mgetty + qico

Victor Sudakov написал(а) к Alexey Vissarionov в Feb 17 14:13:12 по местному времени:

Dear Alexey,

19 Feb 17 12:41, you wrote to me:

[dd]

AV> Ну вот я только что ткнулся посредством ssh -vv в сервер, где у тебя
AV> работает узел, и увидел такое:

AV> debug2: KEX algorithms:
AV> curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,
AV> ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,
AV> diffie-hellman-group14-sha1

AV> debug2: host key algorithms:
AV> ssh-rsa,rsa-sha2-512,rsa-sha2-256,ssh-dss,ecdsa-sha2-nistp256,ssh-ed25
AV> 519

AV> debug2: ciphers ctos:
AV> chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,
AV> aes128-gcm@openssh.com,aes256-gcm@openssh.com,aes128-cbc,aes192-cbc,ae
AV> s256-cbc

AV> debug2: ciphers stoc:
AV> [то же самое]

AV> debug2: MACs ctos:
AV> umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@ope
AV> nssh.com, hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac
AV> -64@openssh.com, umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac
AV> -sha1

AV> debug2: MACs stoc:
AV> [то же самое]

AV> Кто как, а я здесь вижу 3 возможных вектора атаки.

А я только что ради интереса ткнулся в свежий Oracle Linux, обновления на который регулярно ставятся.
Сколько ты видишь здесь векторов атаки?


=== Cut ===
debug2: peer server KEXINIT proposal
debug2: KEX algorithms: curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie -hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
debug2: host key algorithms: ssh-rsa,ecdsa-sha2-nistp256,ssh-ed25519
debug2: ciphers ctos: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-gcm@openssh.com,aes256-gcm@openssh.com,chacha20-poly1305@openssh.co m,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: ciphers stoc: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-gcm@openssh.com,aes256-gcm@openssh.com,chacha20-poly1305@openssh.co m,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: MACs ctos: hmac-md5-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com ,hmac-sha2-512-etm@openssh.com,hmac-ripemd160-etm@openssh.com,hmac-sha1-96-etm@openssh.com,hmac-md5-96-etm@openssh.com,hmac-md5,h mac-sha1,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1 -96,hmac-md5-96
debug2: MACs stoc: hmac-md5-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com ,hmac-sha2-512-etm@openssh.com,hmac-ripemd160-etm@openssh.com,hmac-sha1-96-etm@openssh.com,hmac-md5-96-etm@openssh.com,hmac-md5,h mac-sha1,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1 -96,hmac-md5-96
=== Cut ===


Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322

Alexey Vissarionov написал(а) к Victor Sudakov в Feb 17 11:46:46 по местному времени:

Доброго времени суток, Victor!
21 Feb 2017 14:13:12, ты -> мне:

AV>> Ну вот я только что ткнулся посредством ssh -vv в сервер, где у
AV>> тебя работает узел, и увидел такое:
AV>> debug2: [...]
AV>> Кто как, а я здесь вижу 3 возможных вектора атаки.
VS> А я только что ради интереса ткнулся в свежий Oracle Linux,
VS> обновления на который регулярно ставятся. Сколько ты видишь здесь
VS> векторов атаки?

Не припоминаю, чтобы ты нанимал меня для проведения аудита.
Даже на всякий случай проверил счет в банке - поступлений не было.


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... # losetup -e blowfish -k 256 -Н sha512 /dev/loop0 /dev/md0
--- /bin/vi

Victor Sudakov написал(а) к Alexey Vissarionov в Feb 17 16:38:14 по местному времени:

Dear Alexey,

21 Feb 17 11:46, you wrote to me:

AV>>> Ну вот я только что ткнулся посредством ssh -vv в сервер, где у
AV>>> тебя работает узел, и увидел такое:
AV>>> debug2: [...]
AV>>> Кто как, а я здесь вижу 3 возможных вектора атаки.
VS>> А я только что ради интереса ткнулся в свежий Oracle Linux,
VS>> обновления на который регулярно ставятся. Сколько ты видишь здесь
VS>> векторов атаки?

AV> Не припоминаю, чтобы ты нанимал меня для проведения аудита.

Рано ты слился. Я надеялся, ты как-то попробуешь объяснить отсутствие отличий в sshd в любимом тобой линухе и нелюбимой тобой бсде. А ты не нашел ничего умнее, чем нахамить.

Лучше бы уж промолчал, если нечего ответить по существу, как ты неоднократно делал в R50.SYSOP и RU.ANDROID.

AV> Даже на всякий случай проверил счет в банке - поступлений не было.

С таким подходом к делу можешь не трудиться проверять счет: никаких поступлений там не будет никогда.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322

Alexey Vissarionov написал(а) к Victor Sudakov в Feb 17 14:14:14 по местному времени:

Доброго времени суток, Victor!
21 Feb 2017 16:38:14, ты -> мне:

AV>>>> Ну вот я только что ткнулся посредством ssh -vv в сервер, где у
AV>>>> тебя работает узел, и увидел такое:
AV>>>> debug2: [...]
AV>>>> Кто как, а я здесь вижу 3 возможных вектора атаки.
VS>>> А я только что ради интереса ткнулся в свежий Oracle Linux,
VS>>> обновления на который регулярно ставятся. Сколько ты видишь здесь
VS>>> векторов атаки?
AV>> Не припоминаю, чтобы ты нанимал меня для проведения аудита.
VS> Рано ты слился. Я надеялся, ты как-то попробуешь объяснить отсутствие
VS> отличий в sshd в любимом тобой линухе и нелюбимой тобой бсде.

Кто тебе сказал, что их нет? Есть, причем не в пользу ораклинукса (что характерно, его голой жопой в интернет обычно все же не выставляют).

Ты бы еще предложил на дебилиан посмотреть...

VS> А ты не нашел ничего умнее, чем нахамить.

Если бы я посчитал нужным нахамить - ты бы это ни с чем не перепутал.

VS> Лучше бы уж промолчал, если нечего ответить по существу, как ты
VS> неоднократно делал в R50.SYSOP и RU.ANDROID.

А ты не думал, что причина отсутствия моих ответов может быть другой?
Например, банальное нежелание тратить время на дураков.

AV>> Даже на всякий случай проверил счет в банке - поступлений не было.
VS> С таким подходом к делу можешь не трудиться проверять счет: никаких
VS> поступлений там не будет никогда.

О! А можешь еще что-нибудь в том же духе попробовать накрякать?
У тебя хорошо получилось: полчаса назад приехал перевод от клиента :-)


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Не обижайся, если тебя назвали дураком - обижайся, если угадали
--- /bin/vi

Sergey Zabolotny написал(а) к Alexey Vissarionov в Feb 17 15:14:06 по местному времени:

Нello Alexey.

Tuesday 21 February 2017 14:14, Alexey Vissarionov wrote to Victor Sudakov:

AV>>>>> Ну вот я только что ткнулся посредством ssh -vv в сервер, где
AV>>>>> у тебя работает узел, и увидел такое:
AV>>>>> debug2: [...]
AV>>>>> Кто как, а я здесь вижу 3 возможных вектора атаки.
VS>>>> А я только что ради интереса ткнулся в свежий Oracle Linux,
VS>>>> обновления на который регулярно ставятся. Сколько ты видишь
VS>>>> здесь векторов атаки?
AV>>> Не припоминаю, чтобы ты нанимал меня для проведения аудита.
VS>> Рано ты слился. Я надеялся, ты как-то попробуешь объяснить
VS>> отсутствие отличий в sshd в любимом тобой линухе и нелюбимой
VS>> тобой бсде.

AV> Кто тебе сказал, что их нет? Есть, причем не в пользу ораклинукса (что
AV> характерно, его голой жопой в интернет обычно все же не выставляют).

AV> Ты бы еще предложил на дебилиан посмотреть...
не надо ни на что смотреть. надо сразу езернет вытаскивать, питание вытаскивать и железяку на полку. так точно никаких векторов атак не будет.

--- GoldED+ 1.1.5-031023 (WinNT 5.1.2600-ServicePack3 i1586)

Victor Sudakov написал(а) к Sergey Zabolotny в Feb 17 21:27:58 по местному времени:

Dear Sergey,

21 Feb 17 15:14, you wrote to Alexey Vissarionov:

[dd]

AV>> Ты бы еще предложил на дебилиан посмотреть...
SZ> не надо ни на что смотреть. надо сразу езернет вытаскивать,

Да.

SZ> питание
SZ> вытаскивать и железяку на полку. так точно никаких векторов атак не
SZ> будет.

Зачем же так сурово? Подключаем модем, данные передаем по UUCP или FTN (вот и антиоффтопик получился), получаем практически неуязвимую систему.

У кого-то из корневых центров сертификации было так сделано: к машине, на которой находится секретный ключ для подписания сертификатов, доступ только через COM-порт, никаких Ethernet-ов.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322

Victor Sudakov написал(а) к Alexey Vissarionov в Feb 17 13:30:58 по местному времени:

Dear Alexey,

21 Feb 17 14:14, you wrote to me:

AV>>>>> Ну вот я только что ткнулся посредством ssh -vv в сервер, где
AV>>>>> у тебя работает узел, и увидел такое:
AV>>>>> debug2: [...]
AV>>>>> Кто как, а я здесь вижу 3 возможных вектора атаки.
VS>>>> А я только что ради интереса ткнулся в свежий Oracle Linux,
VS>>>> обновления на который регулярно ставятся. Сколько ты видишь
VS>>>> здесь векторов атаки?
AV>>> Не припоминаю, чтобы ты нанимал меня для проведения аудита.
VS>> Рано ты слился. Я надеялся, ты как-то попробуешь объяснить
VS>> отсутствие отличий в sshd в любимом тобой линухе и нелюбимой
VS>> тобой бсде.

AV> Кто тебе сказал, что их нет? Есть, причем не в пользу ораклинукса (что
AV> характерно, его голой жопой в интернет обычно все же не выставляют).

AV> Ты бы еще предложил на дебилиан посмотреть...

Уже и дебиан нехорош? А какая же OS, по-твоему, имеет безопасные настройки sshd из коробки?

[dd]

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322

Yury Roschupkin написал(а) к Victor Sudakov в Feb 17 16:05:52 по местному времени:

Нi!

24 фев 17 13:30, Victor Sudakov -> Alexey Vissarionov


AV>> Кто тебе сказал, что их нет? Есть, причем не в пользу ораклинукса
AV>> (что характерно, его голой жопой в интернет обычно все же не
AV>> выставляют).
AV>> Ты бы еще предложил на дебилиан посмотреть...

VS> Уже и дебиан нехорош? А какая же OS, по-твоему, имеет безопасные
VS> настройки sshd из коробки?

Еще и в этой эхе не было холивара rpm vs deb ? ;)


-+-
WBR, YuR
--- -

Victor Sudakov написал(а) к Yury Roschupkin в Feb 17 23:24:34 по местному времени:

Dear Yury,

24 Feb 17 16:05, you wrote to me:


AV>>> Кто тебе сказал, что их нет? Есть, причем не в пользу
AV>>> ораклинукса (что характерно, его голой жопой в интернет обычно
AV>>> все же не выставляют). Ты бы еще предложил на дебилиан
AV>>> посмотреть...

VS>> Уже и дебиан нехорош? А какая же OS, по-твоему, имеет безопасные
VS>> настройки sshd из коробки?

YR> Еще и в этой эхе не было холивара rpm vs deb ? ;)

Началось-то с холивара против бсд, за которую я вступился. Это потом уже начали выясняться интересные подробности про кошерные и некошерные линуксы.

Оракл линукс AFAIK - это таки rpm. Но оказывается небезопасен "как бсд".


Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322