dhound Jul 10 2019 at 18:08

Как потерять доступ в лайв систему, просто пошарив исходный код

2 min

23K

Information Security*IT systems testing*Web services testing*IT-companies

+56

Comments 26

amarao Jul 10 2019 at 18:29

Я последовал вашему совету и по максимуму закрыл всё на продакшен системе. Но мне начали звонить пользователи и жаловаться, что не могут получить доступ к нашему сайту, что почта не ходит, да и о том, что телефония не работает я узнал на личный сотовый телефон.

Я обсудил проблему с коллегами и они мне подсказали, что не надо делать всё, что пишут в Интернетах. После того, как я убрал "закрыть всё по максимуму" работоспособность сервисов восстановилась.

-3

kinjalik Jul 10 2019 at 19:01

Вы, похоже, восприняли все буквально. В статье основной посыл — нельзя оставлять в коде в целом и в VCS в частности такие вещи, как сертификаты, пароли, ключи в любом виде и при любой (даже стремящейся к нулю) вероятности эксплуатации этих ключей.

amarao Jul 11 2019 at 09:55

Я хотел показать, что чрезмерно обобщающие советы "делайте безопасно!" неконструктивны, потому что система должна быть не только безопасной, но и работать. Что выводит проблему безопасности из области тривиальной, в область почти недостижимого.

+12

saboteur_kiev Jul 11 2019 at 16:36

Вы, похоже, восприняли все буквально.

Э… IMHO к вам это тоже относится =)

usefree Jul 10 2019 at 23:29

У вас теперь дыра в безопасности.

Boggard Jul 11 2019 at 09:01

«Ну хоть что-то у нас в безопасности!» (с)

+14

cema93 Jul 11 2019 at 01:21

Есть 2 подхода к безопасности:
1) Запретить всё, разрешить только нужное
2) Разрешить всё, запретить только потенциально опасное.
Безопаснее всего использовать первый подход. Да, этот подход сложнее в реализации, но профита от него намного больше.

amarao рекомендую всё же помучиться и открыть только нужные порты.

PS на клиентских проектах именно так и делаю.

amarao Jul 11 2019 at 09:57

Но в рекомендации эксперта ничего не было про открытие чего-либо! Если я открою хоть один порт, система окажется в опасности, потому что у нас а админку basic auth с паролем "123"!

/сарказм, если по первому комменту было непонятно.

thevladmartin Jul 11 2019 at 10:33

Не думал, что на Хабре нужно кому-то что-то разжевывать.

Ваш сарказм неуместен.

-2

amarao Jul 11 2019 at 10:37

Мой сарказм направлен на то, что для очень сложной задачи вы даёте очень простое решение. А когда я показываю на неприменимость простого решения вы говорите "ну разумеется, надо делать сложное решение. Не думал, что нужно всем разжёвывать".

Классическое "за всё хорошее против всего плохого".

thevladmartin Jul 11 2019 at 10:47

Прошу обратить внимание — я не автор статьи.

Кстати, полистал ваши публикации — многое показалось полезным, спасибо.

NightShad0w Jul 10 2019 at 20:51

А как в реальном мире решается проблема доступа к лайв системе для диагностики проблем и обновления? Когда с одной стороны стоит CI/CD и прочая кроссфункиональность команды, а с другой — вполне резонная безопасность и закрытость от лишних людей.

Vamp Jul 10 2019 at 22:31

Обычно закрывают лишние порты от внешнего доступа. Вернее, наоборот, — открывают только нужные порты, а остальные, типа ssh, доступны только из внутренней сети, к которой можно подключиться только через vpn.

У каждого сотрудника должна быть индивидуальная учетка, которая блокируется в момент увольнения. Уровень доступа зависит от роли учетки. Администратор может всё, саппорт только читать логи, а технические учётки (backup, cd) только тот минимум, который необходим для создания бэкапа и выкладки нового кода.

Доступы к учетке для деплоя хранятся в настройках ci системы. Сам доступ к таким настройкам так же ограничен ролью "деплой менеджер".

Доступы к продуктовым внешним сервисам, используемым в коде (база, api), хранятся на продуктовых же серверах (файлики, переменные окружения, vault, whatever...).

Захардкоженых дефолтных юзеров быть не должно — они должны создаваться вручную на этапе первичной инсталляции приложения.

Никаких сложностей в общем нет, главное включать мозги и почаще задавать вопросы "а что если?".

Что если админ уволится? Заблокируем учётку и доступ пропадет.

Что если нечистый на руку программист сольёт код налево? Ничего, так как пароли от прода есть только на проде.

KorDen32 Jul 11 2019 at 20:01

А потом эта идиллия при определенных объемах компании начинает давать сбои.
Например на этапе создания архитектуры не учли возможность появления роли «посередине», например «вторая линия саппорта», которым прав админа много, а прав саппорта — мало. Но архитектура по каким-либо причинам не позволяет в определенных местах сделать что-то «по середине» (требуется серьезное перепиливание определенного слоя).
Сюда добавляется бюрократическо-организиацонная махина большой компании, по которой у саппорта не может быть второй учетки для повышения привилегий, или еще чего этакое.
И вот уже в отделе появляются «обходные пути».

keydon2 Jul 10 2019 at 23:04

В статье подменяют понятия "не открывать код" и "не хранить приватную информацию в репозитории".
Добавлю, что очень удобно давать доступы только после письма на отдельную почту.
После увольнения можно будет пробежаться по письмам и удалить каждый доступ. А не мучительно вспоминать все ли удалили.

-1

cema93 Jul 11 2019 at 01:24

Лучше доступы выдавать систематизировано, через специализированное ПО. Как только уволили сотрудника система автоматом все доступы прикрыла.
Идея в том, чтобы свести «человеческий фактор» к минимуму

Nick_Shl Jul 11 2019 at 01:05

Так а что с "новым разработчиком" случилось-то? Жив хоть? Может его машина сбила…

VolCh Jul 11 2019 at 09:00

Статья бы выиграла с примером как очистить репу от ключа или пароля полностью. Сорри, с телефона не смогу набросать пример.

dididididi Jul 11 2019 at 13:59

Поменять все пароли и ключи, которые когда-либо светились в репе.

kkirsanov2 Jul 11 2019 at 14:52

stackoverflow.com/a/17824718

ggo Jul 11 2019 at 09:25

Все что написано, здраво, но как всегда есть нюансы:
— в git-репозитариях лежат конфиги ansible, puppet, etc, т.е. от хранения ключей, паролей совсем избавиться как-бы не получается (да, есть vault, etc, но это снижение рисков, а не устранение проблемы)
— сотрудник работающий 2 дня, и сотрудник работающий 2 года, в общем случае у сотрудника всегда есть доступ к некоторой информации. и проблема отзыва всех прав ушедшего сотрудника — это проблема процесса увольнения. Технические тулы упрощают жизнь конечно, но без процесса это не живет.

karavan_750 Jul 11 2019 at 11:17

— в git-репозитариях лежат конфиги ansible, puppet, etc, т.е. от хранения ключей, паролей совсем избавиться как-бы не получается (да, есть vault, etc, но это снижение рисков, а не устранение проблемы)

А кто мешает разделить код приложений от кода системы управления конфигурациями?
У меня (админа) нет доступа к коду приложений, а у разрабов нет доступа к коду salt.

ggo Jul 12 2019 at 19:09

Это понятно.
Но в сабже рекомендуют вообще не ложить ключи, пароли в git. Что в текущих условиях, уже не работает

karavan_750 Jul 13 2019 at 20:02

В абсолюте это невозможно в принципе, но можно минимизировать риски путем ограничения лиц, которым доступен код содержащий ключи/пароли.

jetcar Jul 11 2019 at 13:30

всё секретное должно быть на энвайроменте и уж никак не в коде, ну а если чтото было в коде, а потом убралось то надо было сменить ключи везде, статью можно переименовать, в «Как потерять доступ если не соблюдаешь(не знаешь\игноришь) правила безопастности»

ну и в открытый доступ можно выкладывать только то в чём на 100% уверен, если же раньше были дыры, то наверно не надо эту историю выкладывать, а только текущее состояние, полагаю если поискать то можно ещё дырок найти которые недофикшеные или не правильно дофикшеные

VJean Jul 11 2019 at 14:51

Напомнило, как в 2016 году выкладывали исходники ICQ на гихаб. habr.com/ru/news/t/391669

Show the best of all time