[vpsFree.cz: community-list] K diskuzi a zamysleni: minimalni znalosti clena vpsFree.cz?

Tomáš Volf volf.tomas at gmail.com
Mon Mar 26 18:12:17 CEST 2012 

O tom jsem cetl, Homakov vyuzil chyby v Ruby on Rails, misto ssh klice
mohl klidne zmenit heslo. Tedy SSH klic X heslo, stejna bezpecnost.
Alespon v tomto pripane.

Tomas Volf

On Mon, Mar 26, 2012 at 18:02, Aleš Rippl <ales at rippl.cz> wrote:
> Tak to jste natrefil tedy :-D.
>
> Nastavit heslo a jeho změnění v dalších pár minutách a přidání
> přístupu přes klíč a zakázání root hesla je bezpečnější než nastavení
> klíčů které tak zůstává platné navždy. Chápu kam tím míříte ale první
> dokaz na který jsem narazil vám bohužel odporuje.
>
> http://it.slashdot.org/story/12/03/05/1243235/github-hacked
>
>
> Aleš Rippl
>
> 2012/3/26 Tomáš Volf <volf.tomas at gmail.com>:
>> Tedy uprimne receno nevidim rozdil jestli pres VPSAdmina nastavuji
>> root heslo nebo root ssh key. Z hlediska "snadnosti" neopravne zmeny
>> pres webove rozhrani je to ale uplne jedno. Nastaveni klicu pres
>> webovou aplikaci umoznuje treba github.com, a presto nebyl na nej
>> proveden jediny utok (as far as I know) ktery by to zneuzil.
>>
>> Takze jasne, brat o jako "nastavim ssh klic a jsem v suchu" rozhodne
>> ne, ale odsoudit moznost nastaveni klice jako takoveho pres webove
>> rozhrani asi neni duvod.
>>
>> On Mon, Mar 26, 2012 at 16:34, Aleš Rippl <ales at rippl.cz> wrote:
>>> Zásadně se musím ohradit k možnosti nastavit klíče přes webové
>>> rozhraní VPSAdmin. To se jako někdo domnívá že je bezpečné nastavovat
>>> zabezpečení serveru přes webovou aplikaci? Sám používám klíče ale
>>> rozhodně je bezpečnější root heslo které je bezpečně zvolené než
>>> bezpečné heslo do web aplikace ať už jakékoliv. Na webu je vždy
>>> násobně více možností jak se tam dostat než bruteforce proti root
>>> heslu. Už jen změněný port je výrazně bezpečnější než klikátko pro
>>> lidi kteří neumí nastavit bezpečně ssh nebo ftp. Rozhodně nelze
>>> vynutit dostatečně bezpečné heslo na webu a taky nelze zamezit způsobu
>>> vniknutí do webové aplikace na sto procent jinou cestou.
>>> Jsem za bezpečné nastavení VPS všech ale abychom nevymysleli naopak
>>> extrémně nebezpečnou variantu milí spolučlenové ;-)
>>>
>>> Skript jsem ještě nespouštěl ale testovat debian lze mnoha způsoby,
>>> stačí to jen hledat. Navrhované zjednodušení nevede k osvětě ale k
>>> otevření všech VPS při napadení web aplikace.
>>>
>>> Děkuji za pozornost.
>>>
>>> Aleš Rippl
>>>
>>> 2012/3/26 Tomáš Volf <volf.tomas at gmail.com>:
>>>> Vsechno co se dela externim skriptem se da snadno zjistit i interni,
>>>> asi i snaze.
>>>>
>>>> Ja bych se drzel toho interniho tedy toho interniho, ale samozrejme
>>>> bude nutna diskuze o "optimalnich" nastavenich...
>>>>
>>>> On Mon, Mar 26, 2012 at 09:08,  <petr at juhanak.cz> wrote:
>>>>> Ahoj, co se tyce to python skriptu
>>>>>
>>>>> Tak souhlasim, ze neexistuje nikdy optmalni konfigurace, ktera pasuje na všechno a nelze dostat odpoved ano nebo ne. Na druhou stranu nikdo nam nebrani vytvorit si vice profilu.
>>>>>
>>>>> Nikdo z Vas zatim nepremyslel, jak ty zakladni hodnoty pro SSH, PHP a www nastavit pro potreby sdruzeni.
>>>>>
>>>>> Druhak nejedna se o smirovani, ale uzivatel vpsky se sám rozhodne lokalne si pripojit ty skrypty a spustit si je sam. Externi asi scan nema smysl (neda se zjistit tolik veci).
>>>>>
>>>>> Python skript je jen jedna z moznosti jak si pomoct, nikomu to netlacim.
>>>>>
>>>>> Petr Juhanak
>>>>> Odesláno z mého bezdrátového handheldu BlackBerry®
>>>>>
>>>>> -----Original Message-----
>>>>> From: Matej Snoha <matej at snoha.info>
>>>>> Sender: community-list-bounces at lists.vpsfree.cz
>>>>> Date: Sun, 25 Mar 2012 18:49:50
>>>>> To: vpsFree.cz Community list<community-list at lists.vpsfree.cz>
>>>>> Reply-To: "vpsFree.cz Community list" <community-list at lists.vpsfree.cz>
>>>>> Subject: Re: [vpsFree.cz: community-list] K diskuzi a zamysleni: minimalni
>>>>>  znalosti clena vpsFree.cz?
>>>>>
>>>>> _______________________________________________
>>>>> Community-list mailing list
>>>>> Community-list at lists.vpsfree.cz
>>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>>> _______________________________________________
>>>>> Community-list mailing list
>>>>> Community-list at lists.vpsfree.cz
>>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>>
>>>>
>>>>
>>>> --
>>>> Tomas P4l4cl][n Volf
>>>> -- "There are only 10 types of people in the world: Those who
>>>> understand binary, and those who don't."
>>>> _______________________________________________
>>>> Community-list mailing list
>>>> Community-list at lists.vpsfree.cz
>>>> http://lists.vpsfree.cz/listinfo/community-list
>>> _______________________________________________
>>> Community-list mailing list
>>> Community-list at lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>>
>>
>>
>> --
>> Tomas P4l4cl][n Volf
>> -- "There are only 10 types of people in the world: Those who
>> understand binary, and those who don't."
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list



-- 
Tomas P4l4cl][n Volf
-- "There are only 10 types of people in the world: Those who
understand binary, and those who don't."

More information about the Community-list mailing list