FTP must die, must die

FTP
(cc) някой права запазени от Anton Lindqvist

Предната седмица имах много усилен диалог с една фирма, която се нуждаеше от моите услуги по модификация на известна CRM система с отворен код. Зарадвах се, че някоя въобще я ползва в България и се сългасих да поема проекта, въпреки натоварения ми график.

Дойде време да се разберем за техническите неща и се започна драмата с FTP. Няколко пъти влизахме в итерация със сисадмина:

Той: Искам статичен IP адрес за да ти дам достъп до FTP
Аз: Нямам статичен, ето ми хоста, който е от no-IP и показва актуалния ми IP във всеки един момент
Той: Не мога да отворя мрежата си за целия Интернет (?!?) искам статичен IP
Aз – (пак от начало)

В крайна сметка дойде мейл, че ми е разрешил достъп до последното IP, което връща моя хост с идеята да му кажа, като се смени, а той вече беше стар.

Въпреки желанието ми, няма да го поема този проект.

Мерки
Според мен, тези мерки са поне от 10 години и вече е смешно да се използват. Може би, ако някой от четящите тук е сисадмин ще ме поправи, но за мен като разработчик това е стар начин за „сигурност“.

Лично аз предпочитам да дам на някого публичния си SSH ключ и да работя по SSH, но може би и тотгава пак ще ми искaт IP адрес и ЕГН за да вляза някъде…

32 мнения за “FTP must die, must die

  • Reply Mihail Krustev 28.01.2011 at 22:32

    Ами незнам какъв е този админ, не искам да казвам лошо, ама тва са практики отпреди 10г. ;-).
    Пуска достъп ssh access по домейн/не по IP/, спомена, че имаш регнат такъв … какъв е проблема, ако иска, през 30 мин да върти IP addr., ще си го резолви.
    Да не говориме, че има поне още 5 решения на този „проблем“.
    Поздрави.

    ПС: на бас се хващам, че в кореспонденцията е имало и определението „реален ИП“ … което ми навява спомени ;-). Един друг случай по подобни „net_sec“ съображения даже ВЪОБЩЕ не беше дигнал smtp на хостинга, да не спамят през него, че правих едни гимнастики …

    • Reply Богомил "Бого" Шопов 30.01.2011 at 17:10

      Аз имам само „нереални адреси“ (с поздрави на МВР и на комшиите ми)

  • Reply Иван Донков 28.01.2011 at 12:53

    Ми ти си го каза в заглавието :-)

    Админа там само това ли можа да предложи като протокол?

    • Reply Богомил "Бого" Шопов 28.01.2011 at 12:59

      След няколко итерации ги отрязах, защото имам по-важни задачи в момента, сигурно ще намерят vTiger специалист със статичен адрес.

      • Reply Иван Донков 28.01.2011 at 17:00

        Ахахаха, представих си текста на евентуална обява и ми стана весело:

        „Търсим специалист със статичен IP адрес“

  • Reply Александър Атанасов 28.01.2011 at 11:12

    Моля ви г-да, спрете с това пути, влезте в 21век :)
    http://download.cnet.com/Xshell/3000-7240_4-10239619.html – свалете си този софтуер и ще се преродите. Това е напълно перфектен sshd клиент и не само! Има и версия 4 „бета“. Няма да съжалявате :)

    • Reply Богомил "Бого" Шопов 28.01.2011 at 11:34

      Има ли го за мобилен телефон? Чети за какво си говорим първо :)

  • Reply Боян Юруков 28.01.2011 at 10:36

    Аз към сайта си работя основно с ftp. Иначе към всичко останало със ssh. Дори си качих публичния ключ на телефона и като се наложи, пускам и спирам услуги на сървъра на работа. Много е яко – отиваме на бар с колегите и единия се сепва „абе не трябваше ли сега да пуснем онова за еди кой си клиент“ и аз „а, да! Ей сега ще го направя.“

    • Reply Богомил "Бого" Шопов 28.01.2011 at 10:38

      Да това е яко, особенно ако е с putty :)

  • Reply iko 28.01.2011 at 10:31

    Аз използвам горния диалог за да накарам програмистите да използват sftp с ключ, но въпреки това повечето са упорити и са свикнали само с ftp.

    А в твоя случай, не може ли да направиш промените някъде при теб и накрая да им дадеш файловете, щом е толкова проблем да те пуснат или да ползваш ssh ? Или да им изнасяш кода е още по-недопустимо ?!?

    • Reply Богомил "Бого" Шопов 28.01.2011 at 10:39

      Уви, работата е такава, че трябва да се намери проблема там и не може да се работи при мен. А ти ползваш ли този метод за ограничаване по IP на мрежата си?

      • Reply iko 28.01.2011 at 11:07

        Да, ограничавам ftp-то по IP. SSH-то (респективно sftp-то) – не. Влиза се само с ключ, root-а е забранен директно.

      • Reply Богомил "Бого" Шопов 28.01.2011 at 11:35

        В смисъл и по IP и чрез ключ? За root ясно :)

        • Reply iko 28.01.2011 at 13:30

          не, ftp-то е ограничено по IP,
          sftp само по ключ (без IP).

          Иначе за нов потребител в LDAP-а (т.е. ssh, защото е вързано) изисквам поне три имена и актуален телефон. До ЕГН не съм стигнал :)

          • Богомил "Бого" Шопов 28.01.2011 at 13:38

            А ако ти дам hostname вместо IP за FTP?

          • iko 28.01.2011 at 15:31

            До сега не ми се е налагало да го пробвам :) На практика IP-то се подава на „-s“ аргумента на iptables. Според документацията, ако сложиш hostname, resolve се прави само при задаване на правилото, т.е. ако ти се промени DDNS-а, трябва да се рестартира firewall-a. Поне при мен е така. Малко крива работа е с hostname. А и според man iptables „Please note that specifying any name to be resolved with a remote query such as DNS is a really bad idea.“

          • Богомил "Бого" Шопов 28.01.2011 at 15:58

            Ясно, ама като нямам статичен адрес какво да правя :) Мерси !

          • iko 28.01.2011 at 21:50

            Както си казал, и от коментарите те подкрепяме – FTP must die, must die

          • dadam 28.01.2011 at 23:13

            Кажи им да си врътнат едно скриптче на 5 минути да ти resolve-а хоста и да add-ва правилото, ма както казаха горе е unsecure. незнам ще помогне ли.

  • Reply Tweets that mention FTP must die, must die | Личен сайт и БЛОГ на Богомил Шопов – Бого -- Topsy.com 28.01.2011 at 9:54

    […] This post was mentioned on Twitter by Method-X, Bogomil Shopov. Bogomil Shopov said: Има ли сисадмини: http://bogomil.info/4003 […]

  • Reply bogo: Ще умре ли FTP? Само за сисадмини :) - edno23.com 28.01.2011 at 9:42

    […] умре ли FTP? Само за сисадмини http://bogomil.info/4003 в Любими преди 18 секунди edno23.com Начало контакти […]

  • Reply Александър Атанасов 28.01.2011 at 9:29

    При подаване на root/sshd се изисква дори подписано нотариално документче, че няма да окепазиш пейзажа, че няма да краднеш гов…, които са на машината и все такива-ми-ти хубави работи. В случая, сис-а може да е бил дърво, но по-лесно за теб ще е, ако си генерираш един ключ и той ти го добави. Така хем той е секюрити, хем ти си доволен. Просто другия път го предлагай този вариант, не вярвам, ако човека отсреща е на акъла си да ти откаже :)

    • Reply Богомил "Бого" Шопов 28.01.2011 at 9:44

      Аз така си работя по принцип с ключ, ама на де :)

  • Reply Станислав Лечев 28.01.2011 at 9:28

    сигурността си е сигурност. когато нямаш идея дали услугите, които пускаш са надеждни прибягваш до firewall, но дори и тогава има решение на проблема ти – може да ползваш междинна точка със статичен адрес за връзка или по-елегантното решение – админа да ти пусне VPN :)
    а иначе SFTP-то си е по-доброто решение ;)

    като цяло аз лично съм за firewall–а и според мен трябва да го има на всяка надеждно защитена машина, може да ти спести много главоболия и да затрудни евентуалнен хакер сериозно, а проблеми като твоя имат много решения, въпрос на администратор е дали ще бъдат решени ;)

    • Reply Богомил "Бого" Шопов 28.01.2011 at 9:46

      Хей, мерси и за много години. Разбра ли, че следващата конференция е във Варна, ако все още си там…
      Благодаря за мнението, но за да се изпълни всичко това е нужно желание, нали?

      • Reply Станислав Лечев 28.01.2011 at 10:14

        нещо ми се запиля отговора май …
        та казвах, че желанието е в основата на всичко ;)

        а за конференцията кажи кога е и къде ще бъде, та да се видим, че много време мина ;)

      • Reply Богомил "Бого" Шопов 28.01.2011 at 10:23

        Началото на септември, може би в ТУ, не се знае още

      • Reply Станислав Лечев 28.01.2011 at 10:28

        е, значи има време до тогава … ама ако имаш път към варна, свиркай да се видим ;)

        • Reply Богомил "Бого" Шопов 28.01.2011 at 11:44

          Непременно :)

Оставете ми коментар

Този сайт използва Akismet за намаляване на спама. Научете как се обработват данните ви за коментари.