Provoz na zapomenutém FTP serveru

[jh]

Takže rootovská klasika, někdo se tady na něco zeptal, zdejší intelektuální osazenstvo ho zdrbalo za tisíc blbostí, ale nikdo neporadil. S tímhle přístupem se běžte všichni vycpat!

[Reklama]

[Mirek Prýmek]

Takže rootovská klasika, někdo se tady na něco zeptal, zdejší intelektuální osazenstvo ho zdrbalo za tisíc blbostí, ale nikdo neporadil. S tímhle přístupem se běžte všichni vycpat!

Jaktože nikdo neporadil? Rad bylo několik: 1. opustit FTP, 2. změnit port, 3. zavést autentizaci certifikáty

Když se někdo zeptá, jak si rezavým nožem odoperovat dioptrie, tak mu taky řeknu, že by to měl radši nechat na doktory, kteří to dělají laserem, a nebudu mu radit, jaký typ rezavého nože použít.

[jh]

On se ptal na to co, je v logu a k tomu se nikdo nevyjádřil, to je jako když se zeptam, jak mam opravit stěrač u škodovky a někdo mi odpoví abych si koupil BMW. Rada nad zlato.

[Mirek Prýmek]

On se ptal na to co, je v logu a k tomu se nikdo nevyjádřil,

Opravdu? Nebyl to hned třetí příspěvek?! http://forum.root.cz/index.php?topic=11235.msg131018#msg131018

to je jako když se zeptam, jak mam opravit stěrač u škodovky a někdo mi odpoví abych si koupil BMW. Rada nad zlato.

Ne, je to jako když se někdo zeptá, co je lepší:

poučte mne, co je tedy lepší?

...a dostane odpověď, co je lepší.

[Lol Phirae]

S tímhle přístupem se běžte všichni vycpat!

Tak začni a pošli fotku...

 

[Reklama]

[AlYoSHA]

Ahojte spravujem si svoj maly vps a okrem inych sluzieb tam mam FTP server Filezilla. Stale ho pouzivam, len ak potrebujem mat zapnuty prenos pripadne ak viem, ze niektory klient potrebuje ftp download inokedy ho vypinam. No 18.5 som pozabudol a zisitl som to az 22.5. a logy ma dost prekvapili. Mojim prezretim sa nic vazne asi nestalo no prijmem nejaku diskusiu od povolanejsich. VPS bezi na W Server 2008. Dakujem 

No v tych logoch toho zas tak vela nie je.  Aj tie pokusy ktore tam vidis su zrejme od nejakych botov (rozumej scriptov) ktore vyhladavaju vo svete derave sluzby. Takze neber si to osobne. V ostatnych prispevkoch ak neporadili tak ti naznacili ktorym smerom by si sa mal uberat - (lepsie hesla, sifrovacie kluce, pripadne iny SW) ja doporucim este firewall (ak to situacia umoznuje).  Faktom je ze akakolvek sluzba ktoru spristupnis svetu bude vzdycky osahavana roznymi nenechavcami a ich bootmi . Niektore sluzby je mozne chranit resp. ukryt tzv. port knockingom (gugl), alebo nejakym fw. pluginom limitovat pocet pokusov o spojenie - to je uz ale pre viac skusenych firewalovych harcovnikov a pri niektorych protokoloch nie vzdy dobre pouzitelne.

[to_je_jedno]

Pokud mate auth jen klicem tak stejne prehrabujete logy? No dobre, kdyz mate tolik casu.

Nahrada? Jednoznace bylo receno. A klientu vcetne tech widlich(winscp) je mraky. FTP je proste relikt minulosti ktery je potreba sejmout. V prostredi internetu prave pomoci SSH a v intranetu je mnohem lepsi samba.

[JardaP .]

Pokud mate auth jen klicem tak stejne prehrabujete logy? No dobre, kdyz mate tolik casu.

V /var/log/auth jsou ted jenom udalosti tykajici se prihlaseni do ssh? Asi jsem neco zaspal.

[Franta <xkucf03/>]

V /var/log/auth jsou ted jenom udalosti tykajici se prihlaseni do ssh? Asi jsem neco zaspal.

V 70. letech vynalezli takový šikovný příkaz, jmenuje se grep :-) Přijde mi padlé na hlavu nutit všechny kolem, aby si upravovali svoje ~/.ssh/config, jen kvůli tomu, že správce serveru neumí číst logy.

[Mirek Prýmek]

Přijde mi padlé na hlavu nutit všechny kolem, aby si upravovali svoje ~/.ssh/config, jen kvůli tomu, že správce serveru neumí číst logy.

Tazatel říkal, že situace je taková, že ftp server se zapne jenom když tam někdo chce něco nahrát. Čili zadat navíc port je pořád megapohodlnější než zavolat správci, ať ten ftp server pustí, protože tam potřebuju něco nahrát

[JardaP .]

V /var/log/auth jsou ted jenom udalosti tykajici se prihlaseni do ssh? Asi jsem neco zaspal.

V 70. letech vynalezli takový šikovný příkaz, jmenuje se grep :-) Přijde mi padlé na hlavu nutit všechny kolem, aby si upravovali svoje ~/.ssh/config, jen kvůli tomu, že správce serveru neumí číst logy.

Ano, zapomnel jsem. Grep! Prikaz, ktery cte logy a upozornuje na zajimave veci. BTW, proc by si vsichni meli upravovat ~/.ssh/config?

[Franta <xkucf03/>]

Ano, zapomnel jsem. Grep! Prikaz, ktery cte logy a upozornuje na zajimave veci.

Grep má volbu -v, která vypisuje řádky nevyhovující vzoru, tím si odfiltruješ to nezajímavé. Nebo si nastavíš logování, jak potřebuješ, třeba aby ty nezajímavé zprávy končily v jiném souboru.

BTW, proc by si vsichni meli upravovat ~/.ssh/config?

Aby nemuseli pokaždé zadávat ssh -p 12345 název-serveru.example.com

[JardaP .]

BTW, proc by si vsichni meli upravovat ~/.ssh/config?

Aby nemuseli pokaždé zadávat ssh -p 12345 název-serveru.example.com

Aha, vam v bashi nechodi ctrl-R, tak musite hned upravovat ~/.ssh/config.

[klingac01]

Dakujem za podnetnu diskusiu. Ano FTP zapinam len ked je potreba prenosu dat - ide stale o nie citlive data takze tam ma nezaujima az tak bezpecnost ich prenosu. Ak tak si ich predtym zasifruju cez gpg. Hesla su viac ako 10 miestne len pre istotu. Z toho co som tu mal moznost precitat mam zmenit port na nejaky vyssi ? Nebude to len zbytocnost , kedze bot si pozrie vsetky porty?
Pouzit FTPS alebo SFTP? No a taktiez rozmyslam, ze povolim pristup len z danych IPciek resp. by som tie "zavadne" dal na ban list.

[Mirek Prýmek]

ide stale o nie citlive data takze tam ma nezaujima az tak bezpecnost ich prenosu. Ak tak si ich predtym zasifruju cez gpg.

Nejde o bezpečnost přenosu dat, ale především loginu a hesla. Viz http://en.wikipedia.org/wiki/File_Transfer_Protocol#Security

Hesla su viac ako 10 miestne len pre istotu.

To je právě celkem zbytečný

Z toho co som tu mal moznost precitat mam zmenit port na nejaky vyssi ?

Ne, máš FTP zrušit a přejít na některou z bezpečných alternativ, který tady zazněly.

Nebude to len zbytocnost , kedze bot si pozrie vsetky porty?

To boty běžně nedělají.

No a taktiez rozmyslam, ze povolim pristup len z danych IPciek resp. by som tie "zavadne" dal na ban list.

Nevymýšlej nesmysly a přejdi na bezpečný protokol.