[vpsFree.cz: community-list] K diskuzi a zamysleni: minimalni znalosti clena vpsFree.cz?

Pavel Snajdr snajpa at snajpa.net
Mon Mar 26 18:05:00 CEST 2012 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Ahoj,

vlozim se vam do diskuze:

- - editace klicu ve vpsAdminu - *nebude*
- - tlacitko "testuj bezpecnost" ve vpsAdminu - *nebude*

1. vpsAdmin ma byt obecna aplikace, ne vpsFree.cz-specific
2. dratovat podobne veci do tak simple aplikace, jako je vpsAdmin je
docela hrich
3. je tezke udelat to dostatecne univerzalne (ruzna distra, ruzny
pristup k uchovani klicu atd.)

Myslim, ze se vam povedlo v diskuzi dostat uplne od tematu :)

Resil jsem, jak zajistit, aby se do vpsFree dostali jenom lidi, kteri
maji zajem se neco ucit, pripadne uz s tim umi - nechceme jenom
konzumenty vysledku postavenym jednorazove nad VPS. To byla moje pointa.

V ramci toho jsme teda dosli bonusem k tomu, ze udelame nejake
testovadlo, ale jenom jako sadu skriptu, kterou si dobrovolne pusti
clovek primo z VPS (teda s tim ze to muze volat nejaky vzdaleny
testovaci server pro pohled z venku)

S pozdravem

Pavel Snajdr

+421 948 816 186  | +420 720 107 791          | 110-010-956
CTO of Relbit     | Predseda vpsFree.cz, o.s. | RHCE
http://relbit.com | http://vpsfree.cz         | https://www.redhat.com

On 03/26/2012 05:52 PM, Tomáš Volf wrote:
> Tedy uprimne receno nevidim rozdil jestli pres VPSAdmina nastavuji
> root heslo nebo root ssh key. Z hlediska "snadnosti" neopravne zmeny
> pres webove rozhrani je to ale uplne jedno. Nastaveni klicu pres
> webovou aplikaci umoznuje treba github.com, a presto nebyl na nej
> proveden jediny utok (as far as I know) ktery by to zneuzil.
> 
> Takze jasne, brat o jako "nastavim ssh klic a jsem v suchu" rozhodne
> ne, ale odsoudit moznost nastaveni klice jako takoveho pres webove
> rozhrani asi neni duvod.
> 
> On Mon, Mar 26, 2012 at 16:34, Aleš Rippl <ales at rippl.cz> wrote:
>> Zásadně se musím ohradit k možnosti nastavit klíče přes webové
>> rozhraní VPSAdmin. To se jako někdo domnívá že je bezpečné nastavovat
>> zabezpečení serveru přes webovou aplikaci? Sám používám klíče ale
>> rozhodně je bezpečnější root heslo které je bezpečně zvolené než
>> bezpečné heslo do web aplikace ať už jakékoliv. Na webu je vždy
>> násobně více možností jak se tam dostat než bruteforce proti root
>> heslu. Už jen změněný port je výrazně bezpečnější než klikátko pro
>> lidi kteří neumí nastavit bezpečně ssh nebo ftp. Rozhodně nelze
>> vynutit dostatečně bezpečné heslo na webu a taky nelze zamezit způsobu
>> vniknutí do webové aplikace na sto procent jinou cestou.
>> Jsem za bezpečné nastavení VPS všech ale abychom nevymysleli naopak
>> extrémně nebezpečnou variantu milí spolučlenové ;-)
>>
>> Skript jsem ještě nespouštěl ale testovat debian lze mnoha způsoby,
>> stačí to jen hledat. Navrhované zjednodušení nevede k osvětě ale k
>> otevření všech VPS při napadení web aplikace.
>>
>> Děkuji za pozornost.
>>
>> Aleš Rippl
>>
>> 2012/3/26 Tomáš Volf <volf.tomas at gmail.com>:
>>> Vsechno co se dela externim skriptem se da snadno zjistit i interni,
>>> asi i snaze.
>>>
>>> Ja bych se drzel toho interniho tedy toho interniho, ale samozrejme
>>> bude nutna diskuze o "optimalnich" nastavenich...
>>>
>>> On Mon, Mar 26, 2012 at 09:08,  <petr at juhanak.cz> wrote:
>>>> Ahoj, co se tyce to python skriptu
>>>>
>>>> Tak souhlasim, ze neexistuje nikdy optmalni konfigurace, ktera pasuje na všechno a nelze dostat odpoved ano nebo ne. Na druhou stranu nikdo nam nebrani vytvorit si vice profilu.
>>>>
>>>> Nikdo z Vas zatim nepremyslel, jak ty zakladni hodnoty pro SSH, PHP a www nastavit pro potreby sdruzeni.
>>>>
>>>> Druhak nejedna se o smirovani, ale uzivatel vpsky se sám rozhodne lokalne si pripojit ty skrypty a spustit si je sam. Externi asi scan nema smysl (neda se zjistit tolik veci).
>>>>
>>>> Python skript je jen jedna z moznosti jak si pomoct, nikomu to netlacim.
>>>>
>>>> Petr Juhanak
>>>> Odesláno z mého bezdrátového handheldu BlackBerry®
>>>>
>>>> -----Original Message-----
>>>> From: Matej Snoha <matej at snoha.info>
>>>> Sender: community-list-bounces at lists.vpsfree.cz
>>>> Date: Sun, 25 Mar 2012 18:49:50
>>>> To: vpsFree.cz Community list<community-list at lists.vpsfree.cz>
>>>> Reply-To: "vpsFree.cz Community list" <community-list at lists.vpsfree.cz>
>>>> Subject: Re: [vpsFree.cz: community-list] K diskuzi a zamysleni: minimalni
>>>>  znalosti clena vpsFree.cz?
>>>>
>>>> _______________________________________________
>>>> Community-list mailing list
>>>> Community-list at lists.vpsfree.cz
>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>> _______________________________________________
>>>> Community-list mailing list
>>>> Community-list at lists.vpsfree.cz
>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>
>>>
>>>
>>> --
>>> Tomas P4l4cl][n Volf
>>> -- "There are only 10 types of people in the world: Those who
>>> understand binary, and those who don't."
>>> _______________________________________________
>>> Community-list mailing list
>>> Community-list at lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
> 
> 
> 
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iF4EAREIAAYFAk9wk6gACgkQdh+64ds5DabBUAEAjO7+2K/oR9ewXWQbSyREcIyJ
jv/J22HiwypXU9+xk00A/2GiqPd7+9hb1hbJsXICjP+hsYh9L1t8nNIuUjPWxjAk
=luIv
-----END PGP SIGNATURE-----

More information about the Community-list mailing list