FTP must die, must die

FTP
(cc) някой права запазени от Anton Lindqvist

Предната седмица имах много усилен диалог с една фирма, която се нуждаеше от моите услуги по модификация на известна CRM система с отворен код. Зарадвах се, че някоя въобще я ползва в България и се сългасих да поема проекта, въпреки натоварения ми график.

Дойде време да се разберем за техническите неща и се започна драмата с FTP. Няколко пъти влизахме в итерация със сисадмина:

Той: Искам статичен IP адрес за да ти дам достъп до FTP
Аз: Нямам статичен, ето ми хоста, който е от no-IP и показва актуалния ми IP във всеки един момент
Той: Не мога да отворя мрежата си за целия Интернет (?!?) искам статичен IP
Aз – (пак от начало)

В крайна сметка дойде мейл, че ми е разрешил достъп до последното IP, което връща моя хост с идеята да му кажа, като се смени, а той вече беше стар.

Въпреки желанието ми, няма да го поема този проект.

Мерки
Според мен, тези мерки са поне от 10 години и вече е смешно да се използват. Може би, ако някой от четящите тук е сисадмин ще ме поправи, но за мен като разработчик това е стар начин за „сигурност“.

Лично аз предпочитам да дам на някого публичния си SSH ключ и да работя по SSH, но може би и тотгава пак ще ми искaт IP адрес и ЕГН за да вляза някъде…

Влезте в общността на блога ми.
8269 човека го направиха от 2004 година досега! Запишете се и получавайте нови материали от време на време.
Аз мразя спама. Няма да получавате такъв от мен.

Публикувано от

Богомил "Бого" Шопов

Емигрант. Пират. Революционер. А, още интересни факти има тук

32 мнения за “FTP must die, must die”

  1. Ами незнам какъв е този админ, не искам да казвам лошо, ама тва са практики отпреди 10г. ;-).
    Пуска достъп ssh access по домейн/не по IP/, спомена, че имаш регнат такъв … какъв е проблема, ако иска, през 30 мин да върти IP addr., ще си го резолви.
    Да не говориме, че има поне още 5 решения на този „проблем“.
    Поздрави.

    ПС: на бас се хващам, че в кореспонденцията е имало и определението „реален ИП“ … което ми навява спомени ;-). Един друг случай по подобни „net_sec“ съображения даже ВЪОБЩЕ не беше дигнал smtp на хостинга, да не спамят през него, че правих едни гимнастики …

    1. Аз имам само „нереални адреси“ (с поздрави на МВР и на комшиите ми)

    1. След няколко итерации ги отрязах, защото имам по-важни задачи в момента, сигурно ще намерят vTiger специалист със статичен адрес.

    1. Има ли го за мобилен телефон? Чети за какво си говорим първо :)

  2. Аз към сайта си работя основно с ftp. Иначе към всичко останало със ssh. Дори си качих публичния ключ на телефона и като се наложи, пускам и спирам услуги на сървъра на работа. Много е яко – отиваме на бар с колегите и единия се сепва „абе не трябваше ли сега да пуснем онова за еди кой си клиент“ и аз „а, да! Ей сега ще го направя.“

  3. Аз използвам горния диалог за да накарам програмистите да използват sftp с ключ, но въпреки това повечето са упорити и са свикнали само с ftp.

    А в твоя случай, не може ли да направиш промените някъде при теб и накрая да им дадеш файловете, щом е толкова проблем да те пуснат или да ползваш ssh ? Или да им изнасяш кода е още по-недопустимо ?!?

    1. Уви, работата е такава, че трябва да се намери проблема там и не може да се работи при мен. А ти ползваш ли този метод за ограничаване по IP на мрежата си?

      1. Да, ограничавам ftp-то по IP. SSH-то (респективно sftp-то) – не. Влиза се само с ключ, root-а е забранен директно.

        1. не, ftp-то е ограничено по IP,
          sftp само по ключ (без IP).

          Иначе за нов потребител в LDAP-а (т.е. ssh, защото е вързано) изисквам поне три имена и актуален телефон. До ЕГН не съм стигнал :)

          1. До сега не ми се е налагало да го пробвам :) На практика IP-то се подава на „-s“ аргумента на iptables. Според документацията, ако сложиш hostname, resolve се прави само при задаване на правилото, т.е. ако ти се промени DDNS-а, трябва да се рестартира firewall-a. Поне при мен е така. Малко крива работа е с hostname. А и според man iptables „Please note that specifying any name to be resolved with a remote query such as DNS is a really bad idea.“

          2. Ясно, ама като нямам статичен адрес какво да правя :) Мерси !

            1. Кажи им да си врътнат едно скриптче на 5 минути да ти resolve-а хоста и да add-ва правилото, ма както казаха горе е unsecure. незнам ще помогне ли.

  4. При подаване на root/sshd се изисква дори подписано нотариално документче, че няма да окепазиш пейзажа, че няма да краднеш гов…, които са на машината и все такива-ми-ти хубави работи. В случая, сис-а може да е бил дърво, но по-лесно за теб ще е, ако си генерираш един ключ и той ти го добави. Така хем той е секюрити, хем ти си доволен. Просто другия път го предлагай този вариант, не вярвам, ако човека отсреща е на акъла си да ти откаже :)

  5. сигурността си е сигурност. когато нямаш идея дали услугите, които пускаш са надеждни прибягваш до firewall, но дори и тогава има решение на проблема ти – може да ползваш междинна точка със статичен адрес за връзка или по-елегантното решение – админа да ти пусне VPN :)
    а иначе SFTP-то си е по-доброто решение ;)

    като цяло аз лично съм за firewall–а и според мен трябва да го има на всяка надеждно защитена машина, може да ти спести много главоболия и да затрудни евентуалнен хакер сериозно, а проблеми като твоя имат много решения, въпрос на администратор е дали ще бъдат решени ;)

    1. Хей, мерси и за много години. Разбра ли, че следващата конференция е във Варна, ако все още си там…
      Благодаря за мнението, но за да се изпълни всичко това е нужно желание, нали?

      1. нещо ми се запиля отговора май …
        та казвах, че желанието е в основата на всичко ;)

        а за конференцията кажи кога е и къде ще бъде, та да се видим, че много време мина ;)

Leave a Reply

Този сайт използва Akismet за намаляване на спама. Научете как се обработват данните ви за коментари.