(cc) някой права запазени от Anton Lindqvist
Предната седмица имах много усилен диалог с една фирма, която се нуждаеше от моите услуги по модификация на известна CRM система с отворен код. Зарадвах се, че някоя въобще я ползва в България и се сългасих да поема проекта, въпреки натоварения ми график.
Дойде време да се разберем за техническите неща и се започна драмата с FTP. Няколко пъти влизахме в итерация със сисадмина:
Той: Искам статичен IP адрес за да ти дам достъп до FTP
Аз: Нямам статичен, ето ми хоста, който е от no-IP и показва актуалния ми IP във всеки един момент
Той: Не мога да отворя мрежата си за целия Интернет (?!?) искам статичен IP
Aз – (пак от начало)
В крайна сметка дойде мейл, че ми е разрешил достъп до последното IP, което връща моя хост с идеята да му кажа, като се смени, а той вече беше стар.
Въпреки желанието ми, няма да го поема този проект.
Мерки
Според мен, тези мерки са поне от 10 години и вече е смешно да се използват. Може би, ако някой от четящите тук е сисадмин ще ме поправи, но за мен като разработчик това е стар начин за „сигурност“.
Лично аз предпочитам да дам на някого публичния си SSH ключ и да работя по SSH, но може би и тотгава пак ще ми искaт IP адрес и ЕГН за да вляза някъде…
Ами незнам какъв е този админ, не искам да казвам лошо, ама тва са практики отпреди 10г. ;-).
Пуска достъп ssh access по домейн/не по IP/, спомена, че имаш регнат такъв … какъв е проблема, ако иска, през 30 мин да върти IP addr., ще си го резолви.
Да не говориме, че има поне още 5 решения на този „проблем“.
Поздрави.
ПС: на бас се хващам, че в кореспонденцията е имало и определението „реален ИП“ … което ми навява спомени ;-). Един друг случай по подобни „net_sec“ съображения даже ВЪОБЩЕ не беше дигнал smtp на хостинга, да не спамят през него, че правих едни гимнастики …
Аз имам само „нереални адреси“ (с поздрави на МВР и на комшиите ми)
Ми ти си го каза в заглавието :-)
Админа там само това ли можа да предложи като протокол?
След няколко итерации ги отрязах, защото имам по-важни задачи в момента, сигурно ще намерят vTiger специалист със статичен адрес.
Ахахаха, представих си текста на евентуална обява и ми стана весело:
„Търсим специалист със статичен IP адрес“
Моля ви г-да, спрете с това пути, влезте в 21век :)
http://download.cnet.com/Xshell/3000-7240_4-10239619.html – свалете си този софтуер и ще се преродите. Това е напълно перфектен sshd клиент и не само! Има и версия 4 „бета“. Няма да съжалявате :)
Има ли го за мобилен телефон? Чети за какво си говорим първо :)
Прочетох, просто импулсивна реакция към Putty :)
ok:)
Putty завинаги :)
Аз към сайта си работя основно с ftp. Иначе към всичко останало със ssh. Дори си качих публичния ключ на телефона и като се наложи, пускам и спирам услуги на сървъра на работа. Много е яко – отиваме на бар с колегите и единия се сепва „абе не трябваше ли сега да пуснем онова за еди кой си клиент“ и аз „а, да! Ей сега ще го направя.“
Да това е яко, особенно ако е с putty :)
Аз използвам горния диалог за да накарам програмистите да използват sftp с ключ, но въпреки това повечето са упорити и са свикнали само с ftp.
А в твоя случай, не може ли да направиш промените някъде при теб и накрая да им дадеш файловете, щом е толкова проблем да те пуснат или да ползваш ssh ? Или да им изнасяш кода е още по-недопустимо ?!?
Уви, работата е такава, че трябва да се намери проблема там и не може да се работи при мен. А ти ползваш ли този метод за ограничаване по IP на мрежата си?
Да, ограничавам ftp-то по IP. SSH-то (респективно sftp-то) – не. Влиза се само с ключ, root-а е забранен директно.
В смисъл и по IP и чрез ключ? За root ясно :)
не, ftp-то е ограничено по IP,
sftp само по ключ (без IP).
Иначе за нов потребител в LDAP-а (т.е. ssh, защото е вързано) изисквам поне три имена и актуален телефон. До ЕГН не съм стигнал :)
А ако ти дам hostname вместо IP за FTP?
До сега не ми се е налагало да го пробвам :) На практика IP-то се подава на „-s“ аргумента на iptables. Според документацията, ако сложиш hostname, resolve се прави само при задаване на правилото, т.е. ако ти се промени DDNS-а, трябва да се рестартира firewall-a. Поне при мен е така. Малко крива работа е с hostname. А и според man iptables „Please note that specifying any name to be resolved with a remote query such as DNS is a really bad idea.“
Ясно, ама като нямам статичен адрес какво да правя :) Мерси !
Както си казал, и от коментарите те подкрепяме – FTP must die, must die
Кажи им да си врътнат едно скриптче на 5 минути да ти resolve-а хоста и да add-ва правилото, ма както казаха горе е unsecure. незнам ще помогне ли.
[…] This post was mentioned on Twitter by Method-X, Bogomil Shopov. Bogomil Shopov said: Има ли сисадмини: http://bogomil.info/4003 […]
[…] умре ли FTP? Само за сисадмини http://bogomil.info/4003 в Любими преди 18 секунди edno23.com Начало контакти […]
При подаване на root/sshd се изисква дори подписано нотариално документче, че няма да окепазиш пейзажа, че няма да краднеш гов…, които са на машината и все такива-ми-ти хубави работи. В случая, сис-а може да е бил дърво, но по-лесно за теб ще е, ако си генерираш един ключ и той ти го добави. Така хем той е секюрити, хем ти си доволен. Просто другия път го предлагай този вариант, не вярвам, ако човека отсреща е на акъла си да ти откаже :)
Аз така си работя по принцип с ключ, ама на де :)
сигурността си е сигурност. когато нямаш идея дали услугите, които пускаш са надеждни прибягваш до firewall, но дори и тогава има решение на проблема ти – може да ползваш междинна точка със статичен адрес за връзка или по-елегантното решение – админа да ти пусне VPN :)
а иначе SFTP-то си е по-доброто решение ;)
като цяло аз лично съм за firewall–а и според мен трябва да го има на всяка надеждно защитена машина, може да ти спести много главоболия и да затрудни евентуалнен хакер сериозно, а проблеми като твоя имат много решения, въпрос на администратор е дали ще бъдат решени ;)
Хей, мерси и за много години. Разбра ли, че следващата конференция е във Варна, ако все още си там…
Благодаря за мнението, но за да се изпълни всичко това е нужно желание, нали?
нещо ми се запиля отговора май …
та казвах, че желанието е в основата на всичко ;)
а за конференцията кажи кога е и къде ще бъде, та да се видим, че много време мина ;)
Началото на септември, може би в ТУ, не се знае още
е, значи има време до тогава … ама ако имаш път към варна, свиркай да се видим ;)
Непременно :)