Корректно ли создавать юзеров с подобными именами?

Question

[historydev]

useradd "6'.>|36d%B"

Могут ли возникнуть какие-то баги в случае подобного имени пользователя?

Comments

[Алексей Уколов]

Какие-то - ещё как могут. В мире огромное количество самого разного ПО со своими особенностями.
Надо не страдать ерундой, а просто настроить фаервол на сервере. Security through obscurity.

[historydev]

Алексей Уколов, как мне в таком случае обезопасить имя пользователя от подбора?

[paran0id]

historydev, а зачем? защищайте пароли, а не логины.

[Алексей Уколов]

Встречный вопрос - как так за 15 лет моей работы на серверах у меня ни разу не возникло задачи "обезопасить имя пользователя от подбора"?

[historydev]

paran0id,

Пароль не подобрать, не зная имя пользователя)
Пароли тоже защищу через f2b, хотел изначально ключи поставить, потом подумал слишком открыто будет.

Хотя если брать в учёт, что я планирую выдать права на определённую команду и условно пару папок, звучит норм.

[historydev]

Алексей Уколов, пароль подбирается к юзеру же)

[pfg21]

Да. Это и есть скрытое поле для подтверждения входа.
Посоветую выкинуть пароли нафих и пользовать ключи.
Подбор длинного ключа задача на тыщщи-мильёны лет с математическим подтверждением сложности.
Я забил. Хотя логи периодически заполняются студентами любителями подбиралок

[historydev]

pfg21,

Проблема ключей в том, что выдав ключи с обратной связью для всех виртуалок, каким-то образом попав в одну, ты получаешь доступ ко всем.

Какой длины ключ генерировать стоит и в какой кодировке?

[pfg21]

historydev, не правильно ты дядь федор всё понимашь..... :) как понимаю под виндой живешь ?? :)

ключи генеряться и получаются от клиента.
на сервере же лежит открытый ключ (который потому и открытый что его в открытую можно показывать всем, хотя хаккирам впрямую посылать).
по открытому ключу не возможно получить закрытый ключ, который есть только у клиента и используется собственно для авторизации.

посмотри на досуге время подбора ключа RSA4k e25519

[historydev]

pfg21,

Да, на винде, пингвин с "любовью" nvidia к нему не вариант)

Клиент в данном случае виртуалка 1, а сервер виртуалка 2, так-же в обратную сторону.

Я понял что подобрать ssh ключ это проблема)

ахахаха

По запросу время подбора ключа RSA4k e25519 ничего не найдено. 

Рекомендации:

Убедитесь, что все слова написаны без ошибок.
Попробуйте использовать другие ключевые слова.
Попробуйте использовать более популярные ключевые слова.
Попробуйте уменьшить количество слов в запросе.

[historydev]

pfg21,

Кстати у меня проблема в этом плане с хостом pve, я ищу способ входа по ключу, с отключением входа по паролю полностью, в данный момент пароль из генератора 20+ символов со всякими знаками, но это не внушает мне доверия.

Хотя не знаю нужно ли мне это, порты я все к нему закрыл, он работает как прокси сервер, направляет в виртуалки порты, сеть виртуалок я через iptables забанил и f2b поставил.

[pfg21]

historydev, учитца тебе еще и учитца... :)
следующим шагом обычно при наличии умений в погромированиях становится использования в авторизации подправленных функций :)
обычные же функции шифровании всем известны и известно как их вскрыть.
а вот изменив пару строк байт можно получить функцию не вскрываемую ибо никто не знает ее алгоритму :)

[historydev]

pfg21,

Учусь-учусь, цель была просто сервак домашний для статики, вместо виртуалки у хостера за 2 гроша, т.к. интересно этим заниматься в данный момент.

[historydev]

pfg21, по итогу я ci/cd системы тут настраиваю сижу, а мне бац, подкинули задачку)

[pfg21]

historydev, хых блин, ты так и будешь "типа кр00тiiми вещами" заниматься, а хакать тебя будут по тупым косячным недоделкам....
не зная базовых вещей ты высоко не взлетишь.... учись базе. а то все твои "ci/cd системы" будут вскрываться в тырнетике на раз-два-три и восстанавливать их без постоянных бекапов и самотестов будешь долго и муторно...

[historydev]

pfg21,

Хотел бы я углубляться настолько во что либо, сидел бы в офисе и пердел в кресло.

Я углубляюсь пока мне это интересно, надоест - поменяю.

Сам факт того, что сервак вскрыли- это уже новый опыт и интересно.

Фраза в кавычках это что вообще за дичь, так кто-то говорит?

[pfg21]

historydev, сам факт что сервак вскрыли и у тебя нет бекапов говорит о том что изучать ci/cd тебе пока рано. а стоит изучать методы "создания, защиты систем, а также варианты бекапов, работу с бекап-образами систем" а уже потом лезть выше. коннтейнеризация сервиса еще и дополнительного все упрощает.

[historydev]

pfg21,

Да, я согласен, бэкап мне нужно изучить, но у меня нет второго диска, куда бэкапить.

Видимо придётся заказать.
Я задавал вопрос сюда по поводу бэкапов, какой-то умник меня отговорил и я забил.
Мол не нужно бэкапить хост, только виртуалки - тупость очевидная.

Но по причине того, что у меня нет второго диска, я остановился на изучении clonezilla на одной из виртуалок.

[historydev]

pfg21, забавный факт, мой пароль светился 130 раз здесь: https://haveibeenpwned.com/Passwords

[pfg21]

historydev, потому пароли и не использую :)

[historydev]

pfg21,

А как не использовать пароли на гипервизоре?

Мне же нужно как-то в админку попадать, я ничего толкового не нагулил для pve.

[pfg21]

historydev, обычный ssh доступ к консоли. ты ж все равно проксмокс внутри операцинной системы устанавливаешь.
ну если про веб-гуй интерфейсы то используй проброс порта внутри ssh-соединения. ssh хрен кто вскроет.
под винду смотри putty и его последователей.

[historydev]

pfg21,

Ого, круто, я не знал что так можно, попробовал, работает!

проброс порта внутри ssh-соединения

Как понять внутри? Он же и есть операционка основанная на deb12

[historydev]

pfg21, https://codex.so/ssh-tunnel

В конце статьи он пишет что это не "продакшн" решение, а как это работать в проде должно?

Как это вообще называется?

Всё поверх ssh строится?

[pfg21]

historydev, а какая разница, это просто образ деб12 + впихнутый внутрь проксмокс.
также и отдельно можно поставить.
если в комплекте установки нет sshd, то доустановить из репы и прописать ключ клиента в ~/.ssh/authorized_keys

[historydev]

pfg21,

Я могу выключить вход по паролю ssh, смогу попасть потом в веб интерфейс?

При входе два варианта, это Linux PAM и PVE auth, я планирую отключить и pam, и вход по паролю, он меня пустит?

Или как мне это настроить правильно?

Завтра буду сносить всё и ставить по новой, хочу сразу всё нормально сделать.

[pfg21]

historydev, ssh при авторизации по ключу не использует linux pam, оно такое не нужно.
есть ~/.ssh/authorized_keys со списком допущенных ключей для данного локального пользователя.
если стучащийся предъявлет правильный ключ, то он получает доступ к консоли под указанным локальным пользователем.
у меня на в авторизед_кейс куча ключей лежит: от двух рабочих компов, от ноута, от домашнего и с телефона могу "если чё" зайти и наверное еще куча устаревших. надобы почистить...

веб-интерфейс pve отдельно тебя проверит как там у него внутре записано.
ssh просто пробросит порт с локального компа клиента на порт сервера. он даже не будет разбираться http там идет, али ftp smtp или что еще, использующее tcp-соединение.
в принципе можно наверное прописать веб-интерфейсу давать автоматическую авторизацию при заходе c локального 127.0.0.1 (sshd будет от этого адреса "заходить" в веб-интерфейс)

[historydev]

pfg21, ssh да, а веб интерфейс юзает linux pam, я отключил вход по паролю, оставил linux pam, видимо его нельзя убирать, иначе морда пве не будет работать.

[pfg21]

> pfg21, https://codex.so/ssh-tunnel
> В конце статьи он пишет что это не "продакшн" решение, а как это работать в проде должно?
> Как это вообще называется?
> Всё поверх ssh строится?

пропустил :) да, проброс порта ssh не для активного использования в продакшене.
тут подразумевается использования про,роса порта через ssh к примеру для доступа из интернета к локально развернутому сайту.
ssh не рассчитывался на множество активных сессий.
для этого надо использовать спец.заточенные прокси, впн и всякое прочее...

но для редкого доступа к веб панеле настроек вполне хватит.
я через ssh пробрасываю rdp покдлючение к винде - удобно и асболютно защиенно

[pfg21]

historydev, ага нашел почему ты вспомнил pve и pam :) это две опции в веб-интерфейсе проксмокса.
пардон в нем не копался.

Answer 1

[Алексей Уколов]

Гарантии, что такие имена не вызовут проблем, вам никто не даст.
Хотите - делайте, но это пустая трата времени. Для защиты сервера есть нормальные проверенные инструменты, их и нужно изучать и использовать. А выдумывая какие-то спецсимволы в именах, перенося ssh на другой порт и скрывая, что у вас используется Nginx, вы создаёте для себя иллюзию безопасности, ничего значительного не добавляя к безопасности реальной.

Comments

[historydev]

Скрыв технологию, я избавляю себя от стандартного "бла-бла exploit", так что здесь не согласен.

С именем да, поэтому и решил узнать.

На данный момент f2b + ssh ключи это всё что я знаю.

[Алексей Уколов]

Скрыв технологию, я избавляю себя от стандартного "бла-бла exploit", так что здесь не согласен.

Не избавляете. Просто вам попытаются закинуть сразу и nginx exploit, и apache exploit. Причём, скорее всего, так сделают, даже если ваш сервер будет кричать каждому встречному, что на нём крутится nginx - куда проще сделать две попытки, чем пытаться определить, что там у вас.

[historydev]

Алексей Уколов, и как быть?

[Алексей Уколов]

Обновлять систему, обновлять ПО, настраивать фаервол, использовать подключение по ключам и сложные пароли, корректно настраивать права доступа на файлы, запускать сервисы от специальных пользователей (а ещё лучше в контейнерах). И всё равно найдётся какой-нибудь 0-day, которым можно будет воспользоваться. Спасает только то, что никому на самом деле ваши сервера не нужны, и при первой же сложности китайский робот-взломщик пойдёт пытаться добавить в свой ботнет кого-нибудь другого.

[Vladimir]

Полностью согласен, правильно настроенные firewall, f2b и ssh больше половины известных атак отсекают

[historydev]

Алексей Уколов, то что они не нужны, да, это спасает, т.к. если вскрыл с определённой целью, зачем себя выдавать)

Поэтому я и не хочу сносить систему, считая что это шалость или бот, получил доступ, сменил пароль и всё.

Answer 2

[Oleg P.]

проблемы возникнут гарантировано. Имя не может начинаться с цифры, должно включать только ограниченный набор символов:

adduser: Please enter a username matching the regular expression configured
via the NAME_REGEX configuration variable.  Use the `--force-badname'
option to relax this check or reconfigure NAME_REGEX.

default NAME_REGEX="^[a-z][-a-z0-9]*\$"

Неприятно смотреть даже на вполне обычные имена длинее 8 символов, например, last их режет, или имя в верхнем регистре, или зачем-то на русском. Впечатление, что люди не знают о GECOS