Пользуясь положением: как вы боретесь с кражей паролей от FTP?
…или почему факт хака находят в пятницу вечером…
Для начала приведу результаты прошлого event`а:
Какой способ оповещения о проблемах вы используете в Nagios?
Всего голосов: 39  Loading ... |
Результаты говорят сами за себя, большинство использует e-mail, все остальные способы используются в равной степени (~30%), меня удивил тот факт, что так мало пользователей SMS-оповещений. Ну да ладно, это я постараюсь вскоре исправить 
.
Слезная история…
Повадились как-то скрипто-вирусы ломать один из наших devel-серверов и пытатся добавить в код всякие iframe`ы и «script source». И всебы ничего, но случатся это вдруг стало заметно чаще и обнаруживалось в пятницу в середине дня (самая пора админу отдохнуть и тут «на тебе…»). В одну прекрасную пятницу мы обнаружили что сервер просто «кишит» всякой подобной нечистью. Выпили по чашке кофею, которые потом превратились в «усилитель» и принялись за 5ти часовую читку сервера…
В процессе разбора полетов выяснилось что взлом был произведен через украденные пароли от FTP аккаунтов, крали их из сохраненных в Total Commander`е настроек…
Провинившиеся FTP были отрублены, всем нуждавшимся были созданы аккаунты с фильтром по IP, чтобы можно было войти только из оффиса. Но проблему это не решает, есть еще некоторая часть сотрудников работающих из дома.
Вопрос
Как вы боретесь с кражей паролей к FTP/SSH?
Работая в тех.поддержке CMS, не раз сталкивался с проблемой кражи паролей к FTP. У меня же такой проблемы нет – на ноуте Debian GNU/Linux, пароли к ftp в mc не хранятся. Если всё же возникает такая потребность, тогда пользуюсь FileZilla. В общем моё решение – Debian.
Так в том-то и фишка, что я работаю исключительно в Linux, и знаю КАК нужно хранить пароли. С пользователями сложнее
.
А как у Вас решалась эта проблема?
системы с одноразовыми паролями достаточно удачны для этого, хотя не для очень широкого применения….
А если пользователю нужен доступ постоянно?
Мы отказались от использование FTP. Только SCP/SSH, авторизация по ключу.
И как у вас это организовано?
Как хранятся ключи, как проводили «общественные» работы?
Какой SSH сервер использовали под винду, если она была
.
В голосовалке нет пункта firefox plugin.
Что касается ftp – для нечастых подключений хороши одноразовые пароли, а для частых – как вариант, подключаться с Linux-машин, если это возможно (в одной знакомой компании именно так и сделали).
> В голосовалке нет пункта firefox plugin.
.
В нынешней? Есть, AdBlock
Фича в том что с локального компа на Linux -> на нужный сервер, долговато…
При чём тут AdBlock? Я про Nagios.
Немного неправильно оформил опрос. Для вас был пункт
> «Nagstatmon etc.»
Я просто еще не знал об альтернативах.
OpenVPN/bridge довольно легко настраивается и позволяет пользователям не бояться сниферов. на случай если ключи утекли, они довольно легко блокируются.
полностью отказались от ftp. только scp/sftp
Полностью отказываю в FTP не только своим клиентам
но самому себе
пользуюст scp, rsync, cvs
У нас хостинг и проблемы с украдеными паролями постоянные. Заставлять клиентов, которые за частую и с ftp/smtp/pop3 совладать не могут, использовать scp — варварство. Есть идея блокировать аккаунт или хотя бы сигнализировать, если к фтп под одним логин заходя с разных ip, но пока не реализовано.
На самом деле для нас это достаточно острая проблема
ЗЫЖ
А как по человечески, кстати, сделать рассылку смс из nagios? Раньше у моего оператора был веб-интерфейс без капчи, и я из нагиоса скриптом отправлял смс. Сейчас не могу найти (не очень искал?) бесплатные гейты email->sms. А телефон оставлять у серверов и платить за еще один номер тоже не хочется.
Ждите
, как раз на неделе допишу статью по рассылке СМС, надеюсь она вам поможет 
.
Народ а подскажите кто SSH сервер под винду, но чтобы с возможностями FTP.
Т.е. пользователю дается доступ только к определенной папке.
Есть ли такие?