26 Mar
2012
26 Mar
'12
4:14 p.m.
V ramci diskuse tuto variantu nekdo navrhl, reagoval jsem na to. Jinak s vami I se
skriptem souhlasim.
Ales
Odesláno z mého smartphonu BlackBerry®
www.blackberry.com
-----Original Message-----
From: Pavel Snajdr <snajpa(a)snajpa.net>
Sender: community-list-bounces(a)lists.vpsfree.cz
Date: Mon, 26 Mar 2012 18:05:00
To: vpsFree.cz Community list<community-list(a)lists.vpsfree.cz>
Reply-To: "vpsFree.cz Community list" <community-list(a)lists.vpsfree.cz>
Subject: Re: [vpsFree.cz: community-list] K diskuzi a zamysleni: minimalni
znalosti clena vpsFree.cz?
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Ahoj,
vlozim se vam do diskuze:
- - editace klicu ve vpsAdminu - *nebude*
- - tlacitko "testuj bezpecnost" ve vpsAdminu - *nebude*
1. vpsAdmin ma byt obecna aplikace, ne vpsFree.cz-specific
2. dratovat podobne veci do tak simple aplikace, jako je vpsAdmin je
docela hrich
3. je tezke udelat to dostatecne univerzalne (ruzna distra, ruzny
pristup k uchovani klicu atd.)
Myslim, ze se vam povedlo v diskuzi dostat uplne od tematu :)
Resil jsem, jak zajistit, aby se do vpsFree dostali jenom lidi, kteri
maji zajem se neco ucit, pripadne uz s tim umi - nechceme jenom
konzumenty vysledku postavenym jednorazove nad VPS. To byla moje pointa.
V ramci toho jsme teda dosli bonusem k tomu, ze udelame nejake
testovadlo, ale jenom jako sadu skriptu, kterou si dobrovolne pusti
clovek primo z VPS (teda s tim ze to muze volat nejaky vzdaleny
testovaci server pro pohled z venku)
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956
CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE
http://relbit.com | http://vpsfree.cz | https://www.redhat.com
On 03/26/2012 05:52 PM, Tomáš Volf wrote:
Tedy uprimne receno nevidim rozdil jestli pres
VPSAdmina nastavuji
root heslo nebo root ssh key. Z hlediska "snadnosti" neopravne zmeny
pres webove rozhrani je to ale uplne jedno. Nastaveni klicu pres
webovou aplikaci umoznuje treba github.com, a presto nebyl na nej
proveden jediny utok (as far as I know) ktery by to zneuzil.
Takze jasne, brat o jako "nastavim ssh klic a jsem v suchu" rozhodne
ne, ale odsoudit moznost nastaveni klice jako takoveho pres webove
rozhrani asi neni duvod.
On Mon, Mar 26, 2012 at 16:34, Aleš Rippl <ales(a)rippl.cz> wrote:
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iF4EAREIAAYFAk9wk6gACgkQdh+64ds5DabBUAEAjO7+2K/oR9ewXWQbSyREcIyJ
jv/J22HiwypXU9+xk00A/2GiqPd7+9hb1hbJsXICjP+hsYh9L1t8nNIuUjPWxjAk
=luIv
-----END PGP SIGNATURE-----
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
Zásadně se musím ohradit k možnosti nastavit
klíče přes webové
rozhraní VPSAdmin. To se jako někdo domnívá že je bezpečné nastavovat
zabezpečení serveru přes webovou aplikaci? Sám používám klíče ale
rozhodně je bezpečnější root heslo které je bezpečně zvolené než
bezpečné heslo do web aplikace ať už jakékoliv. Na webu je vždy
násobně více možností jak se tam dostat než bruteforce proti root
heslu. Už jen změněný port je výrazně bezpečnější než klikátko pro
lidi kteří neumí nastavit bezpečně ssh nebo ftp. Rozhodně nelze
vynutit dostatečně bezpečné heslo na webu a taky nelze zamezit způsobu
vniknutí do webové aplikace na sto procent jinou cestou.
Jsem za bezpečné nastavení VPS všech ale abychom nevymysleli naopak
extrémně nebezpečnou variantu milí spolučlenové ;-)
Skript jsem ještě nespouštěl ale testovat debian lze mnoha způsoby,
stačí to jen hledat. Navrhované zjednodušení nevede k osvětě ale k
otevření všech VPS při napadení web aplikace.
Děkuji za pozornost.
Aleš Rippl
2012/3/26 Tomáš Volf <volf.tomas(a)gmail.com>om>:
Vsechno co se dela externim skriptem se da snadno
zjistit i interni,
asi i snaze.
Ja bych se drzel toho interniho tedy toho interniho, ale samozrejme
bude nutna diskuze o "optimalnich" nastavenich...
On Mon, Mar 26, 2012 at 09:08, <petr(a)juhanak.cz> wrote:
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list Ahoj, co se tyce to python skriptu
Tak souhlasim, ze neexistuje nikdy optmalni konfigurace, ktera pasuje na všechno a nelze
dostat odpoved ano nebo ne. Na druhou stranu nikdo nam nebrani vytvorit si vice profilu.
Nikdo z Vas zatim nepremyslel, jak ty zakladni hodnoty pro SSH, PHP a www nastavit pro
potreby sdruzeni.
Druhak nejedna se o smirovani, ale uzivatel vpsky se sám rozhodne lokalne si pripojit ty
skrypty a spustit si je sam. Externi asi scan nema smysl (neda se zjistit tolik veci).
Python skript je jen jedna z moznosti jak si pomoct, nikomu to netlacim.
Petr Juhanak
Odesláno z mého bezdrátového handheldu BlackBerry®
-----Original Message-----
From: Matej Snoha <matej(a)snoha.info>
Sender: community-list-bounces(a)lists.vpsfree.cz
Date: Sun, 25 Mar 2012 18:49:50
To: vpsFree.cz Community list<community-list(a)lists.vpsfree.cz>
Reply-To: "vpsFree.cz Community list" <community-list(a)lists.vpsfree.cz>
Subject: Re: [vpsFree.cz: community-list] K diskuzi a zamysleni: minimalni
znalosti clena vpsFree.cz?
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
--
Tomas P4l4cl][n Volf
-- "There are only 10 types of people in the world: Those who
understand binary, and those who don't."
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list