Fórum Root.cz
Hlavní témata => Server => Téma založeno: klingac01 22. 05. 2015, 11:43:02
-
Ahojte spravujem si svoj maly vps a okrem inych sluzieb tam mam FTP server Filezilla. Stale ho pouzivam, len ak potrebujem mat zapnuty prenos pripadne ak viem, ze niektory klient potrebuje ftp download inokedy ho vypinam. No 18.5 som pozabudol a zisitl som to az 22.5. a logy ma dost prekvapili. Mojim prezretim sa nic vazne asi nestalo no prijmem nejaku diskusiu od povolanejsich. VPS bezi na W Server 2008. Dakujem ;)
-
Mojim prezretim sa nic vazne asi nestalo no prijmem nejaku diskusiu od povolanejsich. VPS bezi na W Server 2008. Dakujem ;)
A diskutovat chceš jako o čem? Provozovat v dnešní době FTP je totální krávovina, na tom není nic k diskusi.
-
Nestalo se nic, jedno neúspěšný přopojení jako anonym, nějaký pokusy použít nepodporovaný šifrování, nějaký pokusy komunikovat přes HTTP, nečekaně taky neúspěšný a nějaký připojení a odpojení na timeouty. Popravdě se divím, že tam je toho za 4 dny tak málo, ale můžeš být klidnej.
-
Mojim prezretim sa nic vazne asi nestalo no prijmem nejaku diskusiu od povolanejsich. VPS bezi na W Server 2008. Dakujem ;)
A diskutovat chceš jako o čem? Provozovat v dnešní době FTP je totální krávovina, na tom není nic k diskusi.
poučte mne, co je tedy lepší?
-
sftp ?
-
Hodte si tam ssh na alternativni port a pouzivejte sftp/rsync/sshfs, jak se to zrovna na kterou vec hodi. Login samozrejme jen pomoci klicu nebo si tam nechte i moznost s heslem, kdyby se neco posralo, ale zajistete, aby se jednalop o krute dlouhe a komplikovane heslo, ktere si budete susit v KeePassX.
-
Hodte si tam ssh na alternativni port
proc? kdyz:
Login samozrejme jen pomoci klicu
-
Hodte si tam ssh na alternativni port
proc? kdyz:
Login samozrejme jen pomoci klicu
treba kvuli mensimu trafficu... na port 22 se pripojuje snad kazdy, na port 23785 tech pozadavku bude mensi mnozstvi...
-
Hodte si tam ssh na alternativni port
proc? kdyz:
Login samozrejme jen pomoci klicu
Protoze me treba nebavi se prehrabovat v logu, ktery obsahuje i nekolik tisic ilegalnich pokusu o login kazdy den. Kdyz jsem jednou mel pres deset tisic utoku z jedne ip se zavirovanymi Widlemi z nejake univerzity v Brazilii, hodil jsem to nekam nahoru a bylo ticho. Navic jsem jeste radsi nainstaloval denyhosts.
-
Na běžných portech se fakt nedá s logama vůbec pracovat, prostě tam jsou stovky a tisíce záznamů za den.
Dnes doba pokročila do stádia, že vlastně všechny otevřené služby/porty jsou pod neustálým tlakem ze strany náhodných IP odkudkoliv.
Je třeba si zvyknout a brát to jako standard bude to do budoucna asi ještě horší.
-
A diskutovat chceš jako o čem? Provozovat v dnešní době FTP je totální krávovina, na tom není nic k diskusi.
Proč?
Jak byste lépe řešil situaci, kdy potřebujete nějaký společný file dropbox na věci, které nejsou tajné, důležitější je, aby to byl velmi rozšířený protokol, aby se vetšina relativních BFU (myslím ty, co alespoň ví, co je to soubor) mohli snadno se svým filemanagerem připojit a efektivně nahrát/stáhnout větší množství souborů (třeba fotky z digitálního foťáku v plném rozlišení)?
Šifrování je pro tento usecase nadbytečné, akorát zdržuje klienta i server. Přihlášení certifikátem taky, to lidi nebudou umět použít, vrchol schopností je jméno a heslo. A bezpečnost je u takového vsftpd bežícím pod omezeným uživatelem v chroot jailu dostatečná, přes to nikdo systém nehackne.
Ano, FTP je starý, podivně navržený protokol, ale nic, co by ho pro tento účel nahradilo, se zatím neprosadilo.
-
VPS bezi na W Server 2008. Dakujem ;)
Spláchnout do hajzlu a pořádně vyvětrat ;-)
-
Jak byste lépe řešil situaci, kdy potřebujete nějaký společný file dropbox na věci, které nejsou tajné, důležitější je, aby to byl velmi rozšířený protokol, aby se vetšina relativních BFU (myslím ty, co alespoň ví, co je to soubor) mohli snadno se svým filemanagerem připojit a efektivně nahrát/stáhnout větší množství souborů (třeba fotky z digitálního foťáku v plném rozlišení)?
Pokud by to takhle bylo, tak bych potom asi nedaval logy do diskuse a neptal se, jestli tam k necemu nedoslo, ze :)
-
Jak byste lépe řešil situaci, kdy potřebujete nějaký společný file dropbox na věci, které nejsou tajné, důležitější je, aby to byl velmi rozšířený protokol
Základem služby by byl unixový systém (pravděpodobně GNU/Linux), na který by se ukládaly soubory. Ty se pak dají zpřístupnit pomocí různých protokolů současně – k těm samým souborům můžeš přistupovat různými protokoly. Použil bych v první řadě SFTP (založené na SSH, neplést s FTPS) a WebDAV (založený na HTTPS). Vedle toho by tam případně šlo spustit i NFS, Sambu nebo to FTPS. Ale SFTP + WebDAV pokryjí potřeby prakticky 100 % uživatelů.
Nebo se koukni na OwnCloud (https://owncloud.org/).
-
K tomu owncloudu doporučuju pak ten server min. za 100.000 dedikovanej max. na každejch pět uživatelů... viz debata vedle. :P
-
Takže rootovská klasika, někdo se tady na něco zeptal, zdejší intelektuální osazenstvo ho zdrbalo za tisíc blbostí, ale nikdo neporadil. S tímhle přístupem se běžte všichni vycpat!
-
Takže rootovská klasika, někdo se tady na něco zeptal, zdejší intelektuální osazenstvo ho zdrbalo za tisíc blbostí, ale nikdo neporadil. S tímhle přístupem se běžte všichni vycpat!
Jaktože nikdo neporadil? Rad bylo několik: 1. opustit FTP, 2. změnit port, 3. zavést autentizaci certifikáty
Když se někdo zeptá, jak si rezavým nožem odoperovat dioptrie, tak mu taky řeknu, že by to měl radši nechat na doktory, kteří to dělají laserem, a nebudu mu radit, jaký typ rezavého nože použít.
-
On se ptal na to co, je v logu a k tomu se nikdo nevyjádřil, to je jako když se zeptam, jak mam opravit stěrač u škodovky a někdo mi odpoví abych si koupil BMW. Rada nad zlato.
-
On se ptal na to co, je v logu a k tomu se nikdo nevyjádřil,
Opravdu? Nebyl to hned třetí příspěvek?! http://forum.root.cz/index.php?topic=11235.msg131018#msg131018
to je jako když se zeptam, jak mam opravit stěrač u škodovky a někdo mi odpoví abych si koupil BMW. Rada nad zlato.
Ne, je to jako když se někdo zeptá, co je lepší:
poučte mne, co je tedy lepší?
...a dostane odpověď, co je lepší.
-
S tímhle přístupem se běžte všichni vycpat!
Tak začni a pošli fotku...
;D :D
-
Ahojte spravujem si svoj maly vps a okrem inych sluzieb tam mam FTP server Filezilla. Stale ho pouzivam, len ak potrebujem mat zapnuty prenos pripadne ak viem, ze niektory klient potrebuje ftp download inokedy ho vypinam. No 18.5 som pozabudol a zisitl som to az 22.5. a logy ma dost prekvapili. Mojim prezretim sa nic vazne asi nestalo no prijmem nejaku diskusiu od povolanejsich. VPS bezi na W Server 2008. Dakujem ;)
No v tych logoch toho zas tak vela nie je. Aj tie pokusy ktore tam vidis su zrejme od nejakych botov (rozumej scriptov) ktore vyhladavaju vo svete derave sluzby. Takze neber si to osobne. V ostatnych prispevkoch ak neporadili tak ti naznacili ktorym smerom by si sa mal uberat - (lepsie hesla, sifrovacie kluce, pripadne iny SW) ja doporucim este firewall (ak to situacia umoznuje). Faktom je ze akakolvek sluzba ktoru spristupnis svetu bude vzdycky osahavana roznymi nenechavcami a ich bootmi :). Niektore sluzby je mozne chranit resp. ukryt tzv. port knockingom (gugl), alebo nejakym fw. pluginom limitovat pocet pokusov o spojenie - to je uz ale pre viac skusenych firewalovych harcovnikov a pri niektorych protokoloch nie vzdy dobre pouzitelne.
-
Pokud mate auth jen klicem tak stejne prehrabujete logy? No dobre, kdyz mate tolik casu.
Nahrada? Jednoznace bylo receno. A klientu vcetne tech widlich(winscp) je mraky. FTP je proste relikt minulosti ktery je potreba sejmout. V prostredi internetu prave pomoci SSH a v intranetu je mnohem lepsi samba.
-
Pokud mate auth jen klicem tak stejne prehrabujete logy? No dobre, kdyz mate tolik casu.
V /var/log/auth jsou ted jenom udalosti tykajici se prihlaseni do ssh? Asi jsem neco zaspal.
-
V /var/log/auth jsou ted jenom udalosti tykajici se prihlaseni do ssh? Asi jsem neco zaspal.
V 70. letech vynalezli takový šikovný příkaz, jmenuje se grep :-) Přijde mi padlé na hlavu nutit všechny kolem, aby si upravovali svoje ~/.ssh/config, jen kvůli tomu, že správce serveru neumí číst logy.
-
Přijde mi padlé na hlavu nutit všechny kolem, aby si upravovali svoje ~/.ssh/config, jen kvůli tomu, že správce serveru neumí číst logy.
Tazatel říkal, že situace je taková, že ftp server se zapne jenom když tam někdo chce něco nahrát. Čili zadat navíc port je pořád megapohodlnější než zavolat správci, ať ten ftp server pustí, protože tam potřebuju něco nahrát ;)
-
V /var/log/auth jsou ted jenom udalosti tykajici se prihlaseni do ssh? Asi jsem neco zaspal.
V 70. letech vynalezli takový šikovný příkaz, jmenuje se grep :-) Přijde mi padlé na hlavu nutit všechny kolem, aby si upravovali svoje ~/.ssh/config, jen kvůli tomu, že správce serveru neumí číst logy.
Ano, zapomnel jsem. Grep! Prikaz, ktery cte logy a upozornuje na zajimave veci. BTW, proc by si vsichni meli upravovat ~/.ssh/config?
-
Ano, zapomnel jsem. Grep! Prikaz, ktery cte logy a upozornuje na zajimave veci.
Grep má volbu -v, která vypisuje řádky nevyhovující vzoru, tím si odfiltruješ to nezajímavé. Nebo si nastavíš logování, jak potřebuješ, třeba aby ty nezajímavé zprávy končily v jiném souboru.
BTW, proc by si vsichni meli upravovat ~/.ssh/config?
Aby nemuseli pokaždé zadávat ssh -p 12345 název-serveru.example.com
-
BTW, proc by si vsichni meli upravovat ~/.ssh/config?
Aby nemuseli pokaždé zadávat ssh -p 12345 název-serveru.example.com
Aha, vam v bashi nechodi ctrl-R, tak musite hned upravovat ~/.ssh/config.
-
Dakujem za podnetnu diskusiu. Ano FTP zapinam len ked je potreba prenosu dat - ide stale o nie citlive data takze tam ma nezaujima az tak bezpecnost ich prenosu. Ak tak si ich predtym zasifruju cez gpg. Hesla su viac ako 10 miestne len pre istotu. Z toho co som tu mal moznost precitat mam zmenit port na nejaky vyssi ? Nebude to len zbytocnost , kedze bot si pozrie vsetky porty?
Pouzit FTPS alebo SFTP? No a taktiez rozmyslam, ze povolim pristup len z danych IPciek resp. by som tie "zavadne" dal na ban list.
-
ide stale o nie citlive data takze tam ma nezaujima az tak bezpecnost ich prenosu. Ak tak si ich predtym zasifruju cez gpg.
Nejde o bezpečnost přenosu dat, ale především loginu a hesla. Viz http://en.wikipedia.org/wiki/File_Transfer_Protocol#Security
Hesla su viac ako 10 miestne len pre istotu.
To je právě celkem zbytečný :)
Z toho co som tu mal moznost precitat mam zmenit port na nejaky vyssi ?
Ne, máš FTP zrušit a přejít na některou z bezpečných alternativ, který tady zazněly.
Nebude to len zbytocnost , kedze bot si pozrie vsetky porty?
To boty běžně nedělají.
No a taktiez rozmyslam, ze povolim pristup len z danych IPciek resp. by som tie "zavadne" dal na ban list.
Nevymýšlej nesmysly a přejdi na bezpečný protokol.
-
Bot si obvykle vsechny porty neoscanuje, protoze by to trvalo moc dlouho. Jde po znamych sluzbach, hlavne po tech, kde je nadeje, ze se jedna o nesifrovany protokol, jako FTP nebo nejaky, kde existuje sance, ze tam ma nekdo nejake defaultni heslo nebo nejake dstatecne proflaknute.
Jinak to, ze tam nemate tajna data, neni duvodem k pouziti FTP. Co kdyz vam nekdo odposlechne heslo a pak vam na server nahraje nejake zajimave veci? Treba detske porno nebo nejake zajimave skripty, ktere pak budou provadet kdovi co?
-
Použil bych v první řadě SFTP (založené na SSH, neplést s FTPS) a WebDAV (založený na HTTPS). Vedle toho by tam případně šlo spustit i NFS, Sambu nebo to FTPS. Ale SFTP + WebDAV pokryjí potřeby prakticky 100 % uživatelů.
Že jste vyjmenoval tolik protokolů, je právě ten problém. V tom se běžný uživatel nevyzná (už jen ty podobné názvy SFTP vs. FTPS), soupeří jich příliš mnoho a žádný se univerzálně neprosadil. Umí třeba některý z nich Total Commander bez stahování extra pluginů? A o tom to je. Nebudu kvůli nechopnosti komunity se dohodnout konfigurovat na serveru několik daemonů, když stačí jen jeden a dokonce ani nemusí běžet pořád, spustí ho xinetd on demand.
Je to podobný problém jako u e-mailu. Stále funguje zastaralý SMTP bez autentizace odesílatele. Prostě proto, že metod, jak ho vylepšit, bylo navrženo příliš mnoho a je to tudíž tak roztříštěné, že se žádná univerzálně neprosadila, takže společným jmenovatelem je pořád staré SMTP.
Jinak to, ze tam nemate tajna data, neni duvodem k pouziti FTP. Co kdyz vam nekdo odposlechne heslo a pak vam na server nahraje nejake zajimave veci? Treba detske porno nebo nejake zajimave skripty, ktere pak budou provadet kdovi co?
Větší riziko úniku hesla, než odposlechnutí, je malware u některého uživatele, vykrádající konfiguráky filemanagerů. Proti tomu vám sebelépe zabezpečený přenos hesla nepomůže. A z adresářů, kam má přístup FTP daemon, se samozřejmě žádné skripty spustit nedají, je to chroot jail a vsftpd ve výchozí konfiguraci executable flag vymaskuje.
-
Jinak to, ze tam nemate tajna data, neni duvodem k pouziti FTP. Co kdyz vam nekdo odposlechne heslo a pak vam na server nahraje nejake zajimave veci? Treba detske porno nebo nejake zajimave skripty, ktere pak budou provadet kdovi co?
Větší riziko úniku hesla, než odposlechnutí, je malware u některého uživatele, vykrádající konfiguráky filemanagerů. Proti tomu vám sebelépe zabezpečený přenos hesla nepomůže. A z adresářů, kam má přístup FTP daemon, se samozřejmě žádné skripty spustit nedají, je to chroot jail a vsftpd ve výchozí konfiguraci executable flag vymaskuje.
Stejne vam malware muze lohnout klice a passprhrasi. To, ze to zatim malware nedela, tak jako jiz existuje malware, ktery krade hesla z TotalCommanderu, neznamena, ze to nejde a mozna je to jen tazka casu. Jak mate ve stroji malware, mozne je vsechno.
-
On se ptal na to co, je v logu a k tomu se nikdo nevyjádřil, to je jako když se zeptam, jak mam opravit stěrač u škodovky a někdo mi odpoví abych si koupil BMW. Rada nad zlato.
Mrkni na druhou odpověď. A jinak s tebou souhlasím. Pročíst těch pár řádků logu bylo rychlejší, než vymýšlet, co je špatně na FTP.
A na FTP je špatně spousta věcí, ale na druhou stranu, obzvlášť když to používá, jak to používá a pokud tam není nic extra citlivýho a důležitýho, proč ne. Je to protokol, kterej se dá použít téměř odkudkoliv bez dalších kravinek. Sice rozumím tomu, že každej správnej Linuxák sebou nosí flashku s Live distrem, ale opravdu není potřeba si brát na kuželky tank, protože ta stará blbá koule prostě stačí.
-
Bot si obvykle vsechny porty neoscanuje, protoze by to trvalo moc dlouho. Jde po znamych sluzbach, hlavne po tech, kde je nadeje, ze se jedna o nesifrovany protokol, jako FTP nebo nejaky, kde existuje sance, ze tam ma nekdo nejake defaultni heslo nebo nejake dstatecne proflaknute.
Jinak to, ze tam nemate tajna data, neni duvodem k pouziti FTP. Co kdyz vam nekdo odposlechne heslo a pak vam na server nahraje nejake zajimave veci? Treba detske porno nebo nejake zajimave skripty, ktere pak budou provadet kdovi co?
99,9% hostingu ti jako jedinou moznost jak se k tomu webu dostat nabidne ftp ... v lepsim pripade ... v horsim nejaky sileny webovy rozhrani.
-
Bot si obvykle vsechny porty neoscanuje, protoze by to trvalo moc dlouho. Jde po znamych sluzbach, hlavne po tech, kde je nadeje, ze se jedna o nesifrovany protokol, jako FTP nebo nejaky, kde existuje sance, ze tam ma nekdo nejake defaultni heslo nebo nejake dstatecne proflaknute.
Jinak to, ze tam nemate tajna data, neni duvodem k pouziti FTP. Co kdyz vam nekdo odposlechne heslo a pak vam na server nahraje nejake zajimave veci? Treba detske porno nebo nejake zajimave skripty, ktere pak budou provadet kdovi co?
99,9% hostingu ti jako jedinou moznost jak se k tomu webu dostat nabidne ftp ... v lepsim pripade ... v horsim nejaky sileny webovy rozhrani.
No tak on psal, ze ma VPS, ze? Takze si tam snad muze nainstalovat neco lepsiho, nez FTP. Ostatne jak se tam asi pripojuje, aby si to FTP zapnul a vypnul? Predpokladam, ze ne pres telnet.
-
No tak on psal, ze ma VPS, ze? Takze si tam snad muze nainstalovat neco lepsiho, nez FTP. Ostatne jak se tam asi pripojuje, aby si to FTP zapnul a vypnul? Predpokladam, ze ne pres telnet.
Třeba má na webu obrovský nezabezpečený klikátko FTP ON/FTP OFF, kterým to zapíná a vypíná a dokonce se to klikátko dá najít i přes Google. Ale to je stejně fuk, FTP má rozhodně svoje použití, např. můžeš někomu poslat odkaz včetně jména a hesla a ten je schopnej to použít, aniž by cokoliv doinstalovával, nastavoval atd. Prostě si to na windowsech otevře v exploreru, vypadá to jako normální složka a může si od tam něco stáhnout, něco tam uploadnout... pořád lepší, než gigový soubory posílat přes ulož to nebo podobnou bejkárnu. Osobně mám na svým VPS taky FTP, taky ho zapínám, jenom když potřebuju, už jsem ho nezapnul aspoň dva roky, ale někdy je to prostě neocenitelně jednoduchej způsob, jak si vyměnit soubor s totálním laikem, pro kterýho je právě spuštění exploreru a přetažení něčeho myší tam nebo zpět vrcholem počítačové gramotnosti.
-
Použil bych v první řadě SFTP (založené na SSH, neplést s FTPS) a WebDAV (založený na HTTPS). Vedle toho by tam případně šlo spustit i NFS, Sambu nebo to FTPS. Ale SFTP + WebDAV pokryjí potřeby prakticky 100 % uživatelů.
Že jste vyjmenoval tolik protokolů, je právě ten problém.
V první řadě jsem vyjmenoval dva: WebDAV a SFTP. V distribucích GNU/Linuxu můžeš s oběma pracovat v pohodě a hned, stačí zadat URL do správce souborů, případně si je připojit přes FUSE. WebDAV funguje i ve Windows (nebo alespoň fungoval – dlouho už je nepoužívám) a k SFTP tam můžeš taky přistupovat – třeba v Salamanderu nebo WinSCP. Je to sice horší než v GNU/Linuxu, ale to už je vlastnost Windows, ne SFTP protokolu.
V zásadě WebDAV lze považovat za plnohodnotnou náhradu FTP všude tam, kde je potřeba ověřovat uživatele a nepublikují se jen veřejně dostupná data pouze pro čtení (v takových případech má FTP stále nějaké využití). V lepších OS (nebo i v těch Windows, když si doinstaluješ WinSCP) je jasným favoritem SFTP běžící nad SSH.
Pointa byla ale hlavně v tom, že není potřeba se vázat na konkrétní protokol – soubory nahráváš někam na server a můžeš je zpřístupnit různými protokoly – začneš třeba se SFTP, později přidáš WebDAV nebo prostou publikaci veřejných složek přes HTTP (Apache/Nginx) atd. Ale stále to jsou ty samé soubory.