СГ
Скажите, кто-нибудь из ЦОДО дает услугу бесплатного резервирования и хранения баз данных в дополнение к размещению ?
Size: a a a
2020 December 08
D
Report on spam message was send to admins. Please be patient.
MM
Привет всем.
Проходим аудит (сканирование сети) от одной из контор, которые сканят сетку на уязвимости. Закрыл все уязвимости, осталась эта: CVE-2020-14145.
Тут можно почитать: https://access.redhat.com/security/cve/cve-2020-14145
Аудиторы говорят, мол, обновитесь до OpenSSH 8.4 и все будет в порядке. Но я не могу, потому что у нас Centos 7 и RedHat на эту штуку говорит, что не будет фиксить, а делайте вот так:
Вопрос. Как и где можно форсировать этот "verified host keys", чтобы без него не пускало вообще на сервер по SSH? Строить бастион с StrictHostKeyChecking=yes не хочется, но и кажется можно по проще решить задачку...
Проходим аудит (сканирование сети) от одной из контор, которые сканят сетку на уязвимости. Закрыл все уязвимости, осталась эта: CVE-2020-14145.
Тут можно почитать: https://access.redhat.com/security/cve/cve-2020-14145
Аудиторы говорят, мол, обновитесь до OpenSSH 8.4 и все будет в порядке. Но я не могу, потому что у нас Centos 7 и RedHat на эту штуку говорит, что не будет фиксить, а делайте вот так:
Mitigation
Always connect to SSH servers with verified host keys to avoid any possibilities of man-in-the-middle attack.
Вопрос. Как и где можно форсировать этот "verified host keys", чтобы без него не пускало вообще на сервер по SSH? Строить бастион с StrictHostKeyChecking=yes не хочется, но и кажется можно по проще решить задачку...
a6
через pam смотрите (через него можно и черта и бога сделать с авторизацией)
N
device is not a TTY Это в логе тебе пишет?
в дженкинсе пишет
ИА
Подскажите, что можно быстро прочесть про PowerShell?
J
Подскажите, что можно быстро прочесть про PowerShell?
Когда отпросился в туалет на собеседовании
U
"дай списать"
ИА
Когда отпросился в туалет на собеседовании
Не, на такое собеседование я бы не пошел
ИА
Слишком забористая штука
a6
Привет всем.
Проходим аудит (сканирование сети) от одной из контор, которые сканят сетку на уязвимости. Закрыл все уязвимости, осталась эта: CVE-2020-14145.
Тут можно почитать: https://access.redhat.com/security/cve/cve-2020-14145
Аудиторы говорят, мол, обновитесь до OpenSSH 8.4 и все будет в порядке. Но я не могу, потому что у нас Centos 7 и RedHat на эту штуку говорит, что не будет фиксить, а делайте вот так:
Вопрос. Как и где можно форсировать этот "verified host keys", чтобы без него не пускало вообще на сервер по SSH? Строить бастион с StrictHostKeyChecking=yes не хочется, но и кажется можно по проще решить задачку...
Проходим аудит (сканирование сети) от одной из контор, которые сканят сетку на уязвимости. Закрыл все уязвимости, осталась эта: CVE-2020-14145.
Тут можно почитать: https://access.redhat.com/security/cve/cve-2020-14145
Аудиторы говорят, мол, обновитесь до OpenSSH 8.4 и все будет в порядке. Но я не могу, потому что у нас Centos 7 и RedHat на эту штуку говорит, что не будет фиксить, а делайте вот так:
Mitigation
Always connect to SSH servers with verified host keys to avoid any possibilities of man-in-the-middle attack.
Вопрос. Как и где можно форсировать этот "verified host keys", чтобы без него не пускало вообще на сервер по SSH? Строить бастион с StrictHostKeyChecking=yes не хочется, но и кажется можно по проще решить задачку...
Вообще для входа на целевые хосты я бы сделал jump-сервер с чеком сессий через pam_pcscd для именных токенов, а уж с этого сервера по ключам через firewall на целевые хосты с логированием и HIDS.
А вообще конечно такие вопросы с аудиторами решались просто перекомпилом sshd и подменой бинарей (сканят они потому что автоматизированно). Т.е. пока вы не отсроите нормальный внешний контур защиты, скомпильте себе ssh с подменой версии (поменяйте в сурсах строку #define SSH_VERSION "OpenSSH_666").
А вообще конечно такие вопросы с аудиторами решались просто перекомпилом sshd и подменой бинарей (сканят они потому что автоматизированно). Т.е. пока вы не отсроите нормальный внешний контур защиты, скомпильте себе ssh с подменой версии (поменяйте в сурсах строку #define SSH_VERSION "OpenSSH_666").
MM
Вообще для входа на целевые хосты я бы сделал jump-сервер с чеком сессий через pam_pcscd для именных токенов, а уж с этого сервера по ключам через firewall на целевые хосты с логированием и HIDS.
А вообще конечно такие вопросы с аудиторами решались просто перекомпилом sshd и подменой бинарей (сканят они потому что автоматизированно). Т.е. пока вы не отсроите нормальный внешний контур защиты, скомпильте себе ssh с подменой версии (поменяйте в сурсах строку #define SSH_VERSION "OpenSSH_666").
А вообще конечно такие вопросы с аудиторами решались просто перекомпилом sshd и подменой бинарей (сканят они потому что автоматизированно). Т.е. пока вы не отсроите нормальный внешний контур защиты, скомпильте себе ssh с подменой версии (поменяйте в сурсах строку #define SSH_VERSION "OpenSSH_666").
Жалко в телеге нельзя ставить лайки
TL
Вообще для входа на целевые хосты я бы сделал jump-сервер с чеком сессий через pam_pcscd для именных токенов, а уж с этого сервера по ключам через firewall на целевые хосты с логированием и HIDS.
А вообще конечно такие вопросы с аудиторами решались просто перекомпилом sshd и подменой бинарей (сканят они потому что автоматизированно). Т.е. пока вы не отсроите нормальный внешний контур защиты, скомпильте себе ssh с подменой версии (поменяйте в сурсах строку #define SSH_VERSION "OpenSSH_666").
А вообще конечно такие вопросы с аудиторами решались просто перекомпилом sshd и подменой бинарей (сканят они потому что автоматизированно). Т.е. пока вы не отсроите нормальный внешний контур защиты, скомпильте себе ssh с подменой версии (поменяйте в сурсах строку #define SSH_VERSION "OpenSSH_666").
хера лайфхак
TL
надо на заметку аудиторам)
MM
Надеюсь у них в сканирование нет антифрод-модуля, который выявит несоответствие версии и других опций по какому-нибудь патерну
TL
антифрод это вроде про деньги, не?
U
не, фрод это мошенничество в целом
U
типа не совпало что то по паттернам - фрод
TL
покажите на антифрод модуль для пентеста?
TL
например вот такой для ssh