- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы
Для интернет-магазина инженерных систем
Мария Лосева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Хостер FirstVDS поставляет VDS своим пользователям с вот таким вот содержимым файла /root/.ssh/authorized_keys:
Т.е. это даёт возможность получать доступ через SSH к арендуемым пользователями VDS тем личностям, которые установили этот ключ. Комментарий в файле гласит, что этот ключ — для доступа техподдержки. При этом никакого оповещения пользователю не выдаётся. Решил написать в техподдержку для разъеснения этой ситуации и получил вот такой ответ
После последнего сообщения переписка была переведена в архив. Т.е., как я понял, была заблокирована для ответа. Вот такие у них отзывчивые менеджеры отдела Заботы о клиентах.
Т.е. мне предлагают стать клиентом (т.е. заплатить за продукт с бекдором), а потом ответят зачем его ставят мне и другим клиентам.
Насколько я могу видеть, бэкдор содержат образы виртуалок. И переустановка ОС из предоставляемого хостером образа ситуацию не исправляет. Замечено как минимум на образах с Ubuntu.
Один из вариантов решения — удаление файла /root/.ssh/authorized_keys
П.С. Оригинал на хабре Ссылка
Вот так то вот, а то меня еще многие здешние товарищи называют халявщиком, даже популярным хостерам доверять не стоит...
Хостер FirstVDS поставляет VDS своим пользователям с вот таким вот содержимым файла /root/.ssh/authorized_keys:
Т.е. это даёт возможность получать доступ через SSH к арендуемым пользователями VDS тем личностям, которые установили этот ключ. Комментарий в файле гласит, что этот ключ — для доступа техподдержки. При этом никакого оповещения пользователю не выдаётся. Решил написать в техподдержку для разъеснения этой ситуации и получил вот такой ответ
После последнего сообщения переписка была переведена в архив. Т.е., как я понял, была заблокирована для ответа. Вот такие у них отзывчивые менеджеры отдела Заботы о клиентах.
Т.е. мне предлагают стать клиентом (т.е. заплатить за продукт с бекдором), а потом ответят зачем его ставят мне и другим клиентам.
Насколько я могу видеть, бэкдор содержат образы виртуалок. И переустановка ОС из предоставляемого хостером образа ситуацию не исправляет. Замечено как минимум на образах с Ubuntu.
Один из вариантов решения — удаление файла /root/.ssh/authorized_keys
П.С. Оригинал на хабре Ссылка
Вот так то вот, а то меня еще многие здешние товарищи называют халявщиком, даже популярным хостерам доверять не стоит...
Че кипишь то подымать? Они и так имеют доступ ко всем ВМ. А ключ вероятней всего для упрощение решения проблем всунули. Еще и подписали его для того, что бы параноики не кипишевали.
Если нужно они пароль от впс за пол минуты сбросят и без вашего участия. Так что полностью согласен с smart2web
полностью нормальная ситуация.
Единственное, что можно не использовать прямю авторизацию root
Через sudo будет ок :)
С точки зрения хостера это конечно негативная практика и дело вовсе не в том, что они оставили какой-то "бекдор" который таковым даже сложно называть, основная проблема безопасности в данном случае заключается в том, что теперь у "охотников" есть представление о том, что делает хостер, а именно раскладывает своим VPS клиентам и Dedicated (на хабре по ссылке об этом упоминают) ssh ключи, стало быть теперь ждем момента, когда этот ключ будет украден у выше упомянутого хостера и скомпрометированными окажутся все кто устанавливался из этого образа, а так же те кто вообще ничего про это не знает и не понимает но купил VPS для своего сайтика про кошек....
Относительно самого размещения ключа - проблемы тут нет, хсотер и так может в любой момент получить любые данные на VPS клиента... А для sudo... смысла особого нет, там придется или NOPASSWD прописывать или вводить пароль в последствии, к тому же ключ это куда надежнее чем plain-text пароль, по этому вполне допускаю его размещение прямо у рута.... Однако уже давно не помни ни одной системы (которую ставил) где бы я первым делом не запрещал прямой вход рута :))))
Обычно при обращении за поддержкой не составляет труда передать текущий пароль через тикет систему или же сгенерировать временный....
P.S: Честно говоря, читая заголовок, подумал о том, что нашли какой-то патченный бинарик в системе или модуль в ядре, а тут целый ssh ключ :)))) Тема слишком громко названа!
reyicapow, больше не лазьте на чужие сервера и не оказывайте сисадминских и прочих услуг, в которых ничего не понимаете. Хостер и так имеет полный доступ к вдс. Ключ для упрощения процедуры оказания услуг саппорта хостингом.
Только подумайте, если бы каждый сотрудник банка имел доступ ко всем счетам всех клиентов для удобства оказывать поддержку :D))) Смешно, правда?
Дырища огромная, хотя некомпетентные люди подобное иногда вытворяют. Но это хостинг, тут почти все такие :)
reyicapow, а ещё клиент сам может при переустановке ОС, установить свой ключ!
P.S. ТС, прежде чем делать такие громкие заявления, изучите VMmanager, который для этого используется, а так же почитайте о способах доступа к данным со стороны хостера, при наличии виртуального и физического доступа к серверу.
---------- Добавлено 20.01.2016 в 03:39 ----------
Только подумайте, если бы каждый сотрудник банка имел доступ ко всем счетам всех клиентов для удобства оказывать поддержку :D))) Смешно, правда?
Дырища огромная, хотя некомпетентные люди подобное иногда вытворяют. Но это хостинг, тут почти все такие :)
У сотрудников хостинга, как и у приведённых Вами в качестве примера сотрудников банка, есть разграничение прав доступа и тот же ключ будет предоставлен не всем сотрудникам.
и тот же ключ будет предоставлен не всем сотрудникам.
Неа, судя по скрину, ничерта управления ключами у них нет. У них оно небезопасно по умолчанию.
Только подумайте, если бы каждый сотрудник банка имел доступ ко всем счетам всех клиентов для удобства оказывать поддержку :D))) Смешно, правда?
Дырища огромная, хотя некомпетентные люди подобное иногда вытворяют. Но это хостинг, тут почти все такие :)
К сожалению именно так и есть, любой сотрудник любого банка может совершить любую сделку со счетом любого абонента без его фактического присутствия или согласия... Я говорю о возможном факте... то, что потом это будет быстро выяснено и сотрудник будет взят за яйца - это совсем другое дело и предмет другого разговора, но это возможно технически! Ведь по сути именно сотрудник банка занимается подтверждением ваших намерений по той или иной операции... что ему мешает фальсифицировать пару бумажек и сделать вид что вы "приходили в офис лично"..... ничего..
Тоже самое и тут, любой хостер может получить доступ к любому VPS находящемуся у него на площадке, выяснить будет сложнее или легче - не суть важно, но он это может...
Тут как я уже писал выше, более проблематично выглядит тот апспект, что размещая такие ключи каждому клиенту... хостер ставит под риск их данные, утеря ключа в этом случае будет фатальной для хостера, я вообще молчу о том, что подобный "вид доступа" может быть легко продан кункурентам одним из не добросовестных сотрудников...
На своей практике я однажды ощутил подобное, я как и любой нормальный сис.админ всегда стремлюсь к оптимизации собственного труда, к оптимизации процессов с которыми я работаю и.т.п, однажды родилась у меня мысль автоматизировать сбор данных по пяти десяткам серверов для аналитики происходящего в центральном месте, выбрал самый простой способ, ssh ключи, разложил везде и картинка ожила, одна команда собирала мне логи по всем серверам, анализировала их и быстренько показывала если что-то было за пределами допустимых логик.... Однажды я обнаружил , что мой центральный сервер на котором была аналитика каким-то чудо образом взломали, я точно уже сейчас не вспомню, что там было причиной, но суть - устаревшее ПО которое дало трещину )))) как же быстро шевелились волосы на моей голове, когда я осознал, что если бы взломщики понимали что за сервер они получили ..... какой бы я отгреб геморой..... и какие бы были проблемы, к моему великому счастью, все увенчалось рассылкой спама с сервера и запуском каких-то perl процессов из /tmp :) доступа на "подконтрольные" сервера не произошло..... А если бы произошло, одним махом был бы продан доступ на 50 серверов..... Собственно после этого, подобного рода "процессы" вызывают у меня только меланхолический смех :)))
К сожалению именно так и есть, любой сотрудник любого банка может совершить любую сделку со счетом любого абонента без его фактического присутствия или согласия...
В банках не может, там есть стандарты безопасности, проводятся аудиты и так далее, все не настолько примитивно.