* [room] Linux.sshdkit
@ 2013-03-20 10:14 Калинин Максим
2013-03-20 13:45 ` Michael Shigorin
0 siblings, 1 reply; 4+ messages in thread
From: Калинин Максим @ 2013-03-20 10:14 UTC (permalink / raw)
To: Культурный
офтопик
Попалось тут как-то на днях:
http://www.securitylab.ru/news/438589.php
--
С уважением,
Калинин Максим
^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [room] Linux.sshdkit
2013-03-20 10:14 [room] Linux.sshdkit Калинин Максим
@ 2013-03-20 13:45 ` Michael Shigorin
2013-03-22 16:39 ` Sergey Vlasov
0 siblings, 1 reply; 4+ messages in thread
From: Michael Shigorin @ 2013-03-20 13:45 UTC (permalink / raw)
To: Культурный
офтопик
On Wed, Mar 20, 2013 at 02:14:47PM +0400, Калинин Максим wrote:
> Попалось тут как-то на днях:
> http://www.securitylab.ru/news/438589.php
Это для центоса по большей части, там был шляпный ляп:
http://www.opennet.ru/opennews/art.shtml?num=36198
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [room] Linux.sshdkit
2013-03-20 13:45 ` Michael Shigorin
@ 2013-03-22 16:39 ` Sergey Vlasov
2013-03-22 16:45 ` Michael Shigorin
0 siblings, 1 reply; 4+ messages in thread
From: Sergey Vlasov @ 2013-03-22 16:39 UTC (permalink / raw)
To: smoke-room
On Wed, 20 Mar 2013 15:45:19 +0200 Michael Shigorin wrote:
> On Wed, Mar 20, 2013 at 02:14:47PM +0400, Калинин Максим wrote:
> > Попалось тут как-то на днях:
> > http://www.securitylab.ru/news/438589.php
>
> Это для центоса по большей части, там был шляпный ляп:
> http://www.opennet.ru/opennews/art.shtml?num=36198
Как раз этот ляп там совершенно не при чём — модуль pam_ssh_agent_auth
не использовался ни на одной из взломанных систем.
Вот ветка форума, где обсуждался этот руткит:
http://www.webhostingtalk.com/showthread.php?t=1235797&page=84
Как раз на этой странице появились сообщения, что компания cPanel
признала факт взлома их серверов, использовавшихся отделом техподдержки,
а в базах там лежало множество паролей, предоставленных клиентами cPanel
для доступа техподдержки к их серверам; так что для последующего
внедрения руткитов на эти сервера не потребовалось искать там
уязвимости. Кроме того, в некоторых случаях обнаруживали вредоносное
ПО, похищающее пароли, на компьютерах с Windows, использовавшихся для
администрирования серверов, где впоследствии был обнаружен руткит.
Кстати, там же нашёлся интересный способ относительно безопасного
предоставления root-доступа для техподдержки:
http://www.webhostingtalk.com/showpost.php?p=8570958&postcount=1277
| About handing out login credentials to "unknown" people. (Like support
| desks etc). What I do is:
|
| - I change the root pw.
| - I create 2 users, one without any privileges, one with sudo
| privileges.
| - I login as the user without privileges and start screen.
| - In the screen terminal I ssh to the local host logging in as the
| user with the sudo privileges.
| - Once logged in I sudo to root level.
| - Then I disconnect from the screen session.
| - I give the details of the non privileged user to the people
| requiring access, and tell them to login and then connect with
| "screen -x" to the privileged shell.
| - At the same time I will have a screen session open attached to the
| same terminal. That way I can see exactly what they are doing in the
| root shell... If you see something you don't like, you just kill the
| screen process...
| - Once done I just remove the 2 new users, and everything should be
| back to (relative) safety. I also change the root pw again, just in
| case...
|
| I know, it is maybe not the best way, but it gives a lot more
| control/overview what is happening...
^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [room] Linux.sshdkit
2013-03-22 16:39 ` Sergey Vlasov
@ 2013-03-22 16:45 ` Michael Shigorin
0 siblings, 0 replies; 4+ messages in thread
From: Michael Shigorin @ 2013-03-22 16:45 UTC (permalink / raw)
To: smoke-room
On Fri, Mar 22, 2013 at 08:39:12PM +0400, Sergey Vlasov wrote:
> Кстати, там же нашёлся интересный способ относительно безопасного
> предоставления root-доступа для техподдержки:
Да, тоже подобное приходило в голову при использовании screen -x
на задачах обучения. Спасибо за поправку и подсказку :)
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 4+ messages in thread
end of thread, other threads:[~2013-03-22 16:45 UTC | newest]
Thread overview: 4+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2013-03-20 10:14 [room] Linux.sshdkit Калинин Максим
2013-03-20 13:45 ` Michael Shigorin
2013-03-22 16:39 ` Sergey Vlasov
2013-03-22 16:45 ` Michael Shigorin
Культурный офтопик
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/smoke-room/0 smoke-room/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 smoke-room smoke-room/ http://lore.altlinux.org/smoke-room \
smoke-room@lists.altlinux.org smoke-room@lists.altlinux.ru smoke-room@lists.altlinux.com smoke-room@altlinux.ru smoke-room@altlinux.org smoke-room@altlinux.com
public-inbox-index smoke-room
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.smoke-room
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git