку LOCALAPPDATA уже
                                                                                              А некоторое слишком умное говно туда ставится, лол.
                                                                                              Ответить
                                                                                              • А что плохого в установке в LOCALAPPDATA?
                                                                                                Ответить
                                                                                                • То, что туда текущий пользователь может писать что угодно.

                                                                                                  >>> полноценно настроенный «SRP» — это когда запуск экзешников/скриптов и загрузка DLL разрешена только из анально огороженных read-only (для текущего юзера) папок
                                                                                                  Ответить
                                                                                                  • Если в терминах SRP, то да, говно.

                                                                                                    Но если сравнивать просто две программы, одна которая умеет только с c:\program files, а другая в LOCALAPPDATA, то я за вторую.

                                                                                                    Тогда можно хотя-бы админа локального питуху не давать
                                                                                                    Ответить
                                                                                                    • Если уж на то пошло, то я за программу, которая вообще никуда не ставится. Распаковал из архива куда тебе удобнее — и пользуйся.
                                                                                                      Ответить
                                                                                                      • не, ну надо насрать же в рабочий стол, зарегистрировать CLASS (расширение, ком, итд), в меню насрать, в шедулед такск обновления поставить, в PATH попасть...
                                                                                                        Ответить
                                                                                                        • И автозапуск, обязательно автозапуск!
                                                                                                          И в таскбар насрать.

                                                                                                          И пункт «Не отметьте галочку, если вы не согласны с неустановкой инновационного антивируса McAffee (1 мес. беслпатно!)».
                                                                                                          Ответить
                                                                                                          • Я поставить тебе яндекс браузер, и сделать его дефолтным
                                                                                                            Ответить
                                                                                                          • P. S. https://govnokod.ru/14237#comment210096
                                                                                                            >>>
                                                                                                            Можно галочку дублировать, располагать каждый раз в случайном месте или
                                                                                                            предлагать пользователю (не)сложный ребус.
                                                                                                            
                                                                                                            ☑ Я согласен, что эта прога может поиметь мой комп.
                                                                                                            ☑ Я не согласен, что эта прога может поиметь мой комп.
                                                                                                            ☑ Я согласен, что эта прога может поиметь мой комп, но не надо её устанавливать.
                                                                                                            ☑ Я знаю, что эта прога может поиметь мой комп, и хочу её установить.
                                                                                                            ☑ Я знаю, что эта прога может поиметь мой комп, и хочу её не установить.
                                                                                                            ☑ Я знаю, что эта прога может поиметь мой комп, и категорически против завершения процесса её неустановки.
                                                                                                            Ответить
                                                                                                            • Если из того, что я хочу установить эту программу следует то, что её нужно установить, то устанавливать её не следует
                                                                                                              Ответить
                                                                                    • Пиздец, да.

                                                                                      В виндовых политиках можно так анально огородить пользователя, что он сможет поставить себе ровно те три приложения, которые ему разрешит админ Валера.

                                                                                      Только спрашивается, а нахуя тогда целая винда?
                                                                                      Ответить
                                                                                      • А нафига вообще винда?
                                                                                        Может и правда проще поставить линукс с хромимумом.
                                                                                        Вебприложения везде одинаково работают
                                                                                        Ответить
                                                                                        • У меня был случай, когда у заказчика вся контора сидела на винде + говнобуках hp, там реально всё от и до было от майков. И тут мы такие двое пацанов, я и мой коллега, на маках.

                                                                                          Выдали нам всё равно по виндовому ноуту, потому что только с винды можно было без ебли подключаться к почте, SfB и прочей хуете. Но больше я этот ноут ни для чего не юзал в принципе. То есть у меня была полноценная машина чисто почту проверить, ёпт.

                                                                                          Ещё там был очень ограниченный список софта, который можно было поставить. Но зато девелоперам разрешалось иметь папку типа C:\Work, в которой можно было невозбранно запускать любые бинари.

                                                                                          Хромимум в любом случае вряд ли бы взлетел, но планшета с какой-нибудь WinRT хватило бы за глаза. Впрочем, хороший виндовый планшет стоит примерно столько же, наверное, сколько и ноут.
                                                                                          Ответить
                                                                                          • Ну виндовые планшеты они и есть ноуты обычно. Просто клава отрывается.
                                                                                            Ответить
                                                                                              • Ну да. Планшет с клавой. Как и леново и ещё куча других клонов сурфейса с интелом и вендой.
                                                                                                Ответить
                                                                                                • Ой, я хотел написать "Разве Surface это ноут?"

                                                                                                  Ну да, планшет конечно
                                                                                                  Ответить
                                                                                          • Ещё там был очень ограниченный список софта, который можно было поставить. Но зато девелоперам разрешалось иметь папку типа C:\Work, в которой можно было невозбранно запускать любые бинари.

                                                                                            Какой секурити:)))

                                                                                            Да, я тоже видел такие сети, где на шару можно только если ты домен вошел по керберусу, почта только на exchange через проприетраный прот (MAPI или как там он) и тогда конечно макам сасат.

                                                                                            В домен какими-то хаками еще можно ввести самбу, а к эксчнджжу может разве что какой-нить "антураж" покупать (и то хз если работает)
                                                                                            Ответить
                                                                                            • На почту можно было зайти через vpn и вебморду. К сетке, в которой крутились все сервисы, маки почему-то подключаться не хотели.

                                                                                              Только там сессия жила где-то час, а потом надо было заново переподключаться с бубном.
                                                                                              Ответить
                                                                                              • ого, какой багор) и что, vpn не работал с мака?:/
                                                                                                Ответить
                                                                                                • Не, VPN работал, только толку ж особого не было, надо было постоянно в почту перезаходить.
                                                                                                  Ответить
                                                                                            • > Какой секурити:)))
                                                                                              Подтверждаю. На каждую скомпилированную версию бинаря писать заявление на включение исполняемого файла в белый список, SHA-256, дата, подпись.
                                                                                              Ответить
                                                                                              • У меня на одной машине AVG так работает.
                                                                                                Жмешь в студии CTRL+F5, и ждешь, пока твой .exeшник отсканят

                                                                                                На пятый раз где-то я отключил конечно
                                                                                                Ответить
                                                              • Тю, норм, мы так когда-то скопировали с флешки сеговский Мортал на все компы в аудитории. Преподша опоздала, заходит, а у неё дюжина рыл расселись парами и шпилят.
                                                                Ответить
                                • Ну и чтоб далеко не отходить — ещё реальный пример: резольвим x64dbg.com, видим IP-адреса «Cloudflare», немножечко копаемся, прописываем в «hosts» строчку «199.247.25.17 x64dbg.com» — и вуаля, мы можем зайти напрямую на их боевой сервер.
                                  Ответить
                                  • гавно какое)) А почему так? Потому, что cloudфлр это внешний сервис, и они все равно обязаны иметь внешний ип?
                                    Ответить
                                    • Ага. Как и любой другой внешний антиддос, кстати (вроде того же «Qrator»-а). Так что при использовании таких проксирующих серверов безопасность должна состоять из двух частей: во-первых, реальный IP боевого сервера никто не должен знать, а во-вторых, доступ к веб-серверу должен быть жёстко ограничен только IP-адресами из подсетей «Cloudflare». Если забить на вторую часть, то в конце-концов реальный IP таки кто-то найдёт (если очень упорный — то перебором всего интернета), и будет бо-бо.
                                      Ответить
                                      • Понятно. Ну да, если бы я прикручивал внешний антидос, то я бы конечно ограничил доступ только с него.

                                        Разрешено должно быть только то, что необходимо. Все остальное -- запрещено.

                                        Именно потому я против
                                        Starting Nmap 7.12 ( https://nmap.org ) at 2020-07-24 11:40 MSK
                                        Nmap scan report for govnokod.xyz (87.236.16.36)
                                        Host is up (0.023s latency).
                                        rDNS record for 87.236.16.36: ssl.liberty.beget.com
                                        Not shown: 993 closed ports
                                        PORT      STATE    SERVICE
                                        21/tcp    open     ftp
                                        22/tcp    open     ssh
                                        80/tcp    open     http
                                        111/tcp   filtered rpcbind
                                        443/tcp   open     https
                                        3306/tcp  open     mysql
                                        49152/tcp filtered unknown
                                        Ответить
                                        • Это, в принципе, касается не только антиддосов, а вообще всех ситуаций, когда трафик проходит через несколько серверов, которые по какой-то причине доступны извне (выше ссылку на реальный пример с «Хабра» кидал). Очень часто админы думают, что если у них пользователи идут через контролируемый прокси, то заморачиваться какими-то другими ограничениями (файрвол, VPC, etc.) не нужно.

                                          > Разрешено должно быть только то, что необходимо. Все остальное -- запрещено.
                                          Подтверждаю.
                                          Ответить
                                          • А вот у нас в AWS (извините, что опять о своем) можно поднять VPN внутри VPC, так что если тебе нужно подключить сервис из другой сети, то все равно можно внешний IP не давать, а бросить между ними VPN.

                                            VPNы, само собой, настраиваются на подключение с конкретного IP, и аутентифициуются по ключу
                                            Ответить
                                              • ЕМНИП, да. Второй. Серьезные дяди обычно "Site-to-Site VPN" на нем делают
                                                Ответить
                                                • Меня ipsec бесит тем, что он слишком прозрачный. На глаз не так просто проверить включился ли он или весь трафик плейнтекстом летает.

                                                  В openvpn с его отдельным туннелем как-то спокойней было.
                                                  Ответить
                                                  • Так в этом же и фишка: У тебя обычная маршрутизация, но полиси заставляет операционку шифровать (или подписывать) траффик на некоторые адреса.

                                                    Однако если запустить tunnel mode, то вроде бы будет честный тоннель.
                                                    Ответить
      • > иногда нужно было куда-то ехать ногами

        Ну да. И это даёт замечательный опыт, мне одного такого факапа хватило. С виртуалками скучно, можно тупо зайти в консоль на сайте хостера да пофиксить.
        Ответить
        • А как же модем в компорт, чтоб не ездить?:)
          Ответить
        • Когда ж ма-те-ма-ти-ки из Рашки начнут учиться на чужом опыте )))
          Ответить
          • Чужой опыт учит тому что можно было бы сделать в такой ситуации. Но научить делать это всегда и заранее помогает только факап.

            З.Ы. Признайся, тебе ведь тоже было лень делать и тестить бекапы пока ты первый раз всё не проебал.
            Ответить
              • Сразу видно, что ты сразу стал программистом, в отличии от тутшней публики с их админскими заморочками
                Ответить
                • Есть реальные примеры, чего не надо уметь, чтобы стать программистом?

                  Сходу:

                  1. Не надо делать бекапы, потому что если ты делаешь бекапы, то ты админ, а не программист.

                  2. Не надо знать ма-те-ма-ти-ку, потому что иначе ты ма-те-ма-тик, а не программист.
                  Ответить
    • > Выполняешь скрипт, после «OK» нажимаешь «Ctrl+C». Если проебался и отрубил SSH — через пять секунд скрипт всё откатит к чистому листу.

      Можно просто по крону запускать раз в 5 минут некую поебень, которая пингует хуйню, если хуйня не пингуется то тогда вся хуйня с иптаблес сбрасывается.
      Ответить
      • у провайдера отвалилась сетка на 2 сек, у тебя сбросился файрвол

        хотя если дефалт разумный, то ок
        Ответить
          • Всмысле POLICY по умолчанию всегда DROP? Тогда забавно, да)

            Вообще надо так:
            * играешь с файреом. Он сбрасывается через 5 мин на дефолт
            * наигрался -- закоммитил в дефолт
            Ответить
            • > Вообще надо так:
              Ну, если уж совсем как надо, то надо сначала отладить правила на тестовом сервере (причём не локальном), а потом уже коммитить их на прод.
              Ответить
              • Если уж совсем как надо, то не надо руками ничего писать. Надо выбрать Свой Любимый Configuration As Code Tool, написать в нем все, оттестировать, и сделать apply
                Ответить
          • iptables -t raw -N NAHUI
            iptables -t raw -A NAHUI -j DROP
            iptables -t raw -N V_PIZDU
            iptables -t raw -A V_PIZDU -j REJECT
            
            iptables -t raw -A PREROUTING -s 1.2.3.4 -j NAHUI
            iptables -t raw -A PREROUTING -s 4.3.2.1 -j V_PIZDU
            Ответить
            • Почему в пизду более мягко и интеллигентно, чем нахуй?
              Ответить
              • > Почему в пизду более мягко
                Очень удивился, когда увидел такой вопрос на ГК.
                Ответить
                • Вообще говорят, что сидевшие могут за посылание нахуй посадить на перо, потому что это намек на питухание, а за пизду могут и не посадить.

                  Очевидно именно этим ты и руководствовался, когда завершал свою таблицу посылкой REJECT или молчаливым DROP соответственно
                  Ответить
                  • > посадить на перо
                    На всякий случай в «инкогнито» загуглил.
                    Ответить
                    • Тебе в бутырке не объяснили разве?
                      Ответить
                    • Иню, переименуй пожалуйста "Java" в "Йажа"
                      Ответить
  • В Москве уже сутки не заканчиваются столкновения между азербайджанцами и армянами
    Драки между этническими армянами и азербайджанцами в эти дни проходят не только в Москве, но и в Лондоне, Лос-Анджелесе и Кишинёве
    Ответить
      • Да, недавно отмечали.
        Так-то у них праздник уже век примерно, а с начала девяностых так и с новой силой
        Ответить
      • О драке между между азербайджанцами и армянами
        Ответить
        • Он просто пытается понять, не оффтоп-тред ли это и не надо ли его перекатывать.
          Ответить
          • А если это окажется не оффтоп, а defecatinho по ошибке его перекатит, что будем делать?
            Ответить
              • У нас нету Катчино, так что лови-ка Сегфолтино, Аксессвиолентино и Эксбэдаксино
                Ответить
                  • Генерал Файлюра читает ваш диск
                    Ответить
                  • Строго говоря, на x86 нас ждет Генерал Даблфайлино, или какой-то иной файлино
                    https://wiki.osdev.org/Exceptions#Double_Fault

                    Просто каждая ОС обзывает его по-своему.

                    Кстати, я не знаю, как эта хуйня называется на армах в iPhone. Борманд знает, скорее всего
                    Ответить
                    • > на армах

                      Hard Fault. По крайней мере на cortex'ах.

                      A hard fault is an exception that occurs because of an error during exception processing.
                      Ответить
                            • Bonga Makaka (born 5 April 2000) is a South African cricketer.

                              Musoni married comedian and film director Anopa Makaka, and lives in London with their two children.

                              Magovo and his associate Mapouto were in charge of foreign affairs, Makaka was the minister of war and commander of the army, Mfouka was the minister of commerce, and Makimba was the "grand master of waters and forests" as well as a number of others.

                              Watford's academy in 2015–16 consists of 17 scholars: In the second year: Jacob Cook, Andrew Eleftheriou, Michael Folivi, Nathan Gartside, Max Makaka, Brandon Mason, Ogo Obi, Charlie Rowan and Connor Stevens.
                              Ответить

Добавить комментарий для gost Отменить ответ

Помни, guest, за тобой могут следить!

    А не использовать ли нам bbcode?


    8