p 3 Zgłoś post Napisano Marzec 13, 2009 Uczepiłeś się słowa powłoki jak na samym początku używałam SSH i widząc że nic to nie mówi próbowałam uprościć Tak więc jak widać jednak miałam rację ale nikt nie próbował czytać tylko pisał swoje racje.Jak już sobie tak wybiórczo cytujesz, to wklej też swoją wypowiedź (na którą odpowiadałem), a która dotyczyła... Uwaga, zaskoczenie... Powłoki:A SCP/sftp nie udostępniamy ponieważ to wymaga udostępnienai SSH czyli dania dostępu do powłoki co jest w hostingu współdzielonym w naszym rozumieniu naruszeniem polityki bezpieczeństwa. Oczywiście, że nie wymaga. I jeszcze się uczepił słowa bash, chodziło mi że jest zalogowany na tym co zacytował na bash i tam loguje się na sftp poprzez autorysację SSH ale widżę znów pisze to x razy i znow pewnie nikt tego nieprzeczyta ze zrozumieniem...A co ma piernik do wiatraka? Jakbym wkleił screen'a z WinSCP to byś powiedziała, że jestem zalogowany do Windows'a i masz rację i że sam sobie zaprzeczam? Bo na to teraz wychodzi... Aha, po raz kolejny - to nie jest bash. Tak czy siak zaczeło się od tego czy POTRZEBNE JEST UDOSTĘPNIENIE SSH i wyszło na moje 1) Napisałaś (co już zacytowałem wcześniej w tym piście), że wymaga dania dostępu do powłoki,2) Poudawajmy nawet, że od początku chodziło Ci o uwierzytelnienie i autoryzację poprzez SSH (chociaż oczywiście wiemy, że tak nie jest...). Wytłumacz mi w takim razie, w jaki sposób udostępnienie uwierzytelniania i autoryzacji poprzez SSH jest naruszeniem polityki bezpieczeństwa w hostingu współdzielonym? No w jaki? 3) Wszystko zaczęło się od tego, że napisałaś, że używanie SSH do transmisji plików (czyli albo SCP albo SFTP, czyli protokołów transmisji danych z wykorzystaniem SSL'a) jest przesadą, a używanie FTPS (czyli protokołu transmisji danych z wykorzystaniem SSL'a) już nią nie jest. Aha, dopóki nie odpowiesz na 2 i 3 (na 1 nie musisz, bo oczywiste jest, że nie wymaga) to nie pisz, że "wyszło na Twoje". Udostępnij ten post Link to postu Udostępnij na innych stronach
luna 0 Zgłoś post Napisano Marzec 13, 2009 Jak już sobie tak wybiórczo cytujesz, to wklej też swoją wypowiedź (na którą odpowiadałem), a która dotyczyła... Uwaga, zaskoczenie... Powłoki: A co ma piernik do wiatraka? Jakbym wkleił screen'a z WinSCP to byś powiedziała, że jestem zalogowany do Windows'a i masz rację i że sam sobie zaprzeczam? Bo na to teraz wychodzi... Aha, po raz kolejny - to nie jest bash. 1) Napisałaś (co już zacytowałem wcześniej w tym piście), że wymaga dania dostępu do powłoki, 2) Poudawajmy nawet, że od początku chodziło Ci o uwierzytelnienie i autoryzację poprzez SSH (chociaż oczywiście wiemy, że tak nie jest...). Wytłumacz mi w takim razie, w jaki sposób udostępnienie uwierzytelniania i autoryzacji poprzez SSH jest naruszeniem polityki bezpieczeństwa w hostingu współdzielonym? No w jaki? 3) Wszystko zaczęło się od tego, że napisałaś, że używanie SSH do transmisji plików (czyli albo SCP albo SFTP, czyli protokołów transmisji danych z wykorzystaniem SSL'a) jest przesadą, a używanie FTPS (czyli protokołu transmisji danych z wykorzystaniem SSL'a) już nią nie jest. Aha, dopóki nie odpowiesz na 2 i 3 (na 1 nie musisz, bo oczywiste jest, że nie wymaga) to nie pisz, że "wyszło na Twoje". jak już mówimy konkretami to chodzi o "Powłoka logowania" poczytaj w necie http://klub.chip.pl/grzegorz/linux/ssh.html http://forum.fedora.pl/index.php?showtopic=15875 SSH zwane bezpieczną powłoką logowanie. Cytat z innego forum: "/bin/false umożliwia login bez powłoki, bez tunelowania ssh i bez katalogu domowego - o ile wiem, to używa się tego przy kontach FTP. /sbin/nologin całkowicie zabrania logowania i wypisuje komunikat o niedostępności konta " No wiem że chciał byś żebym myślała że windows to powłoka, ale jak na razie to wychodzi na moje... i o "/sbin/nologin" była mowa... I znów wyszło na moje... Udostępnij ten post Link to postu Udostępnij na innych stronach
regdos 1848 Zgłoś post Napisano Marzec 13, 2009 No wiem że chciał byś żebym myślała że windows to powłoka, (...) Windows nie ale explorer już tak. Jeżeli już tak lubisz podpierać się siecią to poczytaj sobie co to jest powłoka http://pl.wikipedia.org/wiki/Pow%C5%82oka_systemowa i co to jest SSH http://pl.wikipedia.org/wiki/SSH Udostępnij ten post Link to postu Udostępnij na innych stronach
luna 0 Zgłoś post Napisano Marzec 13, 2009 Windows nie ale explorer już tak. Jeżeli już tak lubisz podpierać się siecią to poczytaj sobie co to jest powłoka http://pl.wikipedia.org/wiki/Pow%C5%82oka_systemowa i co to jest SSH http://pl.wikipedia.org/wiki/SSH A jak już tak lubisz się popisywać, wytłumacz dlaczego SSH do autoryzacji wykorzystuje powłokę logowania. Czyli wracając do wątku o który się toczy ta dyskusja. Jak się zabroni dostępu do powłoki logowanei SCP i sFTP nie bedzie działać. I tutaj o to cały czas dyskusja się biega.Czyli wracając do sedna sprawy, żeby SCP/sFTP działało trzeba dać dostęp do SSH a za tym idzie do powłoki loogowania i wyszło znów na mioje... Udostępnij ten post Link to postu Udostępnij na innych stronach
p 3 Zgłoś post Napisano Marzec 13, 2009 jak już mówimy konkretami to chodzi o "Powłoka logowania" poczytaj w necie http://klub.chip.pl/grzegorz/linux/ssh.html http://forum.fedora.pl/index.php?showtopic=15875 SSH zwane bezpieczną powłoką logowanie. 1) SSH to nie żadna powłoka, poza tym nie ma czegoś takiego jak "powłoka logowania",2) Nie wklejaj mi cytatów z innych forów, bo wystarczająco dużo osób nie mających żadnego pojęcia o tym o czym pisze udziela się tutaj, 3) To, że ktoś coś napisał, nie oznacza automatycznie, że jest to prawdą, 4) Na temat (Open)SSH, tego jak działa, tego kto to tworzy, stosując jakie mechanizmy bezpieczeństwa, itd. nie musisz mi pisać (szczególnie takich bzdur jak teraz), bo doskonale jestem z tymi faktami zaznajomiony. Cytat z innego forum:"/bin/false umożliwia login bez powłoki, bez tunelowania ssh i bez katalogu domowego - o ile wiem, to używa się tego przy kontach FTP. /sbin/nologin całkowicie zabrania logowania i wypisuje komunikat o niedostępności konta " No wiem że chciał byś żebym myślała że windows to powłoka, ale jak na razie to wychodzi na moje... i o "/sbin/nologin" była mowa... Zdajesz sobie sprawę z tego, że to co teraz napisałaś nie ma kompletnie żadnego sensu? I znów wyszło na moje...Prosiłem o coś:2) Poudawajmy nawet, że od początku chodziło Ci o uwierzytelnienie i autoryzację poprzez SSH (chociaż oczywiście wiemy, że tak nie jest...). Wytłumacz mi w takim razie, w jaki sposób udostępnienie uwierzytelniania i autoryzacji poprzez SSH jest naruszeniem polityki bezpieczeństwa w hostingu współdzielonym? No w jaki?3) Wszystko zaczęło się od tego, że napisałaś, że używanie SSH do transmisji plików (czyli albo SCP albo SFTP, czyli protokołów transmisji danych z wykorzystaniem SSL'a) jest przesadą, a używanie FTPS (czyli protokołu transmisji danych z wykorzystaniem SSL'a) już nią nie jest. Aha, dopóki nie odpowiesz na 2 i 3 (na 1 nie musisz, bo oczywiste jest, że nie wymaga) to nie pisz, że "wyszło na Twoje". wytłumacz dlaczego SSH do autoryzacji wykorzystuje powłokę logowania.Jak regdos może wytłumaczyć Ci coś co nie ma miejsca? Od paru postów jest wałkowane, że SSH nie wykorzystuje powłoki do logowania. Koniec, kropka. Nie i już. Jak się zabroni dostępu do powłoki logowanei SCP i sFTP nie bedzie działać. I tutaj o to cały czas dyskusja się biega.Czyli wracając do sedna sprawy, żeby SCP/sFTP działało trzeba dać dostęp do SSH a za tym idzie do powłoki loogowania Jak to nie będzie działać? Przecież kilka postów wcześniej pokazałem, że działa... i wyszło znów na mioje...Nie, nie wyszło na Twoje. Udostępnij ten post Link to postu Udostępnij na innych stronach
regdos 1848 Zgłoś post Napisano Marzec 13, 2009 A jak już tak lubisz się popisywać, wytłumacz dlaczego SSH do autoryzacji wykorzystuje powłokę logowania. A co to jest powłoka logowania ? I dlaczego twierdzisz, że SSH do autoryzacji wykorzystuje coś takiego ? Opis proszę proces autoryzacji poprzez SSH. Udostępnij ten post Link to postu Udostępnij na innych stronach
luna 0 Zgłoś post Napisano Marzec 13, 2009 1) SSH to nie żadna powłoka, poza tym nie ma czegoś takiego jak "powłoka logowania",2) Nie wklejaj mi cytatów z innych forów, bo wystarczająco dużo osób nie mających żadnego pojęcia o tym o czym pisze udziela się tutaj, 3) To, że ktoś coś napisał, nie oznacza automatycznie, że jest to prawdą, 4) Na temat (Open)SSH, tego jak działa, tego kto to tworzy, stosując jakie mechanizmy bezpieczeństwa, itd. nie musisz mi pisać (szczególnie takich bzdur jak teraz), bo doskonale jestem z tymi faktami zaznajomiony. Zdajesz sobie sprawę z tego, że to co teraz napisałaś nie ma kompletnie żadnego sensu? Prosiłem o coś: Czytaj co pisze bo odechciewa mi się prowadzić BEZPRODUKTYWNĄ DYSKUSJĘ. SSH używa powłoki logowania do autoryzacji. Nie wklejaj mi cytatów z innych forów, bo wystarczająco dużo osób nie mających żadnego pojęcia o tym o czym pisze udziela się tutaj, racja, w tym momencie to ty Na temat (Open)SSH, tego jak działa, tego kto to tworzy, stosując jakie mechanizmy bezpieczeństwa, itd. nie musisz mi pisać (szczególnie takich bzdur jak teraz), bo doskonale jestem z tymi faktami zaznajomiony. SSH to jedno, sposób autoryzacji SSH przy wykorzystaniu wowłoki logowania to drugie. Niby jestes zaznajomiony a żadnych argumentów nie podajesz i znów wyszło na moje... Zamiast posać, "ale tak nie jest", 'ale się nie zgadzam" napisz argumenty albo poprzyj swoje racje publikacjami np z WIKI Zdajesz sobie sprawę z tego, że to co teraz napisałaś nie ma kompletnie żadnego sensu? Zamiast pisać bzdety napisz dlaczego uważasz że przy powłoce logowania /sbin/nologin da się zalogować do systemu i korzystać z SCP/sFTP bo jak na razie to nic po za zamieszaniem nie wniosłeś do dyskusji. A samo SSH używane jest w tym przypadku jako tunel i pewnie znów coś napiszesz żeby odsunąć te wypowiedzi z tego tematu dalej nie odpowiadając na nie... Zresztą, szkoda mi mojego cennego czasu na tłumaczenie kto nie argumentuje swoich wypowiedzi tylko pisze jak świeta krowa, i dogmat wiary bo tak napisał to tak jest ja podałam wiele argumentów, kto poczyta ten sam oceni A co to jest powłoka logowania ? I dlaczego twierdzisz, że SSH do autoryzacji wykorzystuje coś takiego ? Opis proszę proces autoryzacji poprzez SSH. Np. /sbin/nologin jest powłoką logowania która nie daje możliwości zalogowania, wróć do 1 strony i poczytaj że dyskusja tyczy się udostepnienia powłoki logowania nie nologin. SSH jest tylko tunelem w tym przypadku ale SCP/sFTP wymaga autoryzacji i tu jest pies pogrzebany... Udostępnij ten post Link to postu Udostępnij na innych stronach
p 3 Zgłoś post Napisano Marzec 13, 2009 Zamiast posać, "ale tak nie jest", 'ale się nie zgadzam" napisz argumenty albo poprzyj swoje racje publikacjami np z WIKI Publikacjami z Wiki, też mi coś... Pokazanie tego na działającym systemie nie wystarcza? Zamiast pisać bzdety napisz dlaczego uważasz że przy powłoce logowania /sbin/nologin da się zalogować do systemu i korzystać z SCP/sFTP bo jak na razie to nic po za zamieszaniem nie wniosłeś do dyskusji.Jak już pisałem wcześniej, uważam, że można korzystać z SFTP, ponieważ tak JEST: p@alix:~$ grep 1000 /etc/passwd p:*:1000:1000:p:/home/p:/sbin/nologin p@alix:~$ ifconfig | grep 192.168.1.1 inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255 p@alix:~$ sftp 192.168.1.1 Connecting to 192.168.1.1... Host key fingerprint is 05:ce:42:a4:cc:73:a7:f9:60:c0:45:e0:23:4f:77:15 +--[ RSA 2048]----+ | .+= . E. | | = + o o | | . @ + = . | | + * * . | | . = S | | . o | | . | | | | | +-----------------+ p@192.168.1.1's password: sftp> pwd Remote working directory: /home/p sftp> ...rozumiesz czy trzeba opisać Ci linijka po linijce co się dzieje? Udostępnij ten post Link to postu Udostępnij na innych stronach
luna 0 Zgłoś post Napisano Marzec 13, 2009 Ja już napisałam sporo w tym temacie i powtarzać w kółko tego nie zamierzam Udostępnij ten post Link to postu Udostępnij na innych stronach
p 3 Zgłoś post Napisano Marzec 13, 2009 Ja już napisałam sporo w tym temacie i powtarzać w kółko tego nie zamierzam OK, czyli nie zrozumiałaś. W takim razie opiszę Ci cos się działo (w dosyć prosty sposób, tak żebyś zrozumiała): p@alix:~$ grep 1000 /etc/passwd p:*:1000:1000:p:/home/p:/sbin/nologin Domyślna powłoka dla użytkownika p jest ustawiona na /sbin/nologin. p@alix:~$ ifconfig | grep 192.168.1.1 inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255 Adres 192.168.1.1 (z którym nastąpi połączenie) jest adresem lokalnym, w związku z czym, wycinek z /etc/passwd z poprzedniego polecenia dotyczy użytkownika, na którego będziemy się logowali. p@alix:~$ sftp 192.168.1.1 Connecting to 192.168.1.1... Host key fingerprint is 05:ce:42:a4:cc:73:a7:f9:60:c0:45:e0:23:4f:77:15 +--[ RSA 2048]----+ | .+= . E. | | = + o o | | . @ + = . | | + * * . | | . = S | | . o | | . | | | | | +-----------------+ p@192.168.1.1's password: sftp> pwd Remote working directory: /home/p sftp> Następuje połączenie z serwerem SSH, użytkownik jest uwierzytelniany, następnie odbywa się autoryzacja i uruchomienie podsystemu SFTP, który jak widać działa, pomimo ustawionej domyślnej powłoki na /sbin/nologin... Chyba wszystko na temat. Udostępnij ten post Link to postu Udostępnij na innych stronach
megi 358 Zgłoś post Napisano Marzec 13, 2009 Chyba wszystko na temat. Tak, wszystko. Dalsze uświadamianie Sary nie ma sensu - jest odporna na wiedzę. Żeby cała ta dyskusja nie była taka bezowocna, to napiszę, że (z punktu widzenia bezpieczeństwa) lepiej udostępniać klientom dostęp do plików poprzez SFTP (SFTP, a nie powłokę!) niż poprzez FTP(S). Napisz mi dlaczego lepiej udostępniać klientom sftp zamiast ftps. Chodzi Ci o to, że trzeba otworzyć jakiś zakres portów na firewallu czy o coś więcej? Pudełkowe sftp z kolei nie jest ograniczone do katalogu użytkownika. Udostępnij ten post Link to postu Udostępnij na innych stronach
luna 0 Zgłoś post Napisano Marzec 13, 2009 Tak, wszystko. Dalsze uświadamianie Sary nie ma sensu - jest odporna na wiedzę. Napisz mi dlaczego lepiej udostępniać klientom sftp zamiast ftps. Chodzi Ci o to, że trzeba otworzyć jakiś zakres portów na firewallu czy o coś więcej? Pudełkowe sftp z kolei nie jest ograniczone do katalogu użytkownika. Ty zastanów się co piszesz, ja napisałam że lepiej ftps a ty piszesz że napisałam że lepiej sftp kiedy rozmowa zaczęła się o SCP. Ale jak wiwdać lubicie przekręcać dyskusję. Pomijam fakt że zeszło z sugesti i podsłuhaniu hasła gdzie zasugerowałam taką ewentualność, to ktoś chcac się popsiać zaczą odbiegac od tematu. A mnie już szkoda na to czasu poprostu Udostępnij ten post Link to postu Udostępnij na innych stronach
megi 358 Zgłoś post Napisano Marzec 13, 2009 Ty zastanów się co piszesz, ja napisałam że lepiej ftps a ty piszesz że napisałam że lepiej sftp Spokojnie, nie pisałam do Ciebie przecież. Cytat jest p i pytanie też do niego. Udostępnij ten post Link to postu Udostępnij na innych stronach
luna 0 Zgłoś post Napisano Marzec 13, 2009 Spokojnie, nie pisałam do Ciebie przecież. Cytat jest p i pytanie też do niego. Sorki nie zwróciłam uwagi Udostępnij ten post Link to postu Udostępnij na innych stronach
beliq 442 Zgłoś post Napisano Marzec 13, 2009 Napisz mi dlaczego lepiej udostępniać klientom sftp zamiast ftps. Chodzi Ci o to, że trzeba otworzyć jakiś zakres portów na firewallu czy o coś więcej? Pudełkowe sftp z kolei nie jest ograniczone do katalogu użytkownika. Też jestem ciekaw, aczkolwiek odpowiedzi się chyba domyślam. Będzie ona wyglądała mniej więcej tak: "bo w OpenBSD...", a co oznacza, że w przypadku 99% serwerów sieciowych rada ta nie ma znaczenia. Udostępnij ten post Link to postu Udostępnij na innych stronach
p 3 Zgłoś post Napisano Marzec 13, 2009 Napisz mi dlaczego lepiej udostępniać klientom sftp zamiast ftps. Chodzi Ci o to, że trzeba otworzyć jakiś zakres portów na firewallu czy o coś więcej? Też jestem ciekaw, aczkolwiek odpowiedzi się chyba domyślam. Będzie ona wyglądała mniej więcej tak: "bo w OpenBSD...", a co oznacza, że w przypadku 99% serwerów sieciowych rada ta nie ma znaczenia. Jak zapewne wiesz, OpenBSD przychodzi z OpenSSH, które jest zarówno serwerem jak i klientem SSH także w tej używanej przez Was namiastce systemu operacyjnego (), zatem to co napiszę odnosi się do 99% serwerów sieciowych Zarówno serwer FTP jak i serwer SSH (z podsystemem SFTP, nie udostępniający dostępu do powłoki) działają dokładnie na tej samej zasadzie. Serwer (działający z uprawnieniami root'a, przynajmniej częściowo) nasłuchuje na połączenia na pewnym porcie. Gdy klient się podłączy wykonywane jest uwierzytelnienie i autoryzacja, następnie forkowany jest proces potomny działający z uprawnieniami użytkownika na którego właśnie się zalogowano (chociaż w przypadku serwerów FTP to nie zawsze ma miejsce), następnie odbywa się transfer plików i cała reszta. Oba serwery robią praktycznie to samo, przy czym serwer SSH działa cały czas z możliwie najmniejszymi uprawnieniami jakich potrzebuje. Co więcej, stosowane w OpenSSH mechanizmy bezpieczeństwa, separacji procesów, itd. są na pewno nie gorsze niż te stosowane w serwerach FTP, a w ogromnej większości przypadków są one znacznie lepsze i o wiele bardziej restrykcyjne. Historia pokazuje także, że o wiele łatwiej o błędy w serwerach FTP niż o błędy w OpenSSH i chyba każdy się zgodzi, że ten ostatni jest dojrzałym, bezpiecznym i stabilnym produktem, który przeszedł setki audytów bezpieczeństwa i na pewno udostępnianie dostępu do plików w taki sposób nie stanowi większego zagrożenia niż udostępnianie dostępu do plików poprzez FTP(S). Brak zamieszania z portami to tylko bonus Pudełkowe sftp z kolei nie jest ograniczone do katalogu użytkownika.Do katalogu domowego użytkownika nie, do wydzielonej części systemu plików jak najbardziej. Po szczegóły odeślę Cię do dokumentacji Udostępnij ten post Link to postu Udostępnij na innych stronach
