Чем опасен RCON?

Чем опасен RCON?

Обзор Обсуждение
Mioji

Mioji

Пользователь
Сообщения
1 252
Решения
46
Mioji добавил(а) новый ресурс:

You must be logged in to see this link. - Почему вам не нужно использовать RCON.

Не многие понимают риски использования RCON на продакшн серверах, по этому я вам постараюсь объяснить проблемы и уязвимости этого протокола. Сам по себе RCON может показаться удобным, это так и есть, но явно не для серверов в продакшене (Особенно средних-больших, где много серверов), скорее всего для тестовых серверов он может быть удобным.


Проблемы:
  • Не зашифрованный: В отличии остальных протоколов, классический RCON передаёт трафик в чистом виде без...
Нажмите для раскрытия…

You must be logged in to see this link.
 
Mioji написал(а):
Mioji добавил(а) новый ресурс:

You must be logged in to see this link. - Почему вам не нужно использовать RCON.



You must be logged in to see this link.
Нажмите для раскрытия…
Ну вот насчёт брута - я тут посчитал, циферки прикинул, лично решил посмотреть, сколько времени займёт перебор всех комбинаций из всех цифр и букв длинной в 6 символов (без учёта спец.символов).
Итог - 12 секунд, 1 комбинация за 6 нс.
Но
Загадка от жака фреско - сколько времени займёт пробрутить пароль из 12 символов
 
Mioji написал(а):
Атаки: Нет защиты от брутфорса и атак. Нет лигирования, нет двухи, нет лимитов и многого чего.
Нажмите для раскрытия…
offtop
Ну так сделай ... как я это сделал для себя.

А на счет отсутствия криптографии - это да, жирный-жирный минус, который ограничивает использование безопасное использование rcon пределами доверительной сети. Собственно, наверное и не предполагается, что rcon будет использоваться на удаленных серверах
 
Последнее редактирование:
Мало информации об этом протоколе. Больше вводных. Больше примеров. Где применяют чаще всего. Можно более подробно описать в каких случаях и что лучше использовать вместо RCON.
 
Evijoke написал(а):
Мало информации об этом протоколе. Больше вводных. Больше примеров. Где применяют чаще всего. Можно более подробно описать в каких случаях и что лучше использовать вместо RCON.
Нажмите для раскрытия…
Тут лишь приведены примеры и самые популярные логичные причины НЕ использовать RCON. Дальше уже решай сам, зная про все риски. В Minecraft его используют чаще всего хостинги и донат сервисы для обработки команд, но это не безопасно, по этому я привёл пример с EasyDonate и TradeMc, где есть альтернатива.
 
Mioji написал(а):
Тут лишь приведены примеры и самые популярные логичные причины НЕ использовать RCON. Дальше уже решай сам, зная про все риски. В Minecraft его используют чаще всего хостинги и донат сервисы для обработки команд, но это не безопасно, по этому я привёл пример с EasyDonate и TradeMc, где есть альтернатива.
Нажмите для раскрытия…
Если использовать его только через rcon-cli для подключения к интерактивной консоли сервера, всё равно стоит искать альтернативы? И если да, какие варианты можно рассмотреть?
 
lolochka123 написал(а):
Если использовать его только через rcon-cli для подключения к интерактивной консоли сервера, всё равно стоит искать альтернативы? И если да, какие варианты можно рассмотреть?
Нажмите для раскрытия…
Через фаервол можно обезопасить, но говорю сразу - это не панацея. Сама реализация RCON максимально небезопасная и самое главное неудобная))) Если кто-то проникнет на определённый уровень системы, то фаервол тут не поможет. Например уязвимый плагин сможет получить полный доступ к хосту через RCON, если сам Minecraft сервер не изолированный от всего, а так же сам Docker (если и пользуется) должен быть защищён, например каким-то Docker socket proxy.

По этому просто не используй RCON. Тебе в настройке сервера нужно залатать все уязвимые зоны, через которые можно получить доступ к основному хосту.
 
Mioji написал(а):
Через фаервол можно обезопасить, но говорю сразу - это не панацея. Сама реализация RCON максимально небезопасная и самое главное неудобная))) Если кто-то проникнет на определённый уровень системы, то фаервол тут не поможет. Например уязвимый плагин сможет получить полный доступ к хосту через RCON, если сам Minecraft сервер не изолированный от всего, а так же сам Docker (если и пользуется) должен быть защищён, например каким-то Docker socket proxy.

По этому просто не используй RCON. Тебе в настройке сервера нужно залатать все уязвимые зоны, через которые можно получить доступ к основному хосту.
Нажмите для раскрытия…

RCON обычно используют потому что это просто дешевле, чем делать что то своё.
Хоть и в защите фаерволом есть ньюансы, но все же помогает в основном.
А насчём уязвимого плагина – просто не качайте плагины от куда попало. Тем более уязвимый плагин и без ркона может полностью снести вам сервер, украсть все пароли (от Velocity, от баз данных и т.д.) да и саму сборку в общем.
 
Art_Farm написал(а):
RCON обычно используют потому что это просто дешевле, чем делать что то своё.
Нажмите для раскрытия…
От силы 5к стоит написание своего протокола и безопасного api между сайтом и сервером... Главная задача это обработать команду безопасно.

И да, ты буквально можешь взять исходный код EasyDonate и использовать для своей альтернативы. Он open source.
Авторизуйтесь для просмотра ссылок.

Art_Farm написал(а):
А насчём уязвимого плагина – просто не качайте плагины от куда попало. Тем более уязвимый плагин и без ркона может полностью снести вам сервер, украсть все пароли (от Velocity, от баз данных и т.д.) да и саму сборку в общем.
Нажмите для раскрытия…
Безусловно. Это база. Но при правильной настройке тачки и гигиены, вред от взлома будет минимальный, по крайней мере можно снизить степень вреда. А бэкдоры и уязвимости могут быть во всех плагинах, официальные источники не значит что там не могут быть ошибки самих разработчиков.
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу