* [room] Linux.sshdkit @ 2013-03-20 10:14 Калинин Максим 2013-03-20 13:45 ` Michael Shigorin 0 siblings, 1 reply; 4+ messages in thread From: Калинин Максим @ 2013-03-20 10:14 UTC (permalink / raw) To: Культурный офтопик Попалось тут как-то на днях: http://www.securitylab.ru/news/438589.php -- С уважением, Калинин Максим ^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [room] Linux.sshdkit 2013-03-20 10:14 [room] Linux.sshdkit Калинин Максим @ 2013-03-20 13:45 ` Michael Shigorin 2013-03-22 16:39 ` Sergey Vlasov 0 siblings, 1 reply; 4+ messages in thread From: Michael Shigorin @ 2013-03-20 13:45 UTC (permalink / raw) To: Культурный офтопик On Wed, Mar 20, 2013 at 02:14:47PM +0400, Калинин Максим wrote: > Попалось тут как-то на днях: > http://www.securitylab.ru/news/438589.php Это для центоса по большей части, там был шляпный ляп: http://www.opennet.ru/opennews/art.shtml?num=36198 -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [room] Linux.sshdkit 2013-03-20 13:45 ` Michael Shigorin @ 2013-03-22 16:39 ` Sergey Vlasov 2013-03-22 16:45 ` Michael Shigorin 0 siblings, 1 reply; 4+ messages in thread From: Sergey Vlasov @ 2013-03-22 16:39 UTC (permalink / raw) To: smoke-room On Wed, 20 Mar 2013 15:45:19 +0200 Michael Shigorin wrote: > On Wed, Mar 20, 2013 at 02:14:47PM +0400, Калинин Максим wrote: > > Попалось тут как-то на днях: > > http://www.securitylab.ru/news/438589.php > > Это для центоса по большей части, там был шляпный ляп: > http://www.opennet.ru/opennews/art.shtml?num=36198 Как раз этот ляп там совершенно не при чём — модуль pam_ssh_agent_auth не использовался ни на одной из взломанных систем. Вот ветка форума, где обсуждался этот руткит: http://www.webhostingtalk.com/showthread.php?t=1235797&page=84 Как раз на этой странице появились сообщения, что компания cPanel признала факт взлома их серверов, использовавшихся отделом техподдержки, а в базах там лежало множество паролей, предоставленных клиентами cPanel для доступа техподдержки к их серверам; так что для последующего внедрения руткитов на эти сервера не потребовалось искать там уязвимости. Кроме того, в некоторых случаях обнаруживали вредоносное ПО, похищающее пароли, на компьютерах с Windows, использовавшихся для администрирования серверов, где впоследствии был обнаружен руткит. Кстати, там же нашёлся интересный способ относительно безопасного предоставления root-доступа для техподдержки: http://www.webhostingtalk.com/showpost.php?p=8570958&postcount=1277 | About handing out login credentials to "unknown" people. (Like support | desks etc). What I do is: | | - I change the root pw. | - I create 2 users, one without any privileges, one with sudo | privileges. | - I login as the user without privileges and start screen. | - In the screen terminal I ssh to the local host logging in as the | user with the sudo privileges. | - Once logged in I sudo to root level. | - Then I disconnect from the screen session. | - I give the details of the non privileged user to the people | requiring access, and tell them to login and then connect with | "screen -x" to the privileged shell. | - At the same time I will have a screen session open attached to the | same terminal. That way I can see exactly what they are doing in the | root shell... If you see something you don't like, you just kill the | screen process... | - Once done I just remove the 2 new users, and everything should be | back to (relative) safety. I also change the root pw again, just in | case... | | I know, it is maybe not the best way, but it gives a lot more | control/overview what is happening... ^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [room] Linux.sshdkit 2013-03-22 16:39 ` Sergey Vlasov @ 2013-03-22 16:45 ` Michael Shigorin 0 siblings, 0 replies; 4+ messages in thread From: Michael Shigorin @ 2013-03-22 16:45 UTC (permalink / raw) To: smoke-room On Fri, Mar 22, 2013 at 08:39:12PM +0400, Sergey Vlasov wrote: > Кстати, там же нашёлся интересный способ относительно безопасного > предоставления root-доступа для техподдержки: Да, тоже подобное приходило в голову при использовании screen -x на задачах обучения. Спасибо за поправку и подсказку :) -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 4+ messages in thread
end of thread, other threads:[~2013-03-22 16:45 UTC | newest] Thread overview: 4+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2013-03-20 10:14 [room] Linux.sshdkit Калинин Максим 2013-03-20 13:45 ` Michael Shigorin 2013-03-22 16:39 ` Sergey Vlasov 2013-03-22 16:45 ` Michael Shigorin
Культурный офтопик This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/smoke-room/0 smoke-room/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 smoke-room smoke-room/ http://lore.altlinux.org/smoke-room \ smoke-room@lists.altlinux.org smoke-room@lists.altlinux.ru smoke-room@lists.altlinux.com smoke-room@altlinux.ru smoke-room@altlinux.org smoke-room@altlinux.com public-inbox-index smoke-room Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.smoke-room AGPL code for this site: git clone https://public-inbox.org/public-inbox.git