852 ответов в теме

[bse76]

Маньяки, подскажите, как убрать требования к паролям в Debian? Нужен пользователь без пароля...

[Slotos]

sudo passwd user -d

[Mersia]

Если не считать ругани от клиентов на подмену сертификата. Хотя вопрос, в принципе, решается добавлением доверенного корневого сертификата в домене.

Мало ты проверял, мало.

Во первых если не добавлять сертификат, оно не просто ругается, а начинает безбожно глючить.

 

Но даже если добавить сертификат, все еще остаются сайты и сервисы, которые не хотят работать.

Например у нас на фирме, фаервол после deep inspection не давал прогрузить сервисы гугла через Firefox ни на 1 компе. В то время как на Chrome эти сервисы работали ОК.

Так что от идеи не прозрачного прокси мы отказались из-за нестабильности решения.

 

Ну а на счет прозрачного прокси, который будет тебе еще и HTTPS считывать, то это невозможно.

Есть лишь единичные случаи, предназначенные для некоторых специфических сервисов/сайтов, которые могут расшифровывать пакеты.

[Infine]

Например у нас на фирме, фаервол после deep inspection не давал прогрузить сервисы гугла через Firefox ни на 1 компе. В то время как на Chrome эти сервисы работали ОК.

Это HSTS скорее всего, когда я тестил, его еще не было.

Ну а на счет прозрачного прокси, который будет тебе еще и HTTPS считывать, то это невозможно.

Що значит невозможо? Этим регулярно занимаются всякие провайдеры, особенно если ползать по сайтам "из списка". Другое дело, что сертификаты плющит, сайты с HSTS не грузятся и т.д.

http://docs.mitmprox...wmitmproxy.html

[Mersia]

Это HSTS скорее всего, когда я тестил, его еще не было.

Що значит невозможо? Этим регулярно занимаются всякие провайдеры, особенно если ползать по сайтам "из списка". Другое дело, что сертификаты плющит, сайты с HSTS не грузятся и т.д.

http://docs.mitmprox...wmitmproxy.html

Прозрачный прокси просто редиректит тебя на https сайт и не способен ничего расшифровывать. О чем ты вообще говоришь?

Ни 1 прозрачный прокси не способен понять что ты делаешь на https сайте. А то что ты посылаешь свои dns запросы и они не зашифрованы - это уже другая история, и именно этим пользуются провайдеры.

 

Статья, которую ты мне скинул, описывает вышеупомянутый мной сценарий с принятием сертификата прокси на хостах. Этот сценарий мы отрабатывали, и он оказался нестабильным и был отбракован.

 

Короче говоря, нет в России ни 1 провайдера, который бы успешно и без палева мог быть MITM. И не существует непрозрачного прокси, который бы работал с любыми HTTPS сайтами.

Сообщение отредактировал Mersia: 07 June 2016 - 12:27

[Infine]

Прозрачный прокси просто редиректит тебя на https сайт и не способен ничего расшифровывать. О чем ты вообще говоришь?

Ни 1 прозрачный прокси не способен понять что ты делаешь на https сайте. А то что ты посылаешь свои dns запросы и они не зашифрованы - это уже другая история, и именно этим пользуются провайдеры.

 

Статья, которую ты мне скинул, описывает вышеупомянутый мной сценарий с принятием сертификата прокси на хостах

Прозрачный прокси это когда клиент посылает запрос к ресурсу и получает ответ, а посередине прокси, который запрос и ответ в состоянии прочитать. В данном случае HTTPS-прокси работает как MITM и прикидывается удаленным сервером. В HTTPS от этого защита - сертификаты, но если у клиента добавить доверенный корневой сетификат, которым mitmproxy будет подтверждать сгенерированные на ходу сертификаты, то надежда у клиента только на HSTS. Естественно, для этого надо распространять свой корневой сертификат, волшебства не бывает. Когда я это делал, для всяких вконтактиков и фейсбучиков оно работало (ну т.е. клиент без всяких прописанных проксей по https, может даже через анонимайзер, подключался к вконтактику, и его расстреливало по ключевым словам на странице), но нынче HSTS, и работать оно будет только в связке с браузером, который это дело игнорирует (АФАИК списки крупных сайтов, использующих HSTS, нонче прошиваются прямо в браузер, и даже обрезание соответствующих хедеров не поможет).

 

EDIT: оно не HSTS, вроде, а HPKP.

Сообщение отредактировал Infine: 07 June 2016 - 13:12

[bse76]

sudo passwd user -d

если бы...
система ругается: "user" is not the sudoes file. This incident will be reported.

[Infine]

если бы...
система ругается: "user" is not the sudoes file. This incident will be reported.

Ну дак пропиши в sudoers пользователя, от которого запускаешь sudo. Если оно надо (наверное таки не надо, раз ты хочешь ему пароль сбросить, лол). Ну или от рута выполняй (без судо, естественно).

Сообщение отредактировал Infine: 07 June 2016 - 12:59

[Psihius]

Маньяки, подскажите, как убрать требования к паролям в Debian? Нужен пользователь без пароля...

 

sudo passwd user -d

 

Не я конечно понимаю, что достаёт, но всё-же не стоит.

Но есть лайфхак

sudo bash

И всё И действует только на текущую сессию терминала, и если выполнить exit, то возвращаешься обратно в терминал обычного пользователя.

Сообщение отредактировал Psihius: 07 June 2016 - 23:27

[Infine]

Статья, которую ты мне скинул, описывает вышеупомянутый мной сценарий с принятием сертификата прокси на хостах. Этот сценарий мы отрабатывали, и он оказался нестабильным и был отбракован.
 
Короче говоря, нет в России ни 1 провайдера, который бы успешно и без палева мог быть MITM. И не существует непрозрачного прокси, который бы работал с любыми HTTPS сайтами.

Наша дискуссия меня несколько заинтриговала, и мне стало интересно, как там нынче у HTTPS-влезаторов.
 
В результате беглого изучения вопроса стало понятно, что старость - не радость, dansguardian скопытился аж 5 лет назад, и готовых решений нонче днем с огнем не сыщешь. Для фильтрации контента есть eCAP/I-CAP, но это АПИ/протокол, а не вынь-да-положь.
 
Ну ничего, и не таких обламывали.
 
Водризул, значит, я на kvm десяточку (интересно ж посмотреть что за чучело). убунтосерверочку свежую, поставил сквид (3.5.скокатотам из реп). И обломался, потому что он собран без ssl-bump. Пересобрал с нужныи ключиками кальмара, потрахался с конфигом (потому что в каждой сраной минорной версии сквида всё ломают), поставил бинд, чтобы резолвить хост с проксёй, потрахался с сетью (оказалось, что ssl-bump'у мешал ipv6).
 
В общем, долго ли, коротко ли (скорее долго - пол дня убил), но получилось вот такая красота (с добавлением корневого центра сертификации в доверенные, естественно)

 

Накидайте примеров сайтов, которые могут поломаться. Проверил гугл с мылом, яндекс, пейсбук, втентакле, одноквасников (этих всех только главные страницы, ибо нет аккаунтов). Вроде все вертятся. Проверял в мозилле, эдже и яндекс-браузере. Единственный, кто сругался, был яндекс браузер (подозреваю что хромой тоже сматерится). Сказал, что сертификат выдан BOHF'ом, и ваша организация - контрол фрики и параноики. Эдж и яндекс подхватили сертификат из системного хранилища, в мозилу пришлось руками пихать.

 

Завтра попробую инжекнуть eCAPом какой-нибудь жабаскрипт, наверное.

[Slotos]

Не я конечно понимаю, что достаёт, но всё-же не стоит.

Но есть лайфхак

sudo bash

И всё И действует только на текущую сессию терминала, и если выполнить exit, то возвращаешься обратно в терминал обычного пользователя.

Во-первых, `sudo bash` суть моветон. Юзай `sudo -s` или `sudo -i`.

 

Во-вторых, вопрос был о паролях в Дебиан, а не безпарольном судо. Удаление пароля и даёт безпарольного юзера в дебиан. Свежесозданный юзер тоже нуждается в удалении пароля, посколько по умолчанию пароль для него выключен (хеш в шедоу установлен в значение, которое не может быть результатом хеш-функции).

 

В-третьих, какая связь между `sudo bash` и `sudo passwd -d user`, окромя выполнения через судо?

[Mersia]

Наша дискуссия меня несколько заинтриговала, и мне стало интересно, как там нынче у HTTPS-влезаторов.
 
В результате беглого изучения вопроса стало понятно, что старость - не радость, dansguardian скопытился аж 5 лет назад, и готовых решений нонче днем с огнем не сыщешь. Для фильтрации контента есть eCAP/I-CAP, но это АПИ/протокол, а не вынь-да-положь.
 
Ну ничего, и не таких обламывали.
 
Водризул, значит, я на kvm десяточку (интересно ж посмотреть что за чучело). убунтосерверочку свежую, поставил сквид (3.5.скокатотам из реп). И обломался, потому что он собран без ssl-bump. Пересобрал с нужныи ключиками кальмара, потрахался с конфигом (потому что в каждой сраной минорной версии сквида всё ломают), поставил бинд, чтобы резолвить хост с проксёй, потрахался с сетью (оказалось, что ssl-bump'у мешал ipv6).
 
В общем, долго ли, коротко ли (скорее долго - пол дня убил), но получилось вот такая красота (с добавлением корневого центра сертификации в доверенные, естественно)

 

Накидайте примеров сайтов, которые могут поломаться. Проверил гугл с мылом, яндекс, пейсбук, втентакле, одноквасников (этих всех только главные страницы, ибо нет аккаунтов). Вроде все вертятся. Проверял в мозилле, эдже и яндекс-браузере. Единственный, кто сругался, был яндекс браузер (подозреваю что хромой тоже сматерится). Сказал, что сертификат выдан BOHF'ом, и ваша организация - контрол фрики и параноики. Эдж и яндекс подхватили сертификат из системного хранилища, в мозилу пришлось руками пихать.

 

Завтра попробую инжекнуть eCAPом какой-нибудь жабаскрипт, наверное.

Ты можешь спокойно поставить взломанный Kerio и он будет делать все перечисленное тобой и еще больше. Найти это можно на рутракере.

И если хочешь проверить как твоя сборка будет офегительно работать, пусти через неё еще хотя бы 5 компов.   

 

Конечно, посидев с каждым клиентом по отдельности, с каждым его браузером, с каждым его сайтом, можно добиться 99% успеха (обычно "добиваться успеха" ты будешь просто загоняя сайты в bypass ). Но это в теории все, а на практике пошлешь ты все это нахрен уже через неделю. Потому что для работы это все не подходит.

 

Для того чтоб в продакшен запускать какое-либо решение, оно должно быть практически идеальным и и стабильным. А иначе оно не будет стоить того времени что ты на него потратишь. Так вот, осминожка не годится для промышленного расшифровывания (и кэшинга, потому что без кешинга сквид никому не нужен) HTTPS трафика.

МАКСИМУМ что из неё можно будет выжать - расшифровку youtube траффика, для последующего кэширования и, т.о. уменьшения суммарного трафика всего провайдера на 40%.

 

SSL и был создан для того, чтоб такие прохаванные как мы не могли быть MITM. И каждый раз когда находится решение способное это дело лишить смысла, обновляется версия SSL. Так что никогда не будет нормального рабочего решения для считывания HTTPS траффика

Сообщение отредактировал Mersia: 08 June 2016 - 20:07

[Infine]

Так вот, осминожка не годится для промышленного расшифровывания (и кэшинга, потому что без кешинга сквид никому не нужен) HTTPS трафика.

МАКСИМУМ что из неё можно будет выжать - расшифровку youtube траффика, для последующего кэширования и, т.о. уменьшения суммарного трафика всего провайдера на 40%.

Не, ну ты завернул, промышленное использование для кеширования трафика всего провайдера. Это как та строчка из доков каннела "длина очереди по умолчанию миллион сообщений, чего достаточно для большинства конфигураций".

 

Естественно речь идет не о промышленных масштабах (можно подумать лолкерио умеет в промышленные масштабы), а о контент фильтре для организации. И естественно банки в таких случаях идут в байпасс, а компутеры бухгалтерии в вайтлист.

[AVE]

Вот не надо из Kerio (Control же ты в виду имеешь?) панацею от всех бед делать. Я с ней работал когда она еще называлась Kerio WinRoute Firewall. Это было адовое тормозное глюкалово, которое худо-бедно работало только в случае если на каждый комп впихать свой набор правил (а не на всю сетку, как все кериовские гайды советуют). Лицензию мы покупали лет 5, так что я знаю о чем говорю. Потом я плюнул, потратил пару дней и перешел на связку squid+iptables на дебиан-сервере, который уехал на один из старых офисных компов. Эта связка отлично пахала весь остаток того времени что я работал в той организации, и, судя по тому что я слышу - работает там до сих пор.

[Psihius]

Во-первых, `sudo bash` суть моветон. Юзай `sudo -s` или `sudo -i`.

 

Во-вторых, вопрос был о паролях в Дебиан, а не безпарольном судо. Удаление пароля и даёт безпарольного юзера в дебиан. Свежесозданный юзер тоже нуждается в удалении пароля, посколько по умолчанию пароль для него выключен (хеш в шедоу установлен в значение, которое не может быть результатом хеш-функции).

 

В-третьих, какая связь между `sudo bash` и `sudo passwd -d user`, окромя выполнения через судо?

Ты запускаешь bash окружение из под пользователя, который тебе нужен. В Убунте, покрайней мере, это root. Т.е. ввёл один раз пароль от рута и всё, дальше работаешь как рут. Зато рут у тебя только в этой копии баша, а не во всей системе к руту доступ без парооля...

[Mersia]

 

 (можно подумать лолкерио умеет в промышленные масштабы), 

думаешь не умеет?

Можно поставить не керио, но Fortigate, правда лицензия будет стоить тысячи $ в год.

Вот не надо из Kerio (Control же ты в виду имеешь?) панацею от всех бед делать. Я с ней работал когда она еще называлась Kerio WinRoute Firewall. 

Дальше можно не продолжать, это было давно и не правда))))

У меня есть вера в керио установленный на хорошее железо. Ровно как и RouterOS (Mikrotik) в качестве локального edge router для MPLS сетей.

 

Естественно речь идет не о промышленных масштабах (можно подумать лолкерио умеет в промышленные масштабы), а о контент фильтре для организации. И естественно банки в таких случаях идут в байпасс, а компутеры бухгалтерии в вайтлист.

В таком случае это все имеет место быть, при условии что не будет попытка кешировать https траффик, а только лишь block/allow этих сайтов. И работать это будет лишь потому что dns запросы идут не по шифрованному каналу.

Сообщение отредактировал Mersia: 09 June 2016 - 10:22

[Infine]

думаешь не умеет?

Когда я последний раз пользовался продуктами керио, они глючили и тормозили шопесец. Впечатления как у вышеотписавшихся.

Можно поставить не керио, но Fortigate, правда лицензия будет стоить тысячи $ в год.

За тысячи $ в год можно, наверное, организовать нужную функциональность в ATS.

В таком случае это все имеет место быть, при условии что не будет попытка кешировать https траффик, а только лишь block/allow этих сайтов. И работать это будет лишь потому что dns запросы идут не по шифрованному каналу.

1) В чем проблема кеширования? Ну не считая того, что сквид прожорливый по части памяти под кеширование.
2) ДНС запросы тут ни при чем - squid их не может видеть по определению. А работает это из-за SNI.
 
ЗЫ: пруф оф концепт с InnerHTML.replace таки сработал

Проблемы только с пожатыми страницами и кодировками, но и то и то в принципе решаемо.

[Slotos]

Ты запускаешь bash окружение из под пользователя, который тебе нужен. В Убунте, покрайней мере, это root. Т.е. ввёл один раз пароль от рута и всё, дальше работаешь как рут. Зато рут у тебя только в этой копии баша, а не во всей системе к руту доступ без парооля...

Ещё раз сядь и подумай. Речь не о безпарольном судо, а о безпарольном рядовом юзере. Какого чёрта ты рута и sudo сюда плетёшь?

 

Более того, безпарольный юзер, прописанный в sudoers без NOPASSWD, sudo не пройдёт. Банально на вводе пароля завалится. Так что даже таким образом "во всей системе к руту доступ без пароля" сюда не пришьёшь.

[Infine]

Более того, безпарольный юзер, прописанный в sudoers без NOPASSWD, sudo не пройдёт. Банально на вводе пароля завалится. Так что даже таким образом "во всей системе к руту доступ без пароля" сюда не пришьёшь.

[citation needed]. Я щас в 16.04 бубунте проверил, сделал тестового пользователя без пароля, записал его в судоерс, залогинился и успешно сделал sudo. Сначала с NOPASSWD. Потом убрал, sudo -k и уже без него. Пароль даже не спрашивало.

[Slotos]

Тест на Ubuntu 14.04.4 перед написанием текста. useradd, passwd -d, vim sudoers, cat /etc/shadow, su -l, sudo -i.

 

Кстати, сейчас в другом порядке провёл - пустило. Люблю такое поведение, сейчас походу очередные полчаса на игру с эдж кейсом потрачу.