« Rev
@openstack_ru   725
Fwd »


Aleksandr
ну и стильно, модно, молодёжно, конечно же
и выпилили фатальный недостаток - кролика
Monsieur
да, да, в том числе
Anonymous
сегодня когда возился с одним инстансом, чисто случайно заглянул в консоль и обнаружил что кто-то через VNC получил доступ к тачке. и создал файл в /etc/grub.d/ root@dvld1:/etc/grub.d# cat 40_custom #!/bin/sh exec tail -n +3 $0 # This file provides an easy way to add custom menu entries. Simply type the # menu entries you want to add after this comment. Be careful not to change # the 'exec tail' line above. set superusers="root" password root jana (да я знаю что я дурак и обязан был закрыть эти порты) Вопрос, как они смогли получить доступ к инстансу через VNC, а ещё лучше как они получили доступ к VNC. В настройках cloud-init инстанса был включён юзер root.
Илья | 😶☮️🐸
уверены что vnc ?
Илья | 😶☮️🐸
я подобное видел, vnc на проекте не было, скорее всего через уязвимость
Илья | 😶☮️🐸
Anonymous
уверены что vnc ?
файл редактировался через сессию tty1
Илья | 😶☮️🐸
файл редактировался через сессию tty1
без авторизации же не выйдет что-то сделать
Anonymous
без авторизации же не выйдет что-то сделать
использовался cloud образ ubuntu-20.04, был включён root через cloud-config.
Anonymous
дефолтный юзер ubuntu не выпиливался
96eae59ecc096eb98e63cbe
чем олтичаются limits и quota? в документации такое ощущение что это взаимозаменяемые слова, но команды две разные — openstack quota и openstack limits edit: В сервисе Compute Cloud действуют следующие ограничения: Квоты — организационные ограничения, которые можно изменить по запросу в техническую поддержку. Лимиты — технические ограничения, обусловленные особенностями архитектуры Yandex.Cloud. Изменение лимитов невозможно.
Vyacheslav
Время поста на Хабре 🤣
в начале внести правки, а после уж пост писать оду о подвиге.
Anonymous
А какие там сервисы были запущены и доступны из вне, помимо vnc?
да по сути все, я не закрывал никаких портов, так как поднимал это дело для теста
I
да по сути все, я не закрывал никаких портов, так как поднимал это дело для теста
т.е. значит скомпрометирован опенстек целиком, а не инстанс? Если там только был vnc, скорее всего свежей версии
I
я подобное видел, vnc на проекте не было, скорее всего через уязвимость
Вроде там мог быть уязвим только сам vnc, если я правильно понял
Илья | 😶☮️🐸
Вроде там мог быть уязвим только сам vnc, если я правильно понял
тем не менее, без знания данных для входа сомнительно
Anonymous
ещё возможно дело в том что я включил рут пользователя через #cloud-config, при этом не задавал ему пароль
Anonymous
но все равно они бы не смогли попасть на сервер ибо была включена авторизация только по ssh ключам
Anonymous
разве что только через vnc
I
разве что только через vnc
vnc смотрел наружу, и можно было зайти с root-ом без пароля?)
Anonymous
vnc смотрел наружу, и можно было зайти с root-ом без пароля?)
использовался cloud образ убунты у которого по умолчанию отключен юзер root
Anonymous
я его включил
Anonymous
disable_root: false
Anonymous
Хз, стоит ли у него пароль по дефолту или нет...
Anonymous
Да, я знаю, я дурак
96eae59ecc096eb98e63cbe
а что подразумевается под vnc? novnc client опенстака или vnc сервер, слушающий на порту инстанса?
I
Да, я знаю, я дурак
Если это тестовый инстанс, без чувствительной информации, то наверное ничего сильно страшного не произошло
96eae59ecc096eb98e63cbe
так для получения доступа к инстансу через novnc proxy нужен токен, который получается из кейстоуна
Anonymous
китаец мог и через 6081 порт подключиться, я думаю
96eae59ecc096eb98e63cbe
разве для xvpvncproxy не нужна аутентификация?
Vladimir
Всем добрый день!
Vladimir
Вопрос: Собрав кластер из хостов на ~ 300 ядер, 2 TB ОЗУ. Можно ли выделить на одну гостевую виртуалку 200 ядер и 1TB ОЗУ.
AcidMan
Чисто теоритечиски это реально?
правильно я понимаю, что вы хотите получить виртуалку, превышающую по параметрам физический хост?
AcidMan
Да верно
ну а подумать? 🙂
Руслан
ну а подумать? 🙂
пассивная агрессия
Руслан
человек зашел посоветоваться, потому что не разобрался сам
AcidMan
человек зашел посоветоваться, потому что не разобрался сам
слушайте, ну когда спрашивают, сколько будет 2+2, не разобравшись… наверное, всё же в чаты надо приходить чуть более подготовленным? не считаете так?
Dmitry
Почему чисто теоретически нельзя? Оверкоммит и вперёд :)) можно даже ооом задизейблить
Stepan T.
слушайте, ну когда спрашивают, сколько будет 2+2, не разобравшись… наверное, всё же в чаты надо приходить чуть более подготовленным? не считаете так?
Отвечать по существу дешевле по ресурсам, чем катать длинные простыни, в которых вы доказываете собственное превосходство.
Dmitry
Мы точно в рунете?
AcidMan
Почему чисто теоретически нельзя? Оверкоммит и вперёд :)) можно даже ооом задизейблить
какой нафиг оверкоммит? тут речь не о том, чтобы разместить на физцпу с 20 ядрами 10 виртуалок по 4 ядра каждая.
Dmitry
всяко лучше ссылкой на документацию кинуть в человека, чем токсичить
Какой докой, если тут глупый вопрос, ответ на который находится с самом вопросе?
Vladimir
Какой докой, если тут глупый вопрос, ответ на который находится с самом вопросе?
Ответив нет или да Вы бы потратили намного меньше времени :)
Vladimir
Спасибо за ответы! Я Вас понял.
AcidMan
в таком вопросе ответ «нет» приведёт к еще большой токсичности и совершенно глупой дискуссии, а почему. а чо за фигня и всё в таком духе. потому что задавая такой вопрос, явно видно, что отсутствуют базовые знания по данной теме. а здесь не начальная школа и не детский сад, чтобы объяснять прописные истины.
Руслан
Обсуждаем все про OpenStack, от использования до инсталляции, и от переводов до отправки патчей в апстрим.
Руслан
из описания группы
AcidMan
ну откровенно говоря, вопрос глобально не имеет отношения к опенстеку 🙂
AcidMan
как сказал ранее, это история уровня букваря
Руслан
не люблю, когда так менторят джунов, извините
Руслан
дайте ему строчку какую-то с предложением загуглить её
Руслан
не люблю, когда так менторят джунов, извините
кроме того, что технологии надо освоить, ещё и насмешки выслушивать
Dmitry
и как таком токсичном окружении еще и кто-то кроме джунов вырастает - непонятно
Aleksandr
Давайте это слово забаним а? Оно утомляет. Надо знать меру. Как и вопросы про впихнуть невпихуемое
Dmitry
подобную реакцию вызывает то, что человек вместо того, чтобы потратить 5 минут (буквально) своего времени - пришел тратить чужое. Если бы было потрачено 5 минут времени, получилось бы сформулировать более умный вопрос - более умный вопрос скорее всего привел бы его к пониманию и, следующим этапом - ответу на изначальный. И после этого вопрос сюда был бы сформулирован совсем по-другому и не вызвал "пассивную агрессию", как тут выразились
Dmitry
с уточкой всегда полезно поговорить
Den
и как таком токсичном окружении еще и кто-то кроме джунов вырастает - непонятно
https://ru.wikipedia.org/wiki/%D0%A1%D0%B8%D0%BD%D0%B4%D0%B8%D0%BA%D0%B0%D1%82 защита ниши 😎
AcidMan
так до чего угодно можно самому дойти, где эта граница проходит, после которой можно вопрос задавать?
это очень просто вычисляется. хороший вопрос содержит в себе 80% ответа. ща попробую ссылочку найти из кубер-чатега
Aleksandr
так до чего угодно можно самому дойти, где эта граница проходит, после которой можно вопрос задавать?
У каждого подобного рода коммюнити обычно есть свод правил который говорит о том что должно быть сделано перед тем как задать вопрос
Руслан
и в закрепе нет
Aleksandr
Если у этого канала его нет то пора создать и запинить(или как это называется тут)
Dmitry
https://ru.wikipedia.org/wiki/%D0%A1%D0%B8%D0%BD%D0%B4%D0%B8%D0%BA%D0%B0%D1%82 защита ниши 😎
и даже в условиях "синдикатов" (аналогия, конечно, не выдерживает критики) - все равно умудряется что-то расти 🙂
Dmitry
так нет его в описании чата
предлагаю придумать 🙂 тогда и пассивной агрессии станет меньше, фауна станет "чище"
Pavel
С точки зрения "как правильно задавать вопросы". вопрос задан правильно и позволяет однозначно ответить "да". При этом сам человек уже должен понять "но такая фигня получится". Опять же если например стоит цель именно в выделении такой вм (не в корректной работе), то цель будет достигнута.
« Rev
@openstack_ru   725
Fwd »