forum.opennet.ru - "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифрования ML-KEM" (52)

"Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифрования ML-KEM"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифрования ML-KEM"	+/–
Сообщение от opennews (??), 20-Сен-24, 22:22
Опубликован релиз OpenSSH 9.9, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Основные... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61899
Ответить \| Правка \| Cообщить модератору

Оглавление

NetBSD как всегда ничего не умеет , Аноним (1), 22:22 , 20-Сен-24, (1)

Умеет тосты , Аноним (16), 09:04 , 21-Сен-24, (16) +3
Посмотрите документацию на mmap , там должен быть флаг MAP_NOCORE или типа того, Ivan_83 (ok), 18:28 , 21-Сен-24, (35)

А можно просто поменять порт , Аноним (2), 22:30 , 20-Сен-24, (2) +1

Все равно находят , бух. (?), 22:31 , 20-Сен-24, (3) +4

Кстати, всегда удивляло, как они узнают порт без скана Или я проглядел В поряд, Аноним (4), 23:00 , 20-Сен-24, (4)

Сканят же с других машин Уже давным давно сети ботнетов разделены на сканируещи, Аноним (6), 23:21 , 20-Сен-24, (6)

На черта их банить Парольный вход отключается, и пусть ботнеты перебирают парол, hrmhmmhtbdr (?), 06:01 , 21-Сен-24, (13) –1

Зачем парольный вход отключать да ещё рутом входить запрещать Делается хостовый , Ivan_83 (ok), 14:55 , 21-Сен-24, (30) +1

Port knocking , Аноним (16), 09:11 , 21-Сен-24, (17) +1

Для извращенцев у которых много свободного времени , Ivan_83 (ok), 14:56 , 21-Сен-24, (31) +2
Это круто и прикольно Но увы манипуляция с фаером и потому высокорисковое занят, Аноним (-), 22:26 , 21-Сен-24, (42)

детектор твоей неуловимости роботам лениво только люди находят ssh на портах 4, neo one (?), 10:47 , 21-Сен-24, (21)

Оставайтесь Будете у нас главным инженером с оттуда, Аноним (6), 23:14 , 20-Сен-24, (5)
Это называется 171 security through obscurity 187 , и помогает приблизительно, Аноним (7), 23:33 , 20-Сен-24, (7) +4

Это сильно снижает спам от ботов в логах и общую нагрузку на сервер - потому что, Аноним (-), 23:56 , 20-Сен-24, (9) +3

Нагрузку в циферках покажешь У меня был один джамп-хост, на котором в пике траф, Аноним (7), 00:43 , 21-Сен-24, (11)

А у меня был как-то VDS куда я однажды зайти не смог - ибо счет RSA на толпу бот, Аноним (-), 22:24 , 21-Сен-24, (41) +1

запрети логины с пасвордом, логинься по ключубудет тебе меньше спама, penetrator (?), 02:21 , 21-Сен-24, (12)

Может хоть ты знаешь как правильное отслеживание и ротацию ключей использовать , Аноним (15), 08:44 , 21-Сен-24, (15)

Может быть просто поменять рриватные ключи на сервере без предупреждения И лови, Аноним (18), 09:24 , 21-Сен-24, (18)

Так дело не в этом Вот человечек взял и ушёл из организации Как отключить дейс, Аноним (15), 10:46 , 21-Сен-24, (20) –1

А у вас что, все юзеры ходят под одним пользователем на сервера Или их публичны, Qq (?), 11:06 , 21-Сен-24, (23)
а если он туда команду с обратным ssh закинул, как будешь искать почему вообще п, Аноним (27), 13:09 , 21-Сен-24, (27)

В удаленных читай проблему Почему-то там мат видите ли был Обычный передерг пол, Аноним (15), 14:29 , 21-Сен-24, (29) –1

Что на локалхосте делают какие-то мутные админы С каких пор удаление админа стал, Аноним (27), 15:03 , 21-Сен-24, (34)

Есть как минимум коммерческий софт который умеет ходить по хостам и составлять с, Ivan_83 (ok), 15:01 , 21-Сен-24, (33)

Зачем Есть разные системы где уже это продумали в архитектуре Вплоть до idp , Аноним (15), 20:55 , 21-Сен-24, (38)

у тебя есть список серверов к которым у него был доступ и authorized_keys откуда, penetrator (?), 06:22 , 23-Сен-24, (48)

passwd, shadow, group - где искать или блокировать пользвоателя Где стандартизи, Аноним (52), 20:51 , 24-Сен-24, (52) –1

т е в passwd, shadow, group у нас уже ключи хранятся вот это ыксперт подъехал, penetrator (?), 13:04 , 25-Сен-24, (55)

Ты совсем что ли дурч0к Обычный вход по паролю, стандартный подход дедов - passw, Аноним (52), 21:25 , 25-Сен-24, (56)

долпаеп мы про ключи говорили, ветку перечитай, passwd, shadow, group приплел ты, penetrator (?), 19:44 , 26-Сен-24, (58)

потому что правильный ответ - никак же ж И остается только адов гемор с сертифик, нах. (?), 09:35 , 21-Сен-24, (19)

Bingo Только openid ssh сертификаты Вот и всё что я нашёл Потребностей в ко, Аноним (15), 10:48 , 21-Сен-24, (22)

Ротация что ключей что паролей примерно бесполезна, используй второй фактор или , почему (?), 12:24 , 21-Сен-24, (25) –1

вы понимаете зачем нужна ротация паролей и почему она ненужна для ключей ротаци, penetrator (?), 13:07 , 24-Сен-24, (51)

Конечно и утечек ключа не бывает, и отзывать их не нужно В комитет по сертифика, Аноним (52), 20:53 , 24-Сен-24, (53) –1

тебе известен смысл слова ротация и почему оно произошло от слова вращать пр, penetrator (?), 13:01 , 25-Сен-24, (54)

Так я ещё слушаю как с ключами сделать список отзыва, блокировку, протухание по , Аноним (52), 21:41 , 25-Сен-24, (57)

Джастин Крюгер и Дэвид Даннинг апплодируют тебе стоя за отличное подтверждение и, penetrator (?), 19:48 , 26-Сен-24, (59)

где-то скучает sssd, Аноним (27), 13:07 , 21-Сен-24, (26) +1

Скрыто модератором, Аноним (15), 20:58 , 21-Сен-24, (39)

Скрыто модератором, Аноним (27), 00:31 , 22-Сен-24, (44)

Скрыто модератором, Аноним (15), 10:28 , 22-Сен-24, (47)

Мой домашний хост на фряхе с 2009 года в сети доступен по ссш, ни разу это не бы, Ivan_83 (ok), 14:59 , 21-Сен-24, (32)

Есть же NTRU Prime , Аноним (14), 06:54 , 21-Сен-24, (14)
Вот ты они работу по udp реализовали Хоть по quic или как-то так , Аноним (28), 14:19 , 21-Сен-24, (28) –2

Quic работает медленней tls , Аноним (50), 11:11 , 23-Сен-24, (50)

Существуют ли постквантовые алгоритмы ГОСТ , Вы забыли заполнить поле Name (?), 20:03 , 21-Сен-24, (36)

Нет, они ещё шильдик переклеить не успели , Ivan_83 (ok), 23:10 , 21-Сен-24, (43) +3
Как только соберут квантовый компьютер, так сразу , 1 (??), 10:08 , 23-Сен-24, (49)

Сообщения [Сортировка по времени | RSS]

1. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +/–

Сообщение от Аноним (1), 20-Сен-24, 22:22

> работающая в OpenBSD, Linux и FreeBSD
NetBSD как всегда ничего не умеет?

Ответить | Правка | Наверх | Cообщить модератору

16. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +3 +/–

Сообщение от Аноним (16), 21-Сен-24, 09:04

Умеет тосты.

Ответить | Правка | Наверх | Cообщить модератору

35. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +/–

Сообщение от Ivan_83 (ok), 21-Сен-24, 18:28

Посмотрите документацию на mmap(), там должен быть флаг MAP_NOCORE или типа того, он то и используется чтобы память выборочно не дампить.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +1 +/–

Сообщение от Аноним (2), 20-Сен-24, 22:30

А можно просто поменять порт.

Ответить | Правка | Наверх | Cообщить модератору

3. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +4 +/–

Сообщение от бух. (?), 20-Сен-24, 22:31

Все равно находят.

Ответить | Правка | Наверх | Cообщить модератору

4. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +/–

Сообщение от Аноним (4), 20-Сен-24, 23:00

Кстати, всегда удивляло, как они узнают порт без скана. Или я проглядел? В порядке эксперимента посадил сурикату мониторить. Это очень подозрительно, что у кого-то есть доступ к трафику.

Ответить | Правка | Наверх | Cообщить модератору

6. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +/–

Сообщение от Аноним (6), 20-Сен-24, 23:21

Сканят же с других машин.
Уже давным давно сети ботнетов разделены на "сканируещие" и "подбирающие вход",
при чем выявить зависимость можно, только если они оперативно данные друг другу перекидывают, например в течении минуты к тебе постучались с одного айпишника по портам, а логины-пароли тут же на этот порт начали кидать с другой подсети.
И да, обходить от бана различные IDS с дефолтовыми настройками - тоже умеют - ну дураки там чай сидят.
И да, банить сканирующий ботнет - эффективность защиты от взлома из второй ботсети близка к нулю.
(А не банить - глупость).

Ответить | Правка | Наверх | Cообщить модератору

13. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." –1 +/–

Сообщение от hrmhmmhtbdr (?), 21-Сен-24, 06:01

На черта их банить? Парольный вход отключается, и пусть ботнеты перебирают пароли сколько хотят.

Ответить | Правка | Наверх | Cообщить модератору

30. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +1 +/–

Сообщение от Ivan_83 (ok), 21-Сен-24, 14:55

Зачем парольный вход отключать да ещё рутом входить запрещать?
Делается хостовый RSA ключ на 16к бит, и настраивается автобан который появился в одной из прошлых версий и этого достаточно.
В итоге боты на слабых железках улетают в бан на минуту (или сколько поставишь, но не рекомендую много) даже до попытки ввода пароля, а те что по сильнее - целый раз в минуту могут пробовать.

Ответить | Правка | Наверх | Cообщить модератору

17. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +1 +/–

Сообщение от Аноним (16), 21-Сен-24, 09:11

Port knocking?

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

31. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +2 +/–

Сообщение от Ivan_83 (ok), 21-Сен-24, 14:56

Для извращенцев у которых много свободного времени.

Ответить | Правка | Наверх | Cообщить модератору

42. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +/–

Сообщение от Аноним (-), 21-Сен-24, 22:26

> Port knocking?
Это круто и прикольно. Но увы манипуляция с фаером и потому высокорисковое занятие. Ибо если случайно сам себя файрвольнуть с своего хоста - энное количество неудобств на ровном месте, что не прикольно.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

21. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +/–

Сообщение от neo one (?), 21-Сен-24, 10:47

>Все равно находят.
детектор твоей неуловимости. роботам лениво. только люди находят ssh на портах 40-60к

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

5. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +/–

Сообщение от Аноним (6), 20-Сен-24, 23:14

"Оставайтесь!
Будете у нас главным инженером!"
(с) оттуда

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

7. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +4 +/–

Сообщение от Аноним (7), 20-Сен-24, 23:33

Это называется «security through obscurity», и помогает приблизительно никак. Если есть подозрения в уязвимости SSH, то надо закрывать фаерволлом от всех кроме доверенных адресов. А если подозрений нет, то чем тебе мешают неудачные попытки аутентификации? В логах неаккуратненько?

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

9. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +3 +/–

Сообщение от Аноним (-), 20-Сен-24, 23:56

> Это называется «security through obscurity», и помогает приблизительно никак.
Это сильно снижает спам от ботов в логах и общую нагрузку на сервер - потому что большая часть ботов долбится на 22 порт - и если это не оно, они просто отваливают искать кого попроще. Делать полный портскан им ессно лень, реурсы ботнета не резиновые. И чем тратить на меня в 65535 раз больше времени - лучше опробовать 65К других хостов с тем же ресурсом.

Ответить | Правка | Наверх | Cообщить модератору

11. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +/–

Сообщение от Аноним (7), 21-Сен-24, 00:43

Нагрузку в циферках покажешь? У меня был один джамп-хост, на котором в пике трафик от ботов генерировал в районе 70Mbps, и почему-то проблем не было: ни Спланк логами не давился, ни он-колл инженеры на латенси не жаловались. Так и стоял с 22 портом в публичный интернет, пока всё в облака не переехало и мы не отказались от SSH вообще.

Ответить | Правка | Наверх | Cообщить модератору

41. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +1 +/–

Сообщение от Аноним (-), 21-Сен-24, 22:24

> Нагрузку в циферках покажешь? У меня был один джамп-хост, на котором в пике трафик
> от ботов генерировал в районе 70Mbps, и почему-то проблем не было:
А у меня был как-то VDS куда я однажды зайти не смог - ибо счет RSA на толпу ботов выжрал проц настолько, что сессия дохла по таймауту ДО того как до меня вообще очередь дойдет. Или как полюбить кастомные порты а потом и 25519, а заодно и port knock, да...
А на левые порты - боты почти не забредают. Они возможно вообще избегают кастомных портов, прикинув что владелец выше среднего и тратить на него ресурсы ботнета нафиг надо когда там вон толпа дефолтных серваков с такими же паролями на хостерском диапазоне. Ботнетчики же бизнес делают и заинтересованы в максимизации профита. А не выносе особо строптивого анона.
> ни Спланк логами не давился, ни он-колл инженеры на латенси не жаловались.
> Так и стоял с 22 портом в публичный интернет, пока всё в облака не переехало
> и мы не отказались от SSH вообще.
Это не мои проблемы и мне не интересно куда вы там пошли. Хотя если настаиваете, могу пару интересных направлений на и в - подкинуть.

Ответить | Правка | Наверх | Cообщить модератору

12. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +/–

Сообщение от penetrator (?), 21-Сен-24, 02:21

запрети логины с пасвордом, логинься по ключу
будет тебе меньше спама

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

15. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +/–

Сообщение от Аноним (15), 21-Сен-24, 08:44

Может хоть ты знаешь как правильное отслеживание и ротацию ключей использовать? Где не искал - разложите ключ и будет безопасно. Как отозвать ключ, как найти где он лежит и вытереть, как отслеживать изменение состава ключей в профиле - пусто. Никто не пишет как грамотно обеспечить безопасность при ключевом заходе.

Ответить | Правка | Наверх | Cообщить модератору

18. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +/–

Сообщение от Аноним (18), 21-Сен-24, 09:24

Может быть просто поменять рриватные ключи на сервере без предупреждения. И ловить лузлы по второму каналу связи с лузерами? ;)

Ответить | Правка | Наверх | Cообщить модератору

20. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." –1 +/–

Сообщение от Аноним (15), 21-Сен-24, 10:46

Так дело не в этом. Вот человечек взял и ушёл из организации. Как отключить действие его ключа? Как найти на каких системах и в каких профилях ключ остался? Ок, если он на крон повесил задачку вкинуть ключ через месяц, как это найти?
Где вообще почитать как работать с ключами от выпуска до отзыва?

Ответить | Правка | Наверх | Cообщить модератору

23. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +/–

Сообщение от Qq (?), 21-Сен-24, 11:06

А у вас что, все юзеры ходят под одним пользователем на сервера? Или их публичные ключи хранятся не в их папке профиля?
А вообще да, если нужен отзыв - то pki и танцы вокруг сертификатов. Я для дома поленился изучать, а организации это немного иной случай

Ответить | Правка | Наверх | Cообщить модератору

27. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +/–

Сообщение от Аноним (27), 21-Сен-24, 13:09

> Ок, если он на крон повесил задачку вкинуть ключ через месяц, как это найти?
а если он туда команду с обратным ssh закинул, как будешь искать?
почему вообще пользователь активен, если человечек взял и ушёл из организации?

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

29. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." –1 +/–

Сообщение от Аноним (15), 21-Сен-24, 14:29

В удаленных читай проблему. Почему-то там мат видите ли был.
Обычный передерг пользователей локалхоста. Сразу про обратный ссш ересь и прочие взломы.
Мы говорим про правильную выдачу и отзыв прав. Такое могут делать только централизованные системы. Керберос, сертификационный центр. Расскажи как с сгенернированными ключами ссш получить туже функциональность
Если вкратце то нам надо быть уверенным что пользователь неактивен. Вот сервер где он был админом. Выключение локальной учетки этого ушедшего пользователя поможет ему больше никогда не получить доступ?

Ответить | Правка | Наверх | Cообщить модератору

34. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +/–

Сообщение от Аноним (27), 21-Сен-24, 15:03

> Обычный передерг пользователей локалхоста.
> Вот сервер где он был админом
Что на локалхосте делают какие-то мутные админы?
С каких пор удаление админа стало "обычным передергом"?
Особенно если мы подозреваем, что этот админ мог насовать тайм-бомб с раскладыванием ключей по разным профилям?
Почему обратный ссх в этом случае ересь? Зачем ему вообще страдать с тайм-бомбами, если у него было возможностей от патчинга sshd до установки руткитов?
С такими вводными про вредного админа вам опенид, оауф и пляски вокруг сертификатов для ссш не особо помогут, т.к. он уже вполне мог и нужные конфиги поправить

Ответить | Правка | Наверх | Cообщить модератору

33. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +/–

Сообщение от Ivan_83 (ok), 21-Сен-24, 15:01

Есть как минимум коммерческий софт который умеет ходить по хостам и составлять список ктого где какие ключи есть и куда оно может подключится.

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

38. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +/–

Сообщение от Аноним (15), 21-Сен-24, 20:55

Зачем?? Есть разные системы где уже это продумали в архитектуре. Вплоть до idp.

Ответить | Правка | Наверх | Cообщить модератору

48. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +/–

Сообщение от penetrator (?), 23-Сен-24, 06:22

> Так дело не в этом. Вот человечек взял и ушёл из организации.
> Как отключить действие его ключа? Как найти на каких системах и
> в каких профилях ключ остался? Ок, если он на крон повесил
> задачку вкинуть ключ через месяц, как это найти?
> Где вообще почитать как работать с ключами от выпуска до отзыва?
у тебя есть список серверов к которым у него был доступ и authorized_keys откуда надо выкинуть его
идентифицируется по той самой публичной части в authorized_keys
взял и выкинул
нужна автоматизация процесса - это другая задача, но решаемая
а сказки про недоверие уволенному пользователю - ну тогда ищи трояна и перенастраивай сервера и данные
и это если он в UEFI не залез, или в какой-нибудь Intel ME
в общем ты бред написал, без аргументации

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

52. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." –1 +/–

Сообщение от Аноним (52), 24-Сен-24, 20:51

passwd, shadow, group - где искать или блокировать пользвоателя. Где стандартизированный список одного-двух файлов откуда можно выкинуть ключи.
Если ты не имел дело с иб и выдачей раскладов кто откуда и куда может ходить - это твои проблемы. Вот им будешь про бред рассказывать когда тебя спросят: а где приватные ключики лежат от этого пользователя что бы их поконтролировать, а?

Ответить | Правка | Наверх | Cообщить модератору

55. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +/–

Сообщение от penetrator (?), 25-Сен-24, 13:04

> passwd, shadow, group - где искать или блокировать пользвоателя. Где стандартизированный
> список одного-двух файлов откуда можно выкинуть ключи.
> Если ты не имел дело с иб и выдачей раскладов кто откуда
> и куда может ходить - это твои проблемы. Вот им будешь
> про бред рассказывать когда тебя спросят: а где приватные ключики лежат
> от этого пользователя что бы их поконтролировать, а?
т.е. в "passwd, shadow, group" у нас уже ключи хранятся?
вот это ыксперт подъехал

Ответить | Правка | Наверх | Cообщить модератору

56. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +/–

Сообщение от Аноним (52), 25-Сен-24, 21:25

Ты совсем что ли дурч0к?
Обычный вход по паролю, стандартный подход дедов - passwd, shadow, group.
Вход по ключу список двух файлов где все их найти - ...

Ответить | Правка | Наверх | Cообщить модератору

58. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +/–

Сообщение от penetrator (?), 26-Сен-24, 19:44

> Ты совсем что ли дурч0к?
> Обычный вход по паролю, стандартный подход дедов - passwd, shadow, group.
> Вход по ключу список двух файлов где все их найти - ...
долпаеп мы про ключи говорили, ветку перечитай, passwd, shadow, group приплел ты в тему с ключами, дословно:
"passwd, shadow, group - где искать или блокировать пользвоателя. Где стандартизированный список одного-двух файлов откуда можно выкинуть ключи."
ты бы перечитывал что пишешь, глядишь бы сошел за менее неадекватного

Ответить | Правка | Наверх | Cообщить модератору

19. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +/–

Сообщение от нах. (?), 21-Сен-24, 09:35

потому что правильный ответ - никак же ж.
И остается только адов гемор с сертификатами. У кого уже есть своя pki и все танцы вокруг например для vpn - тому в общем просто (потому что он уже по самые уши в навозе). А если у тебя сотня мелких клиентов - тебе неповезло.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

22. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +/–

Сообщение от Аноним (15), 21-Сен-24, 10:48

Bingo. Только openid + ssh сертификаты. Вот и всё что я нашёл. Потребностей в колбасе у линуксоидов нет.

Ответить | Правка | Наверх | Cообщить модератору

25. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." –1 +/–

Сообщение от почему (?), 21-Сен-24, 12:24

Ротация что ключей что паролей примерно бесполезна, используй второй фактор или аппаратное хранилище ключей ssh типа гугл титана или юбикея.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

51. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +/–

Сообщение от penetrator (?), 24-Сен-24, 13:07

> Ротация что ключей что паролей примерно бесполезна, используй второй фактор или аппаратное
> хранилище ключей ssh типа гугл титана или юбикея.
вы понимаете зачем нужна ротация паролей? и почему она ненужна для ключей?
ротация паролей изначально преследует цель смены относительно ненадежного пароля на новый с течением времени
чтобы подбирать пароль не было смысла, чтобы у атакующего не хватило времени на перебор
в случае с ключом, перебор будет занимать вечность, нужна только соотвествующая длина ключа, а иначе нет смысла заниматься ключами вообще
это конечно не означает, что нет места автоматизации, но предпосылки другие

Ответить | Правка | Наверх | Cообщить модератору

53. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." –1 +/–

Сообщение от Аноним (52), 24-Сен-24, 20:53

> вы понимаете зачем нужна ротация паролей? и почему она ненужна для ключей?
Конечно и утечек ключа не бывает, и отзывать их не нужно. В комитет по сертификатам подай свои гениальные идеи. А то там архитектуру пки придумывали, списки отзыва, время жизни и всё остальное ненужно.

Ответить | Правка | Наверх | Cообщить модератору

54. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +/–

Сообщение от penetrator (?), 25-Сен-24, 13:01

>> вы понимаете зачем нужна ротация паролей? и почему она ненужна для ключей?
> Конечно и утечек ключа не бывает, и отзывать их не нужно. В
> комитет по сертификатам подай свои гениальные идеи. А то там архитектуру
> пки придумывали, списки отзыва, время жизни и всё остальное ненужно.
тебе известен смысл слова "ротация"? и почему оно произошло от слова вращать? при чем тут отзыв из-за компрометации? совсем не видишь разницы?

Ответить | Правка | Наверх | Cообщить модератору

57. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +/–

Сообщение от Аноним (52), 25-Сен-24, 21:41

Так я ещё слушаю как с ключами сделать список отзыва, блокировку, протухание по времени и прочие стандартные вещи из других способов авторизации.
Хотя где у тебя на локалхосте ибшники то, эксперт, йоэсс.
> ротация паролей изначально преследует цель смены относительно ненадежного пароля на новый с течением времени
Ротация уже не используется во многих местах, начни с статьи https://en.wikipedia.org/wiki/Password_strength и дальше документы nist и обсуждения
> при чем тут отзыв из-за компрометации? совсем не видишь разницы?
Если ты не понимаешь в безопасности и только вращать на чём-то можешь кто тебе лекарь.
В nist примерно такой список, и это всё по паролям:
Check passwords against breached password lists
Block passwords contained in password dictionaries
Prevent the use of repetitive or incremental passwords
Disallow context-specific words as passwords
Increase the length of passwords
Никакого протухания тут нет. А проверки есть.
Жду рассказов какие пункты нужны при работе с ключами для безопасности.
И что делать при компрометации ключа.

Ответить | Правка | Наверх | Cообщить модератору

59. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +/–

Сообщение от penetrator (?), 26-Сен-24, 19:48

Джастин Крюгер и Дэвид Даннинг апплодируют тебе стоя за отличное подтверждение их теорий.
А я устраняюсь от коментирования этого потока субстанции.

Ответить | Правка | Наверх | Cообщить модератору

26. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +1 +/–

Сообщение от Аноним (27), 21-Сен-24, 13:07

где-то скучает sssd

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

39. Скрыто модератором +/–

Сообщение от Аноним (15), 21-Сен-24, 20:58

И зачем, если есть домен, туда запихивать ещё и ключи как отдельную сущность? У тебя уже есть керберос.

Ответить | Правка | Наверх | Cообщить модератору

44. Скрыто модератором +/–

Сообщение от Аноним (27), 22-Сен-24, 00:31

вдруг это не домен, а что-то с LDAP-совместимым интерфейсом?

Ответить | Правка | Наверх | Cообщить модератору

47. Скрыто модератором +/–

Сообщение от Аноним (15), 22-Сен-24, 10:28

> вдруг это не домен, а что-то с LDAP-совместимым интерфейсом?
Теоретически возможно. Но вменяемо как обеспечить прозрачность, как в том же керберос, я не представляю. Даже не встречался с таким. Где-то есть описание как поверх лдап это организовывают? Что бы автоматическая и принудительная ротация ключиков была доступна, зашифровано и прозрачно для пользователя? Сдается мне с приватной частью ключа будут большие проблемы в этой схеме.

Ответить | Правка | Наверх | Cообщить модератору

32. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +/–

Сообщение от Ivan_83 (ok), 21-Сен-24, 14:59

Мой домашний хост на фряхе с 2009 года в сети доступен по ссш, ни разу это не было проблемой или даже чем то заметным, даже когда я начинал на п3.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

14. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +/–

Сообщение от Аноним (14), 21-Сен-24, 06:54

Есть же NTRU Prime.

Ответить | Правка | Наверх | Cообщить модератору

28. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." –2 +/–

Сообщение от Аноним (28), 21-Сен-24, 14:19

Вот ты они работу по udp реализовали.
Хоть по quic или как-то так.

Ответить | Правка | Наверх | Cообщить модератору

50. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +/–

Сообщение от Аноним (50), 23-Сен-24, 11:11

Quic работает медленней tls.

Ответить | Правка | Наверх | Cообщить модератору

36. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +/–

Сообщение от Вы забыли заполнить поле Name (?), 21-Сен-24, 20:03

Существуют ли постквантовые алгоритмы ГОСТ?

Ответить | Правка | Наверх | Cообщить модератору

43. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +3 +/–

Сообщение от Ivan_83 (ok), 21-Сен-24, 23:10

Нет, они ещё шильдик переклеить не успели :)

Ответить | Правка | Наверх | Cообщить модератору

49. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..." +/–

Сообщение от 1 (??), 23-Сен-24, 10:08

Как только соберут квантовый компьютер, так сразу.

Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..."	+/–
Сообщение от Аноним (1), 20-Сен-24, 22:22
> работающая в OpenBSD, Linux и FreeBSD NetBSD как всегда ничего не умеет?
Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..."	+3 +/–
	Сообщение от Аноним (16), 21-Сен-24, 09:04
	Умеет тосты.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	35. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..."	+/–
	Сообщение от Ivan_83 (ok), 21-Сен-24, 18:28
	Посмотрите документацию на mmap(), там должен быть флаг MAP_NOCORE или типа того, он то и используется чтобы память выборочно не дампить.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

2. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..."	+1 +/–
Сообщение от Аноним (2), 20-Сен-24, 22:30
А можно просто поменять порт.
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..."	+4 +/–
	Сообщение от бух. (?), 20-Сен-24, 22:31
	Все равно находят.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..."	+/–
	Сообщение от Аноним (4), 20-Сен-24, 23:00
	Кстати, всегда удивляло, как они узнают порт без скана. Или я проглядел? В порядке эксперимента посадил сурикату мониторить. Это очень подозрительно, что у кого-то есть доступ к трафику.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..."	+/–
	Сообщение от Аноним (6), 20-Сен-24, 23:21
	Сканят же с других машин. Уже давным давно сети ботнетов разделены на "сканируещие" и "подбирающие вход", при чем выявить зависимость можно, только если они оперативно данные друг другу перекидывают, например в течении минуты к тебе постучались с одного айпишника по портам, а логины-пароли тут же на этот порт начали кидать с другой подсети. И да, обходить от бана различные IDS с дефолтовыми настройками - тоже умеют - ну дураки там чай сидят. И да, банить сканирующий ботнет - эффективность защиты от взлома из второй ботсети близка к нулю. (А не банить - глупость).
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..."	–1 +/–
	Сообщение от hrmhmmhtbdr (?), 21-Сен-24, 06:01
	На черта их банить? Парольный вход отключается, и пусть ботнеты перебирают пароли сколько хотят.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..."	+1 +/–
	Сообщение от Ivan_83 (ok), 21-Сен-24, 14:55
	Зачем парольный вход отключать да ещё рутом входить запрещать? Делается хостовый RSA ключ на 16к бит, и настраивается автобан который появился в одной из прошлых версий и этого достаточно. В итоге боты на слабых железках улетают в бан на минуту (или сколько поставишь, но не рекомендую много) даже до попытки ввода пароля, а те что по сильнее - целый раз в минуту могут пробовать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..."	+1 +/–
	Сообщение от Аноним (16), 21-Сен-24, 09:11
	Port knocking?
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	31. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..."	+2 +/–
	Сообщение от Ivan_83 (ok), 21-Сен-24, 14:56
	Для извращенцев у которых много свободного времени.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..."	+/–
	Сообщение от Аноним (-), 21-Сен-24, 22:26
	> Port knocking? Это круто и прикольно. Но увы манипуляция с фаером и потому высокорисковое занятие. Ибо если случайно сам себя файрвольнуть с своего хоста - энное количество неудобств на ровном месте, что не прикольно.
	Ответить \| Правка \| К родителю #17 \| Наверх \| Cообщить модератору


	21. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..."	+/–
	Сообщение от neo one (?), 21-Сен-24, 10:47
	>Все равно находят. детектор твоей неуловимости. роботам лениво. только люди находят ssh на портах 40-60к
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	5. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..."	+/–
	Сообщение от Аноним (6), 20-Сен-24, 23:14
	"Оставайтесь! Будете у нас главным инженером!" (с) оттуда
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	7. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..."	+4 +/–
	Сообщение от Аноним (7), 20-Сен-24, 23:33
	Это называется «security through obscurity», и помогает приблизительно никак. Если есть подозрения в уязвимости SSH, то надо закрывать фаерволлом от всех кроме доверенных адресов. А если подозрений нет, то чем тебе мешают неудачные попытки аутентификации? В логах неаккуратненько?
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	9. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..."	+3 +/–
	Сообщение от Аноним (-), 20-Сен-24, 23:56
	> Это называется «security through obscurity», и помогает приблизительно никак. Это сильно снижает спам от ботов в логах и общую нагрузку на сервер - потому что большая часть ботов долбится на 22 порт - и если это не оно, они просто отваливают искать кого попроще. Делать полный портскан им ессно лень, реурсы ботнета не резиновые. И чем тратить на меня в 65535 раз больше времени - лучше опробовать 65К других хостов с тем же ресурсом.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..."	+/–
	Сообщение от Аноним (7), 21-Сен-24, 00:43
	Нагрузку в циферках покажешь? У меня был один джамп-хост, на котором в пике трафик от ботов генерировал в районе 70Mbps, и почему-то проблем не было: ни Спланк логами не давился, ни он-колл инженеры на латенси не жаловались. Так и стоял с 22 портом в публичный интернет, пока всё в облака не переехало и мы не отказались от SSH вообще.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..."	+1 +/–
	Сообщение от Аноним (-), 21-Сен-24, 22:24
	> Нагрузку в циферках покажешь? У меня был один джамп-хост, на котором в пике трафик > от ботов генерировал в районе 70Mbps, и почему-то проблем не было: А у меня был как-то VDS куда я однажды зайти не смог - ибо счет RSA на толпу ботов выжрал проц настолько, что сессия дохла по таймауту ДО того как до меня вообще очередь дойдет. Или как полюбить кастомные порты а потом и 25519, а заодно и port knock, да... А на левые порты - боты почти не забредают. Они возможно вообще избегают кастомных портов, прикинув что владелец выше среднего и тратить на него ресурсы ботнета нафиг надо когда там вон толпа дефолтных серваков с такими же паролями на хостерском диапазоне. Ботнетчики же бизнес делают и заинтересованы в максимизации профита. А не выносе особо строптивого анона. > ни Спланк логами не давился, ни он-колл инженеры на латенси не жаловались. > Так и стоял с 22 портом в публичный интернет, пока всё в облака не переехало > и мы не отказались от SSH вообще. Это не мои проблемы и мне не интересно куда вы там пошли. Хотя если настаиваете, могу пару интересных направлений на и в - подкинуть.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..."	+/–
	Сообщение от penetrator (?), 21-Сен-24, 02:21
	запрети логины с пасвордом, логинься по ключу будет тебе меньше спама
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору


	15. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..."	+/–
	Сообщение от Аноним (15), 21-Сен-24, 08:44
	Может хоть ты знаешь как правильное отслеживание и ротацию ключей использовать? Где не искал - разложите ключ и будет безопасно. Как отозвать ключ, как найти где он лежит и вытереть, как отслеживать изменение состава ключей в профиле - пусто. Никто не пишет как грамотно обеспечить безопасность при ключевом заходе.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..."	+/–
	Сообщение от Аноним (18), 21-Сен-24, 09:24
	Может быть просто поменять рриватные ключи на сервере без предупреждения. И ловить лузлы по второму каналу связи с лузерами? ;)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..."	–1 +/–
	Сообщение от Аноним (15), 21-Сен-24, 10:46
	Так дело не в этом. Вот человечек взял и ушёл из организации. Как отключить действие его ключа? Как найти на каких системах и в каких профилях ключ остался? Ок, если он на крон повесил задачку вкинуть ключ через месяц, как это найти? Где вообще почитать как работать с ключами от выпуска до отзыва?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..."	+/–
	Сообщение от Qq (?), 21-Сен-24, 11:06
	А у вас что, все юзеры ходят под одним пользователем на сервера? Или их публичные ключи хранятся не в их папке профиля? А вообще да, если нужен отзыв - то pki и танцы вокруг сертификатов. Я для дома поленился изучать, а организации это немного иной случай
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..."	+/–
	Сообщение от Аноним (27), 21-Сен-24, 13:09
	> Ок, если он на крон повесил задачку вкинуть ключ через месяц, как это найти? а если он туда команду с обратным ssh закинул, как будешь искать? почему вообще пользователь активен, если человечек взял и ушёл из организации?
	Ответить \| Правка \| К родителю #20 \| Наверх \| Cообщить модератору


	29. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..."	–1 +/–
	Сообщение от Аноним (15), 21-Сен-24, 14:29
	В удаленных читай проблему. Почему-то там мат видите ли был. Обычный передерг пользователей локалхоста. Сразу про обратный ссш ересь и прочие взломы. Мы говорим про правильную выдачу и отзыв прав. Такое могут делать только централизованные системы. Керберос, сертификационный центр. Расскажи как с сгенернированными ключами ссш получить туже функциональность Если вкратце то нам надо быть уверенным что пользователь неактивен. Вот сервер где он был админом. Выключение локальной учетки этого ушедшего пользователя поможет ему больше никогда не получить доступ?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..."	+/–
	Сообщение от Аноним (27), 21-Сен-24, 15:03
	> Обычный передерг пользователей локалхоста. > Вот сервер где он был админом Что на локалхосте делают какие-то мутные админы? С каких пор удаление админа стало "обычным передергом"? Особенно если мы подозреваем, что этот админ мог насовать тайм-бомб с раскладыванием ключей по разным профилям? Почему обратный ссх в этом случае ересь? Зачем ему вообще страдать с тайм-бомбами, если у него было возможностей от патчинга sshd до установки руткитов? С такими вводными про вредного админа вам опенид, оауф и пляски вокруг сертификатов для ссш не особо помогут, т.к. он уже вполне мог и нужные конфиги поправить
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..."	+/–
	Сообщение от Ivan_83 (ok), 21-Сен-24, 15:01
	Есть как минимум коммерческий софт который умеет ходить по хостам и составлять список ктого где какие ключи есть и куда оно может подключится.
	Ответить \| Правка \| К родителю #20 \| Наверх \| Cообщить модератору


	38. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..."	+/–
	Сообщение от Аноним (15), 21-Сен-24, 20:55
	Зачем?? Есть разные системы где уже это продумали в архитектуре. Вплоть до idp.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	48. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..."	+/–
	Сообщение от penetrator (?), 23-Сен-24, 06:22
	> Так дело не в этом. Вот человечек взял и ушёл из организации. > Как отключить действие его ключа? Как найти на каких системах и > в каких профилях ключ остался? Ок, если он на крон повесил > задачку вкинуть ключ через месяц, как это найти? > Где вообще почитать как работать с ключами от выпуска до отзыва? у тебя есть список серверов к которым у него был доступ и authorized_keys откуда надо выкинуть его идентифицируется по той самой публичной части в authorized_keys взял и выкинул нужна автоматизация процесса - это другая задача, но решаемая а сказки про недоверие уволенному пользователю - ну тогда ищи трояна и перенастраивай сервера и данные и это если он в UEFI не залез, или в какой-нибудь Intel ME в общем ты бред написал, без аргументации
	Ответить \| Правка \| К родителю #20 \| Наверх \| Cообщить модератору


	52. "Релиз OpenSSH 9.9 с поддержкой алгоритма постквантового шифр..."	–1 +/–
	Сообщение от Аноним (52), 24-Сен-24, 20:51
	passwd, shadow, group - где искать или блокировать пользвоателя. Где стандартизированный список одного-двух файлов откуда можно выкинуть ключи. Если ты не имел дело с иб и выдачей раскладов кто откуда и куда может ходить - это твои проблемы. Вот им будешь про бред рассказывать когда тебя спросят: а где приватные ключики лежат от этого пользователя что бы их поконтролировать, а?
	Ответить \| Правка \| Наверх \| Cообщить модератору