forum.opennet.ru

"Выпуск SFTP-сервера SFTPGo 1.0"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Второй уровень иерархии тем в форуме реализован через вкладку "Показ ключевых тем".

. "Выпуск SFTP-сервера SFTPGo 1.0"	+/–
Сообщение от draw1 (?), 12-Июл-20, 01:52
С паролями в административном плане всё обычно просто ужасно. Мало кто объясняет зачем это вообще надо, почему "123456" абсолютно ничем не лучше чем без пароля совсем, почему мантра "да на хрен я кому сдался", "у меня все равно никакого доступа нет" работает так себе и до случая... Всё это можно объяснить простым и понятным языком и на это не нужно много времени и усилий (и вменяемые люди прислушаются, поймут и будут "за"). Но большинство предпочитает просто вкрячить технические ограничения со словами "пох что ругают", не понимая, что сами ведут себя точно также как ненавидимые ими "юзеры". Точно также как "простые" люди без объяснения не понимают как "неважный" пароль может поломать многое, так и в их случае они не понимают, что если их все ругают, мол, "придумали очередную никому не нужную х@#ню! зачем? да им заняться нечем, вот они свою важность и выпячивают!", то падает их авторитет, а через это неминуемо падает авторитет и к тому, чем они занимаются. А дальше все кладут большой и жирный болт на безопасность и осторожность в целом (и уже не только на какие-то пароли). Ровно такая же фигня происходит когда вводят полиси насчёт принудительной смены паролей! Да, людям лень (да и сложно) придумывать и запоминать хорошие, длинные пароли каждый раз. Пароль типа: (X7r)mq+6f-MEM{kT&] можно запомнить, особенно если вводишь его регулярно, но не каждые ж 3 месяца! А поскольку доверия к тем к кто "придумал такое" уже нет (см.выше), то пароли неминуемо становятся слабее - они ровно чтоб проходить ограничения на сложность паролей и не битом энтропии больше! Требуется 8 символов? Будет 12345678. Надо чтоб были буквы и цифры? Ну будет qwerty11. Надо чтоб буквы были и заглавные и прописные? Ну будет Qwerty11. Надо ещё знаки препинания? Ну последняя точка тоже войдёт. Надо чтоб пароли не повторялись при смене? Ну следующий будет Qwerty12. И так далее... Когда нет понимания важности, доверия и авторитета, то обычно вот так. Эскалация взаимной ненависти есть, а результата нет. А достаточно было просто поговорить... Вопрос (риторический): насколько увеличилась безопасность от того, что пароли теперь меняются каждые N месяцев, но зато стали вот такими вот? Ответ: достаточно чтоб отчитаться перед начальством о предпринятых мерах.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Выпуск SFTP-сервера SFTPGo 1.0, opennews, 08-Июл-20, 16:12 [смотреть все]

Ещё пару месяцев и эта ссылка не откроется в популярных браузерах, Аноним, 08-Июл-20, 16:12 (1) //
- Мы сделаем свой популярный бразуер с блэкджеком и шлюпками , Аноним, 08-Июл-20, 17:24 (5) //
  - И будем пользоваться только мы , КО, 08-Июл-20, 18:38 (11)
  - Давно пора , Корец, 09-Июл-20, 05:13 (37)
  - кутьбровсер, анористим, 09-Июл-20, 09:14 (40)
- А по HTTPS , Аноним, 08-Июл-20, 17:34 (6) //
  - Нууу если вы примети все риски и нажмете пару дополнительных кнопок, то возм, Аноним, 08-Июл-20, 18:49 (12)
- локалхост никто не собирает трогать, иксперт, Аноним, 09-Июл-20, 00:12 (27) //
  - Хочешь сказать, когда собираются отказывать от http они его будет будут поддержи, Аноним, 12-Июл-20, 16:04 (96)
Ждем SFTPRust, ALex_hha, 08-Июл-20, 16:24 (2) //
- ну ждите-ждите, лет 10 ждать будете , leap42, 09-Июл-20, 10:56 (43)
- Нет, не ждем Зачем , ann, 14-Июл-20, 17:49 (107)
Интересно, виртуальные учётки в chroot для SFTP можно в openSSH реализовать Почт, Ilya Indigo, 08-Июл-20, 16:41 (3) //
- Если я правильно понял, то вирnуальные - это означает вирnуальные Если да, то, Аноним, 08-Июл-20, 17:24 (4) //
  - 1 Виртуальный пользователь, которого нет в системе или даже есть, но он с ним не, Ilya Indigo, 08-Июл-20, 17:37 (7) //
    - Я не просто уточнил что нужно рассказать именно ПОДБРОБНО Вот, примеры - виртуал, Аноним, 09-Июл-20, 03:53 (35)
- ProFTPd может работать как SFTP server и поддерживает виртуальных юзеров, OpenEcho, 08-Июл-20, 17:43 (8) //
  - ssh нужно держать, An, 08-Июл-20, 19:06 (15)
  - ProFTPd is a great software If it is good for your use case you should continue, drakkan, 10-Июл-20, 00:11 (55)
- Пока нет и вряд ли планируется chroot поддерживается давно , Аноним, 08-Июл-20, 22:19 (21)
- Нет, нельзяКак и биндинг пользователей к другим пользователям нельзяПриходилось , flkghdfgklh, 09-Июл-20, 00:01 (26)
- Можно openssh поддерживает PAM, а для chroot есть директива ChgrootDirectory p, Mr.Ueff, 09-Июл-20, 11:43 (46)
- все это есть лет 10 как в proftpd - http sys-adm org ua www proftpd Развлекалс, ALex_hha, 09-Июл-20, 22:44 (51)
Кажется писатели этого софта думают что они самые умные установив максимальную д, OpenEcho, 08-Июл-20, 17:49 (9) //
- Судя по минусам товарищам майёрам нравится ограниченные по длине пароли , OpenEcho, 09-Июл-20, 04:59 (36) //
  - А в чем сопстна проблема с длиной Фаллометрия тут неуместна , Pahanivo, 09-Июл-20, 09:16 (41) //
    - Это типа новый прикол У вас короткий пароль К сведению 4 видео в параллель ка, OpenEcho, 09-Июл-20, 19:20 (49)
      - brickface Несолёный md5 по радужным таблицам , PnD, 09-Июл-20, 21:54 (50)
        
        Не только md5NTLM 130GigaHashes secmd5crypt 35MegaHashes secPBKDF2-hmac-md5 , OpenEcho, 09-Июл-20, 23:32 (52)
        
        Hi,SFTPGo stores passwords using argon2id hashing There is no limit for the pas, drakkan, 09-Июл-20, 23:56 (53)
        
        Hello Drakkan,First of all thanks a lot for the great software you created I sp, OpenEcho, 10-Июл-20, 08:28 (57)
        
        gt оверквотинг удален Hi,in V3 migration the password field was converted from, drakkan, 10-Июл-20, 10:46 (59)
        Hi again,I just tested SFTPGo on FreeBSD and it works fine, anyway you have to b, drakkan, 11-Июл-20, 00:45 (72)
        
        Thanks a lot drakkan I will test it out next week on commercial FreeNAS box and, OpenEcho, 11-Июл-20, 01:01 (73)
        
        хыхыхыБолее 10 лет назад, я экспериментировал я перебором md5, на одноядерном P4, Pahanivo, 10-Июл-20, 11:02 (60)
        Давай посчитаем, что ли 24 символа пароль Допустим, что в нём используется 60 , Ordu, 11-Июл-20, 11:38 (79)
        
        А кто здесь говорил о тупом переборе Блин, где вы видели использование юзерами р, OpenEcho, 12-Июл-20, 01:37 (90)
        
        Я имел в виду не количество символов в пароле, а количестве разных используемых , Ordu, 12-Июл-20, 02:03 (93)
      - в твоих снах разве что https habr com ru company dcmiran blog 504950 иди пр, ALex_hha, 10-Июл-20, 08:59 (58)
        
        Ну, кто-то хабры читает, а кто-то живьем делает Повышайте свои знания и дальше, OpenEcho, 10-Июл-20, 21:41 (65)
        
        Мамкины ыксперты во сне и не такое делают Наверное и силой мысли взламывают люб, ALex_hha, 11-Июл-20, 10:13 (76)
        
        Это то вы про себя Могу вас тогда обрадовать, раз вы сами еще не одолели гугл, , OpenEcho, 11-Июл-20, 19:20 (84)
        
        Ну вот и посмотри скорость на том же sha256 и посмотри его сложность А теперь п, ALex_hha, 11-Июл-20, 23:13 (88)
        
        Ну, судя по постоянному применению этой фразы и постоянного унижения собеседнико, OpenEcho, 12-Июл-20, 02:02 (92)
      - По-твоему, 255 байт 8212 это короткий пароль Знаешь, не хочу тебя расстраива, Аноним, 10-Июл-20, 11:29 (61)
        
        Ну, давайте Секретность пароля фразы определяется не х у, а энтропи Уже доказа, OpenEcho, 10-Июл-20, 23:00 (66)
        
        А ещё давным-давно придумали и о-о-очень широко используют особенно если серьёз, draw1, 11-Июл-20, 01:44 (74)
        
        Менеджеры паролей, о которых вы говорите - одно из самых правильных решений, и м, OpenEcho, 11-Июл-20, 08:24 (75)
        
        Угу, и чтобы этим паролем воспользоваться, мало угнать базу с хешами с сервера, , Ordu, 11-Июл-20, 11:55 (80)
        
        Зачем угонять базу у самого себя Вы о чем Мы говорили о своем собственном , OpenEcho, 11-Июл-20, 19:02 (82)
        
        Вообще-то нет Выше модель уроз никак не определялась явно Если ты предполагал , Ordu, 11-Июл-20, 21:27 (87)
        
        С паролями в административном плане всё обычно просто ужасно Мало кто объясняет , draw1, 12-Июл-20, 01:52 (91)
        Поговорить -- может помочь, но далеко не факт Если говорить раз в три месяца, г, Ordu, 12-Июл-20, 02:36 (95)
        Вся проблема - в безинициативных людях, лени и похеризме Принятие решений на вв, OpenEcho, 12-Июл-20, 17:50 (97)
        
        Не-не, ты число не назвал Прописью, пожалуйста , Аноним, 11-Июл-20, 11:07 (77)
        
        Судя по всему чтиво не одолели жаль моего времени , OpenEcho, 11-Июл-20, 19:05 (83)
      - Да, самое главное Если ты такой параноик, почему ты вообще пользуешься паролями, Аноним, 10-Июл-20, 11:35 (62)
        
        Я пользуюсь ключами, но ключи то надо защищать чем Правильно - паролями , OpenEcho, 10-Июл-20, 23:08 (67)
        
        а вот и нет ключи нужно генерить внутри смарткарты читай, yubikey , а там и во, Аноним, 11-Июл-20, 11:27 (78)
        
        Я думал мы о паролях говорим, нет , OpenEcho, 11-Июл-20, 19:28 (85)
        
        Нет В этой ветке мы обсуждаем, что для sftp нужно использовать ключи, Аноним, 11-Июл-20, 23:29 (89)
        
        Я что то не припомню, что бы я обсуждал ключи, просто каждый раз когда я вижу пр, OpenEcho, 12-Июл-20, 02:09 (94)
      - Жирновато Или упор на то, что комбинаторику в современной учебной программе с, Аноним84701, 10-Июл-20, 12:53 (63)
        
        Жестким перебором уже давно никто не занимается Даже тот же хэшкэт умеет оптим, OpenEcho, 10-Июл-20, 23:21 (68)
        
        смотри, раз уж тебе ограничения в 255 символов маловато, а 24х-значные щелкаются, Аноним, 11-Июл-20, 13:09 (81)
        
        За беcплантным взломом - вам сюда https www google com search q crack hash on, OpenEcho, 11-Июл-20, 20:48 (86)
        
        ты бы еще md5 привел для примера facepalm А то видео и проц он берет самые посл, ALex_hha, 13-Июл-20, 11:11 (101)
        
        Не для чувака у которого от желчи глаза и разум затуманенны, но для других читат, OpenEcho, 13-Июл-20, 18:09 (103)
        
        он пока только в своих снах научился взламывать за 20-30 минут На практике не п, ALex_hha, 12-Июл-20, 22:50 (99)
        
        Он еще к тому же и телепат Н-да одни с годами мудреют, а другие просто стано, OpenEcho, 13-Июл-20, 18:13 (104)
        
        а еще есть такаю штука как salt - и все радужные таблицы идут лесом А пацан шел, ALex_hha, 12-Июл-20, 22:54 (100)
        
        6 LmM1lg58z0eZsech pH5Vr2KR H5vQ8Cw1 - все что между это, OpenEcho, 13-Июл-20, 18:25 (105)
        
        И , ALex_hha, 19-Июл-20, 10:05 (108)
        
        https habr com ru post 516844 где там этот школьник который ломает любой парол, ALex_hha, 28-Авг-20, 13:00 (109)
И еще, Я понимаю что Линус похерил стандарт 80 символов на строку в 21 веке, но , OpenEcho, 08-Июл-20, 18:23 (10) //
- А какая разница, вручную справлен текст или автоматически , Q2W, 08-Июл-20, 22:51 (24) //
  - Откройте tmux окно, которое сидит рядом с другими, а потому суженно до стандартн, OpenEcho, 09-Июл-20, 03:43 (34)
- При чем здесь 21 век Это было ограничение адекватности вложенности, именования , rshadow, 09-Июл-20, 11:16 (44)
- This is now fixed, thank you for your suggestion, drakkan, 09-Июл-20, 23:59 (54)
Я вот даже не понимаю как к этому относиться С одной стороны - продолжение не, pofigist, 08-Июл-20, 18:55 (13) //
- ftp и sftp попутал, иксперт, Аноним, 09-Июл-20, 00:13 (28) //
  - Не попутал И с ftps - тоже не попутал , pofigist, 09-Июл-20, 11:42 (45)
GOпники такие GOпники только docker-ов в новости не хватает , InuYasha, 08-Июл-20, 19:05 (14)
import github com drakkan sftpgo cmd как же это прекрасно, когда половина кишок, заминированный тапок, 08-Июл-20, 21:04 (16) //
- Ты не шаришь, почитай как работают импорты в Go, Иваня, 08-Июл-20, 21:26 (18) //
  - ты думаешь он хоть в чем-то шарит местные иксперты только дерьмом кидаться умею, Аноним, 09-Июл-20, 00:14 (29)
  - Что неужели как xsd в xml Написано брать там-то, а на самом деле где-то в недр, КО, 09-Июл-20, 08:58 (38)
  - И как он работает Т е в примере выше не с гитхаба будет импортироваться , Аноним, 09-Июл-20, 09:01 (39) //
    - Это импорт изнутри того же модуля Он у тебя уже есть Зачем бы ему гитхаб , Аноним, 09-Июл-20, 09:51 (42)
Если бы не игого, было бы ок А так - не нужно , Онаним, 08-Июл-20, 21:23 (17) //
- А чем это вам Go не нравится Или вы сторонник Rust , Иваня, 08-Июл-20, 21:27 (19) //
  - Чума на оба дома C, плюсы, в худшем случае жаба , Онаним, 08-Июл-20, 21:30 (20) //
    - О, мсье знает толк 8230 , Аноним, 08-Июл-20, 22:24 (22)
- держи в курсе, иксперт, Аноним, 09-Июл-20, 00:14 (30)
Вот с этого пункта и ниже пошёл какой-то треш А как хорошо начиналось 8230 , Аноним, 08-Июл-20, 22:26 (23) //
- у тебя подгорает, потому что ты не осилил современный мониторинг, иксперт , Аноним, 09-Июл-20, 00:15 (31) //
  - Неа И понять, зачем одной софтине пять форматов конфигов, да ещё и веб-морда в , Аноним, 09-Июл-20, 00:29 (32) //
    - ха, надеюсь настнет время когда ты таки осилиш факт что JSON-логи делались не дл, Аноним, 13-Июл-20, 11:53 (102)
Странная инициатива Думаю люди чисто по фану для себя сделали Бо меня и mc уст, Аноним, 08-Июл-20, 22:57 (25) //
- Рекомендую чтение на ночь https ru wikipedia org wiki D0 A1 D0 B5 D1 80 D0 B2, Аноним, 09-Июл-20, 00:31 (33)
Почитал Погладил ProFTPd Пошёл дальше , Аноним, 09-Июл-20, 13:20 (47) //
- Смотри, не сильно свой proftpd тереби, а то ладони волосатые будут , Онаним, 09-Июл-20, 13:50 (48)
- Еще один, который не видит разницы между FTP и SFTP Продолжай гладить , Аноним, 10-Июл-20, 07:41 (56)
Фича этой программы в том что её можно легко собрать в виде одного бинарника без, stalkerdroad, 12-Июл-20, 21:52 (98)
А без этого вот не работало Что-то у меня прекрасно git ходит через openssh , ann, 14-Июл-20, 17:47 (106)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру