Рубрика «openssh»

Авторы этого материала приводят аргументы против стандартных механизмов шифрования ключа в OpenSSH.

Шифрование ключа по умолчанию в OpenSSH хуже его отсутствия - 1

Недавно злоумышленники использовали npm-пакет eslint-scope для кражи npm-токенов из домашних каталогов пользователей. В свете этого события мы занялись проверкой других подобных уязвимостей и задумались над тем, как снизить риски и последствия таких инцидентов.

У большинства из нас под рукой есть RSA SSH-ключ. Такой ключ наделяет владельца самыми разными привилегиями: как правило, он используется для доступа к production среде или в GitHub. В отличие от nmp-токенов SSH-ключи зашифрованы, и поэтому принято считать, что ничего страшного не произойдет, даже если они попадут не в те руки. Но так ли это на самом деле? Давайте узнаем.Читать полностью »

В этой статье мы рассмотрим, как быстро и просто настроить возможность подключения по SSH к Windows Server и управлять гетерогенными инфраструктурами на Windows и Linux через терминал, подключаясь единым способом.

Данный способ особо поможет пользователям macOS и Linux при управлении гетерогенными инфраструктурами через терминал, ведь полноценной реализации RSRP провайдера для Powershell Core до сих пор нет (но Microsoft ведет работу над ним), таким образом просто подключиться к Windows Server из кросс-платформенного Powershell Core не удастся. Нам поможет OpenSSH для Windows, который активно развивается, а Microsoft это развитие поддерживает финансово.

В облаке Azure Pack Infrastructure от InfoboxCloud мы уже предсоздали образ с Windows Server, версии 1709 для современных веб-приложений и сервисов, требующих стека Microsoft.

В образе предустановлено и настроено:

  • OpenSSH. Просто создайте виртуальную машину, пробросьте порт 22 и можно подключаться по SSH.
  • пакетный менеджер chocolatey, позволяющий обновлять все преднастроенное с помощью choco upgrade all и быстро устанавливать дополнительное ПО.
  • Windows Subsystem for Linux. Вы можете просто установить подходящий дистрибутив Linux в Windows и иметь привычное окружение, хорошо подходящее для задач администрирования.
  • Поддержка контейнеров Windows и Docker (предустановлены docker, docker-compose, docker-machine и consul, возможность быстрой установки kubernetes при необходимости).

Также в статье рассказано, как добавить поддержку SSH на Windows на собственном сервере или виртуальной машине.
Управляем Windows Server по SSH в облаке Azure Pack Infrastructure - 1
В конце статьи скидка на облако.
Читать полностью »

В службу технической поддержки RUVDS регулярно обращаются по поводу GUI и удаленного доступа к нему на виртуальных серверах с Linux, несмотря на то что в интернете достаточно много материалов освещающих эту проблему. Поэтому, для наших пользователей мы решили собрать всё по этой теме в одну статью.

Методы удаленного доступа к Linux GUI - 1


Читать полностью »

Недавно решил поковыряться в Insider Preview Windows 10 (10.0.14393.3) на предмет того, как там работает Bash подсистема и вспомнил публикацию kekekeks «Поддержка SSH в Windows силами Microsoft». И из чистого любопытства вбил в консоли Bash «ssh localhost» и слегка удивился, что он предложил сохранить ключ.

Windows и SSH. Продолжение - 1
Читать полностью »

Security Week 03 или неделя патчей: Linux, OpenSSH, Cisco, Yahoo Mail, Apple - 1В информационной безопасности бывают такие периоды, когда никаких особых открытий не происходит. Вместо этого достаточно рутинная работа по закрытию (или незакрытию) ранее обнаруженных уязвимостей. На этой неделе как раз такой период: самые популярные новости практически полностью посвящены заплаткам. Что ж, тоже неплохо, тем более, что подход у разных компаний к патчам серьезно отличается, да и восприятие этой темы иногда бывает, ну, несколько странным.

Простой пример: в конце прошлого года в софте Apple (конкретно Mac OS X и iOS) насчитали рекордное количество уязвимостей. Ну то есть посмотрели в базу данных CVE, и обнаружили, что больше всего уязвимостей было обнаружено в Mac OS X, iOS и Adobe Flash. В некоторых СМИ даже назвали платформы Apple «самыми опасными», что, конечно, неправда. Ведь связь между «обнаружили уязвимость» и «пользователи в опасности» практически не прослеживается. Наоборот, в контексте базы CVE «обнаружили» как правило означает «закрыли». А это, в общем-то, хорошие новости.

Возможно тут дело в том, что многие ухватились за простой и понятный рейтинг дыр, с абсолютными цифрами, которые дают ложное чувство понимания ландшафта угроз. Хорошая попытка «упростить» тему, но нет, с безопасностью этот прием не проходит. Поэтому посмотрим на патчи этой недели внимательнее. Все выпуски дайджеста — тут.
Читать полностью »

В свободно распространяемом клиенте протокола SSH (OpenSSH) была исправлена опасная уязвимость с идентификатором CVE-2016-0777. Эта уязвимость относилась к типу Information Disclosure и присутствовала в клиенте OpenSSH версий 5.x, 6.x, и 7.x до версии 7.1p2. Она располагалась в функции resend_bytes файла исходного текста roaming_common.c и позволяла процессу на стороне сервера получить доступ к части памяти клиента с конфиденциальными данными, в том числе, с данными приватных ключей шифрования, которые используются клиентом в процессе организации защищенного подключения.

В криптографическом ПО OpenSSH исправлена опасная уязвимость - 1

Уязвимость относится только к клиенту OpenSSH и не имеет отношения к его серверной части. Атакующий, который скомпрометировал легитимный SSH-сервер, может получить в свое распоряжение секретные приватные ключи клиента, используя настройку под названием roaming. Эта настройка по умолчанию активна для клиента и позволяет ему повторно подключиться к серверу после внезапного разрыва соединения, что и используется атакующими для эксплуатации.
Читать полностью »

В клиенте OpenSSH обнаружена серьёзная уязвимость CVE-2016-0777 - 1
Сегодня стало известно о новой уязвимости в клиенте OpenSSH получившей идентификаторы CVE-2016-0777 и CVE-2016-0778. Ей подвержены все версии программы от 5.4 до 7.1.

Обнаруженный баг позволяет осуществить атаку, приводящую к утечке приватного ключа. Аутентификация ключа сервера предотвращает атаку типа man-in-the-middle, так что злоумышленникам понадобится сначала получить доступ к машине, на которую вы пытаетесь зайти. Хотя, при подключении к машине впервые, не сверяя ключ, MITM возможен.

До тех пор пока вы не обновите уязвимые системы рекомендуется использовать следующий фикс:

echo -e 'Host *nUseRoaming no' >> /etc/ssh/ssh_config

Обновления для различных ОС уже выходят, в том числе выпущена portable версия OpenSSH 7.1p2.

Клиент OpenSSH версий от 5.4 до 7.1 содержит код экспериментальной функции «roaming», позволяющей продолжать сессии. Серверная часть этой функциональности никогда не была опубликована, но существующий код клиента уязвим — злоумышленники могут получить часть памяти клиентской машины, содержащую приватный ключ. По умолчанию эта функция включена, поэтому узявимость достаточно серьёзна.
Читать полностью »

Проект OpenBSD под угрозой закрытия: нет денег на оплату счетов за электричествоOpenBSD — вторая по популярности BSD-система. Она поддерживает 20 архитектур железа, включая такую экзотику, как VAX или Motorola 68000. OpenBSD широко используется в сетевом оборудовании, а дочерние проекты, такие как Packet Filter и OpenSSH, широко используются во многих других *nix-совместимых ОС.

Создатель и главный разработчик системы Тео де Раадт строго придерживается принципов радикальной открытости — все части системы имеют свободные лицензии, в ней вообще не используются фрагменты закрытого проприетарного кода даже в драйверах. Код системы доступен под максимально либеральной лицензией ISC. В отличие от копилефтных лицензий, подобных GPL, она не накладывает вообще никаких ограничений на использование кода, в том числе и в закрытых коммерческих системах.
Читать полностью »

image

Предисловие или от куда взялась «бредовая» идея ставить Git на Windows

Я работаю в одной не очень большой IT-компании, которая продает свои и чужие программные решения, занимается проектами внедрения, оказывает клиентскую поддержку, проводит обучение и далее все такое в том же духе. До недавнего времени в моей маленькой команде разработки все было неплохо организовано и у нас даже был свой собственный достаточно мощный сервер. Но случилось непредвиденное и по воле злого рока один из серверов фирмы полетел, а руководство решило вместо него в стойку поставить наш сервер отдела разработки. Нам предложили «временно» переехать на любой из серверов общего назначения.

А теперь внимание! Только мы одни во всей фирме работаем на Линуксе, а все остальные сидят исключительно на Windows и сервера у нас тоже под управлением серверных редакций ОС от Билла Гейтса. И если перенос базы Redmine не вызывает особых вопросов, то задача поднять на сервере Windows сервер для Git меня сразу поставила в тупик. Но несколько часов потраченных на поиски дали мне простое работающее решение.

Читать полностью »

В предыдущей статье я рассказал, как добавить проверку одноразовых кодов при логине на свой сервер по SSH. Статья завершалась словами «если ходим по ключу — двухфакторная аутентификация не работает (не используется PAM)».

С недавнего времени, после выпуска OpenSSH версии 6.2, ситуация поменялась к лучшему.

Двухфакторная аутентификация в OpenSSH: ключ+одноразовый код + Двухфакторная аутентификация в OpenSSH: ключ+одноразовый код

Читать полностью »