FTP must die, must die

FTP
(cc) някой права запазени от Anton Lindqvist

Предната седмица имах много усилен диалог с една фирма, която се нуждаеше от моите услуги по модификация на известна CRM система с отворен код. Зарадвах се, че някоя въобще я ползва в България и се сългасих да поема проекта, въпреки натоварения ми график.

Дойде време да се разберем за техническите неща и се започна драмата с FTP. Няколко пъти влизахме в итерация със сисадмина:

Той: Искам статичен IP адрес за да ти дам достъп до FTP
Аз: Нямам статичен, ето ми хоста, който е от no-IP и показва актуалния ми IP във всеки един момент
Той: Не мога да отворя мрежата си за целия Интернет (?!?) искам статичен IP
Aз – (пак от начало)

В крайна сметка дойде мейл, че ми е разрешил достъп до последното IP, което връща моя хост с идеята да му кажа, като се смени, а той вече беше стар.

Въпреки желанието ми, няма да го поема този проект.

Мерки
Според мен, тези мерки са поне от 10 години и вече е смешно да се използват. Може би, ако някой от четящите тук е сисадмин ще ме поправи, но за мен като разработчик това е стар начин за “сигурност”.

Лично аз предпочитам да дам на някого публичния си SSH ключ и да работя по SSH, но може би и тотгава пак ще ми искaт IP адрес и ЕГН за да вляза някъде…

32 коментари относно “FTP must die, must die

  1. Ами незнам какъв е този админ, не искам да казвам лошо, ама тва са практики отпреди 10г. ;-).
    Пуска достъп ssh access по домейн/не по IP/, спомена, че имаш регнат такъв … какъв е проблема, ако иска, през 30 мин да върти IP addr., ще си го резолви.
    Да не говориме, че има поне още 5 решения на този “проблем”.
    Поздрави.

    ПС: на бас се хващам, че в кореспонденцията е имало и определението “реален ИП” … което ми навява спомени ;-). Един друг случай по подобни “net_sec” съображения даже ВЪОБЩЕ не беше дигнал smtp на хостинга, да не спамят през него, че правих едни гимнастики …

    1. Аз имам само “нереални адреси” (с поздрави на МВР и на комшиите ми)

    1. След няколко итерации ги отрязах, защото имам по-важни задачи в момента, сигурно ще намерят vTiger специалист със статичен адрес.

    1. Има ли го за мобилен телефон? Чети за какво си говорим първо :)

  2. Аз към сайта си работя основно с ftp. Иначе към всичко останало със ssh. Дори си качих публичния ключ на телефона и като се наложи, пускам и спирам услуги на сървъра на работа. Много е яко – отиваме на бар с колегите и единия се сепва “абе не трябваше ли сега да пуснем онова за еди кой си клиент” и аз “а, да! Ей сега ще го направя.”

  3. Аз използвам горния диалог за да накарам програмистите да използват sftp с ключ, но въпреки това повечето са упорити и са свикнали само с ftp.

    А в твоя случай, не може ли да направиш промените някъде при теб и накрая да им дадеш файловете, щом е толкова проблем да те пуснат или да ползваш ssh ? Или да им изнасяш кода е още по-недопустимо ?!?

    1. Уви, работата е такава, че трябва да се намери проблема там и не може да се работи при мен. А ти ползваш ли този метод за ограничаване по IP на мрежата си?

      1. Да, ограничавам ftp-то по IP. SSH-то (респективно sftp-то) – не. Влиза се само с ключ, root-а е забранен директно.

        1. не, ftp-то е ограничено по IP,
          sftp само по ключ (без IP).

          Иначе за нов потребител в LDAP-а (т.е. ssh, защото е вързано) изисквам поне три имена и актуален телефон. До ЕГН не съм стигнал :)

          1. До сега не ми се е налагало да го пробвам :) На практика IP-то се подава на “-s” аргумента на iptables. Според документацията, ако сложиш hostname, resolve се прави само при задаване на правилото, т.е. ако ти се промени DDNS-а, трябва да се рестартира firewall-a. Поне при мен е така. Малко крива работа е с hostname. А и според man iptables „Please note that specifying any name to be resolved with a remote query such as DNS is a really bad idea.“

          2. Ясно, ама като нямам статичен адрес какво да правя :) Мерси !

            1. Кажи им да си врътнат едно скриптче на 5 минути да ти resolve-а хоста и да add-ва правилото, ма както казаха горе е unsecure. незнам ще помогне ли.

  4. При подаване на root/sshd се изисква дори подписано нотариално документче, че няма да окепазиш пейзажа, че няма да краднеш гов…, които са на машината и все такива-ми-ти хубави работи. В случая, сис-а може да е бил дърво, но по-лесно за теб ще е, ако си генерираш един ключ и той ти го добави. Така хем той е секюрити, хем ти си доволен. Просто другия път го предлагай този вариант, не вярвам, ако човека отсреща е на акъла си да ти откаже :)

  5. сигурността си е сигурност. когато нямаш идея дали услугите, които пускаш са надеждни прибягваш до firewall, но дори и тогава има решение на проблема ти – може да ползваш междинна точка със статичен адрес за връзка или по-елегантното решение – админа да ти пусне VPN :)
    а иначе SFTP-то си е по-доброто решение ;)

    като цяло аз лично съм за firewall–а и според мен трябва да го има на всяка надеждно защитена машина, може да ти спести много главоболия и да затрудни евентуалнен хакер сериозно, а проблеми като твоя имат много решения, въпрос на администратор е дали ще бъдат решени ;)

    1. Хей, мерси и за много години. Разбра ли, че следващата конференция е във Варна, ако все още си там…
      Благодаря за мнението, но за да се изпълни всичко това е нужно желание, нали?

      1. нещо ми се запиля отговора май …
        та казвах, че желанието е в основата на всичко ;)

        а за конференцията кажи кога е и къде ще бъде, та да се видим, че много време мина ;)

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *