GAONENG - jak wtopiłem 120 zł

[aikus]

Uhm...
... czyli wziąłeś do siebie i potraktowałeś jako przytyk.
Wbrew temu co prosiłem...
Echhh...

No ale dobra - po kolei.

Właśnie przy takiej okazji, jedna z takich maszynek została porzucona (dev nawet tam się nie zalogował) i przejęta.

No własnie.
I to całkowicie zmienia postać rzeczy. A teraz przeczytaj jak o tym napisałeś poprzednim razem.

Był tam totalnie goły system, więc przejęcie czegoś takiego świadczy o tym, że to zupełnie inne półka jakości to łubuntu ;-)
To chyba jedyne distro, które miało wersję która pozwalała każdemu userowi na stanie się rootem po wbiciu 3 komend po ssh.

Która? Który kernel?
jakich komend?
Bo generalnie nie wierzę w to co mówisz.
Każdy kernel posiada dziury przez które można stać się rootem, ale trzy komendy to ciutek za mało.
Na warsztatach robiliśmy to na pięciu różnych wersjach kernela.
Z dwunastoosobowej grupy udało się to tylko trzem osobom, mimo, że na każdej z pięciu wersji kernela wykładowca dokładnie powiedział nam jak to zrobić.
To po prostu NIE JEST proste.

Trzy komendy?
heh...
Sorry, kłamstwo.


Nooo.... chyba, że jedną z tych komend będzie wywołanie gotowego rootkita.
:>
Ale wtedy wystarczy... jedna komenda.

To, że wydaje się Tobie, że nigdy serwer nie został przejęty, niekoniecznie musi być prawdą ;-)

Aaah... no tak tak tak, dobrze, OK.
Oczywiście masz rację.

Tak na marginesie, masz gdziekolwiek tam procek intela, w każdej chwili może zostać przejęta jakakolwiek maszyna.Wbrew marketingowemu bełkotowi Intela praktycznie wszystkie procki Intela mają krytyczne/nienaprawialne luki w bezpieczeństwie. Zapewnienia, że panują nad problemem to kit. Prawie każdy serwer można przejąć jeśli zainteresuje się nim ktoś poważniejszy.

Tak, oczywiście.
Tylko trochę nie o tego kalibru "przejęciach" rozmawialiśmy.

Trochę kozaczysz jak producenci zabezpieczeń w samochodach, więcej pokory Ja nie jestem w stanie zabezpieczyć żadnego serwera na takim poziomie, że mógłbym zagwarantować, że nie da się na niego włamać.

Uhm.... tak jak mówiłem... Poczułeś się urażony i wziąłeś do siebie...
"No bo jak on śmiał??! Mnie takiemu dzielnemu i doświadczonemu adminowi powiedzieć, że źle serwer postawiłem i to dlatego mi się do niego włamali! No ja mu zaraz...."


A wiesz co?
A ja jestem pewny swojej roboty.
I wczoraj postawiłem serwer do którego nikt mi się nie włamie.
Chcesz - to próbuj.
Czas start.
Możesz też zlecić robotę Chińczykom albo Rosjanom - nie robi to na mnie żadnego wrażenia.
Bo jestem PEWNY, że nikt się tam nie dostanie.
Że stoi - musisz niestety uwierzyć na słowo.
Jest odłączony od sieci, więc ...

Mogę to tylko utrudnić w większym lub mniejszym stopniu, tak jak zamek może tylko utrudnić włamanie.
99% włamań/przejęć/wycieków danych to luki w hostowanych aplikacjach. Podniecanie się zabezpieczeniem serwera najczęściej nie ma żadnego sensu. Po jaką cholerę wywalać pancerne drzwi, kiedy można wejść szeroko otwartym oknem.
Zabezpieczam serwer na poziomie wymaganym przez klienta, na takim za jaki płaci i tyle.
Serwer zabezpieczysz dziś, jeśli distro i repo jest słabo utrzymywane to co z tego, że teraz jest trochę bezpieczniejszy, jutro już nie będzie. O tysiącach luk "zero day" nawet nie wiesz. Wyciekają tylko raz na jakiś czas paczkami.

Dokładnie tak jest.
Oczywiście masz racje, tylko co z tego?
Ta dyskusja nie ma najmniejszego sensu odkąd manipulujesz jej nurtem..

No już jest na to ciśnienie, stąd wyższe ceny takich bajerów. Teraz więcej wymienia się takiego sprzętu, ale starego nikt nie wyrzuca, sprzedaje się go lub zostawia jako zapasowy.
Tutaj problem się będzie przez to pogłębiał. Stare trupy zwykle nie były wpięte w sieć, nowsze trupy jak najbardziej, bo trzeba fotki DICOM przesłać.

Nie ma przypadku w tym, że korporacyjne dystrybucje unikają, nowych, rewolucyjnych technologii i najnowszego, przełomowego oprogramowania. Wolą odczekać aż inni się na tym przejadą i zostanie wydanych 5k łatek bezpieczeństwa.
Prawie wszystkie ataki w sieci to skrypty automatyczne nastawione na popularny, w miarę aktualny soft.

Dokładnie tak!
Bo na tym można "zarobić" (w cudzysłowie, bo haracze, wymuszenia, albo "dobrowolne" opłaty za ochronę, której jeśli Ci nie zapewnie - moi ludzie z tego skorzystają, ... trochę trudno nazwać zarobkiem, a te ataki to nic innego, tylko, że w świecie wirtualnym).

O dziwo takie prehistoryczne trupy są pod tym względem prawie nietykalne, po prostu już nic tego nie atakuje.

Wcale nie o dziwo.
To zupełnie naturalne.
Nikt tego nie atakuje, bo tam nie ma co kraść.
Chyba, że...

Gorzej jak po drugiej stronie usiądzie człowiek, ale to sporadyczne przypadki.

Otóż to.
Sporadyczne, ale nie mniej groźne.
Bo wystarczy, że złoczyńca się czegoś dowie. Choćby usłyszy na korytarzu.
Sposób na włamanie się znajdzie, choćby miał fizycznie zabrać maszynę do domu.
Musi tylko być warto.

[gcze]

Walec z ubuntu to było lata temu, z tego co pamiętam to było coś związanego z motd, możliwe, że był to exploit.
Znalazłem ten sposób wtedy w sieci, wbiłem kilka komend i zadziałało. Zresztą nie ma co wnikać, w Ubuntu zwalone jest czegokolwiek się tam nie dotknie, dziurawe pakiety, bezsensowne dodatki, zwalone uprawnienia itp.
Szkoda czasu dla tego czegoś, łatwiej byłoby zrobić własnego linuxa from scratch niż poprawić Ubuntu.

A ja jestem pewny swojej roboty.
I wczoraj postawiłem serwer do którego nikt mi się nie włamie.
Chcesz - to próbuj.
Czas start.
Możesz też zlecić robotę Chińczykom albo Rosjanom - nie robi to na mnie żadnego wrażenia.
Bo jestem PEWNY, że nikt się tam nie dostanie.
Że stoi - musisz niestety uwierzyć na słowo.
Jest odłączony od sieci, więc ....

To ja mam lepszy, jedyny bezpieczny.. wyłączony, też nie powiem gdzie ;-)

[SeKLeS]

Pany, może jednak wrócimy do tematu lipo? Co mi tam Wasze ubuntu sruntu...

Wysłane z mojego SM-A510F przy użyciu Tapatalka

[aikus]

Znalazłem ten sposób wtedy w sieci, wbiłem kilka komend i zadziałało. Zresztą nie ma co wnikać, w Ubuntu zwalone jest czegokolwiek się tam nie dotknie, dziurawe pakiety, bezsensowne dodatki, zwalone uprawnienia itp.
Szkoda czasu dla tego czegoś, łatwiej byłoby zrobić własnego linuxa from scratch niż poprawić Ubuntu.

Ja bym go aż tak całkiem nie skreślał - nie ma dystrybucji idealnej.
Dawno nie używałem, więc nie wiem, ale kiedyś bardzo go lubiłem, a sądzę, że i nie bez powodu na distrowatch ciągle wysoko sie trzyma.
Natomiast odkąd firma mnie zacertyfikowała, chcąc nie chcąc używam tylko dystrybucji RedHacianych.
Ostatnio na Ubuntu sieci nie umiałem skonfigurować
Oczywiście sobie przypomniałem, ale ...
... no ale tak jak kiedyś w Ubuntu tak teraz w RH jak jestem to się czuje jak w domu. Wszystko inne to jakieś pedalskie dziadostwo ;D

Szkoda czasu dla tego czegoś, łatwiej byłoby zrobić własnego linuxa from scratch niż poprawić Ubuntu.

E no to przecież żaden problem. Jest taka dystrybucja jak ... gentoo
Przynajmniej kiedyś było i to jest nic innego jak właśnie własny kochany linux from scratch.
Wszystko własnoręcznie skompilowane ze źródełek.
Postawiłem kilka takich... Jeden nawet długie lata chodził jako ... taki podręczny serwerek pocztowy... potem się do niego przykleiła funkcjonalność serwera WWW, potem coś jeszcze i coś jeszcze, aż pewnego razu stał sie jakoś tak niepostrzeżenie kluczowym serwerem dla działania firmy.
Olany blaszak, bez backupu, bez żadnej fault tolerancji... z jednym dyskiem twardym, który w dodatku... pewnie nie długo padnie.
...
Trzeba by mu chociaż RAIDa zrobić...
No to robimy.
I po reboocie nie wstał.
Uncorrectable na dysku :D:D

No i się zaczęło odzyskiwanie...
Na szczęście, nie wiem jakim cudem poleciał /dev, troche binarek systemowych i logi qmaila.
Reszta się chyba w całości odczytała.

Pany, może jednak wrócimy do tematu lipo? Co mi tam Wasze ubuntu sruntu...

Oj weź przestań... ile można o pakietach gadać... pakiet jaki jest każdy widzi...
Każdy się prędzej czy później popsuje, spuchnie, zwarcia dostanie, albo zakończy żywot w krecie... o czym tu gadać...

[wojtekr]

Znalazłem ten sposób wtedy w sieci, wbiłem kilka komend i zadziałało. Zresztą nie ma co wnikać, w Ubuntu zwalone jest czegokolwiek się tam nie dotknie, dziurawe pakiety, bezsensowne dodatki, zwalone uprawnienia itp.
Szkoda czasu dla tego czegoś, łatwiej byłoby zrobić własnego linuxa from scratch niż poprawić Ubuntu.

Pany, może jednak wrócimy do tematu lipo? Co mi tam Wasze ubuntu sruntu...

Oj weź przestań... ile można o pakietach gadać... pakiet jaki jest każdy widzi...
Każdy się prędzej czy później popsuje, spuchnie, zwarcia dostanie, albo zakończy żywot w krecie... o czym tu gadać...

Przecież pisze o pakietach

[SeKLeS]

Dziurawy, czy lipny pakiet to nadal nie pakiet LIPO hy hy

Wysłane z mojego SM-A510F przy użyciu Tapatalka

[aikus]

Alez sie rozmarzylem o tym gentoo... chyba se jutro postawie.
Jak sie popatrzy na plyte glowna na ktorej dziala takie Gentoo, to jakby czlowiek sam recznie te wszystkie mikroceweczki nawijal.
A muzyka jak z tego brzmi...
Sama reczna kompilacja kernela powoduje ze zwykly wzmacniacz klasy D nabiera lampowego brzmienia.
Na Gentoo, wszystkie zwykle mptrojki grają jak winyle.
Windows?!
Z tego sie sluchać muzyki nie da.
Az uszy wiedną.
Sama chemia!

[Ramotny]

A My jak głupi byliśmy 10 lat temu tak jesteśmy teraz i zawsze i na wieki wieków amen będziemy się na ten chłyt martekingowy łapać.

A masz jakąś metodę poza sprawdzeniem w boju czy produkt nadal trzyma pierwotne (czyt: marketingowe) parametry? Chyba nie... Musimy polegać na wymianie informacji między sobą i ciągłym poszukiwaniu nowych źródeł/produktów.
To samo dotyczy SLSów i Gensów - jak tylko spadnie ich jakość (co wcześniej było delikatnie sygnalizowane) podniesie się rwetes i trzeba będzie szukać nowych innych...

[aikus]

A masz jakąś metodę poza sprawdzeniem w boju czy produkt nadal trzyma pierwotne (czyt: marketingowe) parametry?

Moim zdaniem z powodzeniem możemy kupować zawsze tylko pierwszą serię nowości która akurat się pojawiła i robi szał na rynku.
KOlejne partje... - nie wiem, jakaś zrzuta na testy, albo coś takiego.
A potem dopiero ewentualne zakupy.
Kupowanie z nadzieją, że będą takie same jak pierwsze i potem wielkie rozczarowania przy tylokrotnie powtarzanym schemacie są żałosne i uwłaczają naszej inteligencji.

Chyba nie... Musimy polegać na wymianie informacji między sobą i ciągłym poszukiwaniu nowych źródeł/produktów.
To samo dotyczy SLSów i Gensów - jak tylko spadnie ich jakość (co wcześniej było delikatnie sygnalizowane) podniesie się rwetes i trzeba będzie szukać nowych innych...

Gensy jak dla mnie są już skreślone.
SLSy to pierwszy w historii wyjątek. Miały jakieś wachnięcie, gorszy okres, ale właśnie zrobił się szum i się szybciutko poprawiły.

[gcze]

Ja bym go aż tak całkiem nie skreślał - nie ma dystrybucji idealnej.
Dawno nie używałem, więc nie wiem, ale kiedyś bardzo go lubiłem, a sądzę, że i nie bez powodu na distrowatch ciągle wysoko sie trzyma.
Natomiast odkąd firma mnie zacertyfikowała, chcąc nie chcąc używam tylko dystrybucji RedHacianych.
Ostatnio na Ubuntu sieci nie umiałem skonfigurować
Oczywiście sobie przypomniałem, ale ...
... no ale tak jak kiedyś w Ubuntu tak teraz w RH jak jestem to się czuje jak w domu. Wszystko inne to jakieś pedalskie dziadostwo ;D

Cały czas piszę o wersji serwerowej, na desktopy jest to jedna z przyjemniejszych dystrybucji. Na dzień dobry wiele pakietów w repo, łatwa instalacja wielu bajerów.
Na jednym laptopie cały czas mam xubuntu, bez problemu zaktualizował się do najnowszej wersji z 12.
No, a na serwerach wkurza mne w nim wszystko czego się nie dotknę Nawet takie drobiazgi, że po instalacji jest domyślnie alias rm do rm -rf .. na serwerze, serio?
Kiedyś się nabijałem, że Ubuntu to tłumaczenie z języka Zulu : "Nie potrafię zainstalować Debiana"
Ogólnie nie lubię pracować na systemach debianopodobnych, wolę CentOSa. Jakoś w nim wszystko wydaje mi się bardziej logiczne i sensowne.

E no to przecież żaden problem. Jest taka dystrybucja jak ... gentoo
Przynajmniej kiedyś było i to jest nic innego jak właśnie własny kochany linux from scratch.
Wszystko własnoręcznie skompilowane ze źródełek.
Postawiłem kilka takich... Jeden nawet długie lata chodził jako ... taki podręczny serwerek pocztowy... potem się do niego przykleiła funkcjonalność serwera WWW, potem coś jeszcze i coś jeszcze, aż pewnego razu stał sie jakoś tak niepostrzeżenie kluczowym serwerem dla działania firmy.
Olany blaszak, bez backupu, bez żadnej fault tolerancji... z jednym dyskiem twardym, który w dodatku... pewnie nie długo padnie.
...
Trzeba by mu chociaż RAIDa zrobić...
No to robimy.
I po reboocie nie wstał.
Uncorrectable na dysku :D:D

No i się zaczęło odzyskiwanie...
Na szczęście, nie wiem jakim cudem poleciał /dev, troche binarek systemowych i logi qmaila.
Reszta się chyba w całości odczytała.
:

Potęga emerge, gentoo jest super, szkoda tylko, że kompilacja wszystkiego trwa wieki. Kiedyś na emeryturze to będzie mój podstawowy system.
Ale czuję ten klimat, miałem serwer, który właściwie do niczego nie służył, był tylko po to, żeby gentoo na nim był

W masowej produkcji jest taki sobie, za dużo czasu wszystko tam trwa, no i praktycznie nie działa na systemach kontenerów i para wirtualizacjach.
Odpaliłem go pod OpenVZ co prawda, ale było z tym sporo problemów.

A wracając do pakietów, to niby można już tam instalować z binarek, ale co to za gentoo z instalatora i binarek

[aikus]

Cały czas piszę o wersji serwerowej, na desktopy jest to jedna z przyjemniejszych dystrybucji. Na dzień dobry wiele pakietów w repo, łatwa instalacja wielu bajerów.

Ja też piszę tylko o serwerach.
Desktopy to inna historia, nie pamiętam już kiedy miałem linuxa na desktopie.
Miałem kiedyś przez kilka lat, za królowania XPka.
XP mi się znudził, m$ nie wypuszczał nic nowego, a w tym czasie Linuxy naprawdę rządziły jeśli chodzi o bajery na desktopach.
Z tamtego czasu pochodziła też hisotria, kiedy to moja ex miala na swoim kompie Linuxa. Było to coś z xfce bo komp był leciwy.
Miała na tym Libre Office, Kadu, firefoxa, thunderbirda...
... i nie wiedziala, że to linux.

Na jednym laptopie cały czas mam xubuntu, bez problemu zaktualizował się do najnowszej wersji z 12.

Na serwerze - umarł w butach. Nigdy nie robię takich aktualizacji. Zawsze fresh install.

No, a na serwerach wkurza mne w nim wszystko czego się nie dotknę Nawet takie drobiazgi, że po instalacji jest domyślnie alias rm do rm -rf .. na serwerze, serio?

No właśnie.
Serio?
W której wersji?
Z czymś takim się nigdy nie spotkałem...
cpio robi różne dziwne rzeczy domyślnie.
rsync - - zdaje się że mącił coś z UIDami i GUIdami, (interpretował je na nazwy użytkowników i jeśli zdalna maszyna miała takich użytkowników to zmieniał na "właściwe") co powodowało, że odtworzenie backupu trzymanego na zdalnej maszynie było cokolwiek karkołomne, bo popieprzył wszystkie uprawnienia do plików... - trzeba było użyć opcji, żeby trzymał UIDy i GIDy w postaci numerycznej i ich nie ruszał.
... no zdarzają się takie fuckupy.
ale domyślnie rm -rf?
- Nie.

Kiedyś się nabijałem, że Ubuntu to tłumaczenie z języka Zulu : "Nie potrafię zainstalować Debiana"

Nie Ty jeden.
Ale to ani nie jest imponujące, ani specjalnie śmieszne... Albo może i nawet było śmieszne przez pierwszych kilkaset razy kiedy to słyszałem...

Ogólnie nie lubię pracować na systemach debianopodobnych, wolę CentOSa. Jakoś w nim wszystko wydaje mi się bardziej logiczne i sensowne.

No to tak jak ja teraz.
Kiedyś lubiłem dokładnie odwrotnie i pisałem już o tym, więc nie będę się powtarzał dlaczego teraz też wole RH.
Wniosek natomiast jest jeden: wyłącznie kwestia przyzwyczajenia.

Gdybym najpierw lubił RH a potem firma by mnie zacertyfikowała na coś debianopohodnego to dziś byłbym fanem i wielbicielem jedynej słusznej debianopodobnej deystrybucji (w szczególności Debiana właśnie).

A wracając do pakietów, to niby można już tam instalować z binarek, ale co to za gentoo z instalatora i binarek

Mija się z celem - zakładając, że celem jest to co napisałeś w swoim poprzednim poście.

Inna sprawa, że ja osobiście nie mam już takiego celu i nie wyobrażam już sobie chcieć ani potrzebować kiedykolwiek gdziekolwiek i po cokolwiek instalować gentoo.
Nie mam po co.
Kiedyś chciałem.
Bo po pierwsze jarało mnie to.
Bo po drugie, dzięki temu miałem distro idealnie dostrojone do posiadanego sprzętu i potrzeb, ergo maksymalnie lekkie, robiące dokładnie to i tylko co potrzeba, więc efektywne, co miało znaczenia przy tamtejszych sprzętach.
Jajko dystrybucyjne?? Co to za marnacja pamięci!!!
A dziś?
A w dupie z tym - oszczędność wielkości ułamka procenta dostępnej pamięci - nie warte zachodu.
No i...
... wyrosłem z tego.
Teraz liczy się dla mnie szybkość i efektywność.
Jak mam postawić powiedzmy 30 maszyn to ważne jest to dla mnie (i dla biznesu który mnie karmi), żeby to zrobić w kilka godzin a nie w kilka dni.