Provoz na zapomenutém FTP serveru

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Provoz na zapomenutém FTP serveru
« Odpověď #30 kdy: 24. 05. 2015, 14:08:57 »
Bot si obvykle vsechny porty neoscanuje, protoze by to trvalo moc dlouho. Jde po znamych sluzbach, hlavne po tech, kde je nadeje, ze se jedna o nesifrovany protokol, jako FTP nebo nejaky, kde existuje sance, ze tam ma nekdo nejake defaultni heslo nebo nejake dstatecne proflaknute.

Jinak to, ze tam nemate tajna data, neni duvodem k pouziti FTP. Co kdyz vam nekdo odposlechne heslo a pak vam na server nahraje nejake zajimave veci? Treba detske porno nebo nejake zajimave skripty, ktere pak budou provadet kdovi co?


Re:Provoz na zapomenutém FTP serveru
« Odpověď #31 kdy: 25. 05. 2015, 00:06:18 »
Použil bych v první řadě SFTP (založené na SSH, neplést s FTPS) a WebDAV (založený na HTTPS). Vedle toho by tam případně šlo spustit i NFS, Sambu nebo to FTPS. Ale SFTP + WebDAV pokryjí potřeby prakticky 100 % uživatelů.
Že jste vyjmenoval tolik protokolů, je právě ten problém. V tom se běžný uživatel nevyzná (už jen ty podobné názvy SFTP vs. FTPS), soupeří jich příliš mnoho a žádný se univerzálně neprosadil. Umí třeba některý z nich Total Commander bez stahování extra pluginů? A o tom to je. Nebudu kvůli nechopnosti komunity se dohodnout konfigurovat na serveru několik daemonů, když stačí jen jeden a dokonce ani nemusí běžet pořád, spustí ho xinetd on demand.

Je to podobný problém jako u e-mailu. Stále funguje zastaralý SMTP bez autentizace odesílatele. Prostě proto, že metod, jak ho vylepšit, bylo navrženo příliš mnoho a je to tudíž tak roztříštěné, že se žádná univerzálně neprosadila, takže společným jmenovatelem je pořád staré SMTP.

Jinak to, ze tam nemate tajna data, neni duvodem k pouziti FTP. Co kdyz vam nekdo odposlechne heslo a pak vam na server nahraje nejake zajimave veci? Treba detske porno nebo nejake zajimave skripty, ktere pak budou provadet kdovi co?
Větší riziko úniku hesla, než odposlechnutí, je malware u některého uživatele, vykrádající konfiguráky filemanagerů. Proti tomu vám sebelépe zabezpečený přenos hesla nepomůže. A z adresářů, kam má přístup FTP daemon, se samozřejmě žádné skripty spustit nedají, je to chroot jail a vsftpd ve výchozí konfiguraci executable flag vymaskuje.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Provoz na zapomenutém FTP serveru
« Odpověď #32 kdy: 25. 05. 2015, 09:33:21 »
Jinak to, ze tam nemate tajna data, neni duvodem k pouziti FTP. Co kdyz vam nekdo odposlechne heslo a pak vam na server nahraje nejake zajimave veci? Treba detske porno nebo nejake zajimave skripty, ktere pak budou provadet kdovi co?
Větší riziko úniku hesla, než odposlechnutí, je malware u některého uživatele, vykrádající konfiguráky filemanagerů. Proti tomu vám sebelépe zabezpečený přenos hesla nepomůže. A z adresářů, kam má přístup FTP daemon, se samozřejmě žádné skripty spustit nedají, je to chroot jail a vsftpd ve výchozí konfiguraci executable flag vymaskuje.

Stejne vam malware muze lohnout klice a passprhrasi. To, ze to zatim malware nedela, tak jako jiz existuje malware, ktery krade hesla z TotalCommanderu, neznamena, ze to nejde a mozna je to jen tazka casu. Jak mate ve stroji malware, mozne je vsechno.

Re:Provoz na zapomenutém FTP serveru
« Odpověď #33 kdy: 25. 05. 2015, 09:52:11 »
On se ptal na to co, je v logu a k tomu se nikdo nevyjádřil, to je jako když se zeptam, jak mam opravit stěrač u škodovky a někdo mi odpoví abych si koupil BMW. Rada nad zlato.

Mrkni na druhou odpověď. A jinak s tebou souhlasím. Pročíst těch pár řádků logu bylo rychlejší, než vymýšlet, co je špatně na FTP.

A na FTP je špatně spousta věcí, ale na druhou stranu, obzvlášť když to používá, jak to používá a pokud tam není nic extra citlivýho a důležitýho, proč ne. Je to protokol, kterej se dá použít téměř odkudkoliv bez dalších kravinek. Sice rozumím tomu, že každej správnej Linuxák sebou nosí flashku s Live distrem, ale opravdu není potřeba si brát na kuželky tank, protože ta stará blbá koule prostě stačí.

j

Re:Provoz na zapomenutém FTP serveru
« Odpověď #34 kdy: 25. 05. 2015, 10:36:13 »
Bot si obvykle vsechny porty neoscanuje, protoze by to trvalo moc dlouho. Jde po znamych sluzbach, hlavne po tech, kde je nadeje, ze se jedna o nesifrovany protokol, jako FTP nebo nejaky, kde existuje sance, ze tam ma nekdo nejake defaultni heslo nebo nejake dstatecne proflaknute.

Jinak to, ze tam nemate tajna data, neni duvodem k pouziti FTP. Co kdyz vam nekdo odposlechne heslo a pak vam na server nahraje nejake zajimave veci? Treba detske porno nebo nejake zajimave skripty, ktere pak budou provadet kdovi co?

99,9% hostingu ti jako jedinou moznost jak se k tomu webu dostat nabidne ftp ... v lepsim pripade ... v horsim nejaky sileny webovy rozhrani.


JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Provoz na zapomenutém FTP serveru
« Odpověď #35 kdy: 25. 05. 2015, 11:10:42 »
Bot si obvykle vsechny porty neoscanuje, protoze by to trvalo moc dlouho. Jde po znamych sluzbach, hlavne po tech, kde je nadeje, ze se jedna o nesifrovany protokol, jako FTP nebo nejaky, kde existuje sance, ze tam ma nekdo nejake defaultni heslo nebo nejake dstatecne proflaknute.

Jinak to, ze tam nemate tajna data, neni duvodem k pouziti FTP. Co kdyz vam nekdo odposlechne heslo a pak vam na server nahraje nejake zajimave veci? Treba detske porno nebo nejake zajimave skripty, ktere pak budou provadet kdovi co?

99,9% hostingu ti jako jedinou moznost jak se k tomu webu dostat nabidne ftp ... v lepsim pripade ... v horsim nejaky sileny webovy rozhrani.

No tak on psal, ze ma VPS, ze? Takze si tam snad muze nainstalovat neco lepsiho, nez FTP. Ostatne jak se tam asi pripojuje, aby si to FTP zapnul a vypnul? Predpokladam, ze ne pres telnet.

Re:Provoz na zapomenutém FTP serveru
« Odpověď #36 kdy: 25. 05. 2015, 11:34:33 »
No tak on psal, ze ma VPS, ze? Takze si tam snad muze nainstalovat neco lepsiho, nez FTP. Ostatne jak se tam asi pripojuje, aby si to FTP zapnul a vypnul? Predpokladam, ze ne pres telnet.

Třeba má na webu obrovský nezabezpečený klikátko FTP ON/FTP OFF, kterým to zapíná a vypíná a dokonce se to klikátko dá najít i přes Google. Ale to je stejně fuk, FTP má rozhodně svoje použití, např. můžeš někomu poslat odkaz včetně jména a hesla a ten je schopnej to použít, aniž by cokoliv doinstalovával, nastavoval atd. Prostě si to na windowsech otevře v exploreru, vypadá to jako normální složka a může si od tam něco stáhnout, něco tam uploadnout... pořád lepší, než gigový soubory posílat přes ulož to nebo podobnou bejkárnu. Osobně mám na svým VPS taky FTP, taky ho zapínám, jenom když potřebuju, už jsem ho nezapnul aspoň dva roky, ale někdy je to prostě neocenitelně jednoduchej způsob, jak si vyměnit soubor s totálním laikem, pro kterýho je právě spuštění exploreru a přetažení něčeho myší tam nebo zpět  vrcholem počítačové gramotnosti.

Franta <xkucf03/>

Re:Provoz na zapomenutém FTP serveru
« Odpověď #37 kdy: 25. 05. 2015, 23:14:31 »
Použil bych v první řadě SFTP (založené na SSH, neplést s FTPS) a WebDAV (založený na HTTPS). Vedle toho by tam případně šlo spustit i NFS, Sambu nebo to FTPS. Ale SFTP + WebDAV pokryjí potřeby prakticky 100 % uživatelů.
Že jste vyjmenoval tolik protokolů, je právě ten problém.

V první řadě jsem vyjmenoval dva: WebDAV a SFTP. V distribucích GNU/Linuxu můžeš s oběma pracovat v pohodě a hned, stačí zadat URL do správce souborů, případně si je připojit přes FUSE. WebDAV funguje i ve Windows (nebo alespoň fungoval – dlouho už je nepoužívám) a k SFTP tam můžeš taky přistupovat – třeba v Salamanderu nebo WinSCP. Je to sice horší než v GNU/Linuxu, ale to už je vlastnost Windows, ne SFTP protokolu.

V zásadě WebDAV lze považovat za plnohodnotnou náhradu FTP všude tam, kde je potřeba ověřovat uživatele a nepublikují se jen veřejně dostupná data pouze pro čtení (v takových případech má FTP stále nějaké využití). V lepších OS (nebo i v těch Windows, když si doinstaluješ WinSCP) je jasným favoritem SFTP běžící nad SSH.

Pointa byla ale hlavně v tom, že není potřeba se vázat na konkrétní protokol – soubory nahráváš někam na server a můžeš je zpřístupnit různými protokoly – začneš třeba se SFTP, později přidáš WebDAV nebo prostou publikaci veřejných složek přes HTTP (Apache/Nginx) atd. Ale stále to jsou ty samé soubory.