bc
а так конечно, совсем херня
Size: a a a
2019 May 22
V
Там же разница огромная - пустой пароль и нет пароля. Там что было, в итоге? Пустой?
KO
дык там вроде и судо не сделать, а ссх под рутом с пустым паролем не пустит. Ну то есть рут без пароля - это беда, конечно, но не беда-беда-беда =)
ssh-то как раз наимение критичный момент
V
ssh-то как раз наимение критичный момент
Кто-то крутит SSH сервер в образе? Да ещё с портом на улицу на edge..?
MM
Ну score может быть и 10 надо ещё вектор смотреть. Бывает, допустим, только локальная эксплуатация. А у тебя оборудование в сейфе :-))
KO
Ну вот и я о том)
P-
ssh-то как раз наимение критичный момент
ну это как один из вариантов эксплоита, где эта проблема может иметь место.
P-
там кстати еще и пометка "You are not affected unless you have shadow or linux-pam packages installed."
AA
Может кто посоветовать сервис/тул (*Vulnerability Management / Audit complience*) как для внешних Web Scans (внешние открытые ip адреса), так и для поиска уязвимостей прямо но хостах (за VPN-ом)? 🙏
пока попробовал
пока попробовал
Nessus и их cloud решение https://cloud.tenable.com (базовые сценарии очень быстро и просто настраиваются 🚀, но некоторые вещи: документация и атомарная настройка правил audit-a как-то не очень 💩)MM
Qualys WAS
AA
это вроде же только WEB scanner
MM
Тьфу, сорри
MM
Да это он
MM
Тогда qalys облачный
MM
Блин, вот щас не скажу на работе валяется. Но годовая подписка на was на 10 хостов 4999 + VAT
AA
хост = external endpoint ?
AA
а насколько просто поставить agent на любой linux внутри сети (за VPN-ом) и подключить его к cloud-у, чтобы сканы потом запускать?
а то вроде похожая ситуация как и у Nessus-a (непонятная документация)
там тоже руками нужно будет deb-ку скачивать и ставить или все такие есть официальный репозитории, где можно пакетными менеджерами ставить пакеты?
а то вроде похожая ситуация как и у Nessus-a (непонятная документация)
там тоже руками нужно будет deb-ку скачивать и ставить или все такие есть официальный репозитории, где можно пакетными менеджерами ставить пакеты?
KS
а насколько просто поставить agent на любой linux внутри сети (за VPN-ом) и подключить его к cloud-у, чтобы сканы потом запускать?
а то вроде похожая ситуация как и у Nessus-a (непонятная документация)
там тоже руками нужно будет deb-ку скачивать и ставить или все такие есть официальный репозитории, где можно пакетными менеджерами ставить пакеты?
а то вроде похожая ситуация как и у Nessus-a (непонятная документация)
там тоже руками нужно будет deb-ку скачивать и ставить или все такие есть официальный репозитории, где можно пакетными менеджерами ставить пакеты?
У кволиса виртуальные и железные аплаенсы есть. В простом случае - это виртуалка, там их ось, на линухе. В конфигурилке прописываешь реквизиты прокси и она коннектится к клауду. После чего раз в 1 минуту пулит команды из облака на сканирование и в ответ отправляет результаты.