Náměty na vylepšení 4smart

Poradna při řešení nejrůznějších problémů spojených s provozem virtuálních serverů.
vlk
Příspěvky: 179
Registrován: ned 29. pro 2013 19:04:40

Náměty na vylepšení 4smart

Příspěvek od vlk »

Zdravím, chybí mi tu sekce pro náměty na vylepšení (nebo jsem ji jen nenašel?). Přidávám pár tipů:
- V sekci IP Adresy a HTTP proxy mi chybí možnost pojmenování jednotlivých řádků (jsem laik, dle čísla portu nepoznám o jakou aplikaci se jedná, stále to zatím zkouším metodou pokus a omyl, co je port 10000 za aplikaci na serveru (je to webmin) a jak přistoupit - ale dřív či později se to naučím, resp. si vytvářím duplicitní tabulku bokem)
- nevím proč, ale v té samé tabulce mi nejde označit a tím pádem zkopírovat adresa s portem (Firefox 41.0.2) - lze to vyřešit i tak když by v té sekci všechny porty byly klikatelné (z URL pak jde to zkopírovat)
- a kdybych vždy mohl předřadit odkazu nějaký ten protokol (https:// http:// i jiné)
mobilemanic
Příspěvky: 486
Registrován: čtv 10. říj 2013 10:20:15

Re: Náměty na vylepšení 4smart

Příspěvek od mobilemanic »

- Ta první možnost tam je, třeba u portu 22 říká, že se standardně používá pro SSH.. Tak by to asi jen chtělo ten seznam doplnit dle nějakého vhodného seznamu
- Kopírovat nejde nikde nic, obsah stránky se neustále přepisuje - dělá to ten divný javascript na kterém je celé to rozhraní postavené :-)
- Tu třetí věc nechápu :)
vlk
Příspěvky: 179
Registrován: ned 29. pro 2013 19:04:40

Re: Náměty na vylepšení 4smart

Příspěvek od vlk »

mobilemanic píše:- Ta první možnost tam je, třeba u portu 22 říká, že se standardně používá pro SSH.. Tak by to asi jen chtělo ten seznam doplnit dle nějakého vhodného seznamu
- Kopírovat nejde nikde nic, obsah stránky se neustále přepisuje - dělá to ten divný javascript na kterém je celé to rozhraní postavené :-)
- Tu třetí věc nechápu :)
ad 1: máte pravdu, ale to si myslím, že je takové množství aplikací a jejich portů a navíc někdo schválně používá jiné porty kvůli bezpečnosti (např. odorik), že jednodušší je to nechat na uživatelích, at si to označí jak chtějí
ad 3: u portu 80 je ted link na href:XXX.XXX.XXX.XXX:XXXX a ideální by bylo kdyby i u jiných portů byl link a já bych definoval, jaký prefix by to mělo mít jestli https://XXX.XXX.XXX.XXX:XXXX nebo http://XXX.XXX.XXX.XXX:XXXX nebo třeba
PS: Zatím jsem vše vyřešil tím, že jsem si stránku udělal ručně jinde.
blue4world
Příspěvky: 3
Registrován: stř 13. úno 2013 20:56:37

Re: Náměty na vylepšení 4smart

Příspěvek od blue4world »

Zdravím,
když už se tady objevilo vlákno diskutující možná vylepšení 4smart, tak bych také rád přispěl.
Velice bych ocenil, kdyby se pro přihlášení do admin rozhraní dala zapnout dvoufaktorová autentizace.
S mod-authn-otp - https://github.com/archiecobbs/mod-authn-otp by to snad neměl být problém implementovat.
mobilemanic
Příspěvky: 486
Registrován: čtv 10. říj 2013 10:20:15

Re: Náměty na vylepšení 4smart

Příspěvek od mobilemanic »

blue4world píše:Velice bych ocenil, kdyby se pro přihlášení do admin rozhraní dala zapnout dvoufaktorová autentizace.
S mod-authn-otp - https://github.com/archiecobbs/mod-authn-otp by to snad neměl být problém implementovat.
+1
4smart.cz
Administrátor
Příspěvky: 1373
Registrován: úte 12. říj 2010 9:16:11
Kontaktovat uživatele:

Re: Náměty na vylepšení 4smart

Příspěvek od 4smart.cz »

Dobrý den,

dvoufaktorová autentizace - by mohla být přínosem, jako ochrana před key-loggery, pokud se uživatel do administračního rozhraní 4smart.cz přihlašuje z nedůvěryhodné stanice (např. kavárna).
Zvolil bych ale vlastní způsob, tedy vlastní implementaci přímo v kódu PHP, kde by se po zadání uživatelského jména a hesla následně zobrazil dialog pro zadání PINu. PIN by se zasílal na telefon jako SMS s pomocí Odorik API.
Tuto funkci by bylo možné aktivovat volitelně a to pouze za předpokladu, že má uživatel zadáno telefonní číslo v nastavení svého 4smart.cz účtu.

čísla portů a pojmenování - aktuálně webové rozhraní v sekci mapování portů očekává zadání čísla portu. Při zadání čísla zobrazí našeptávač (javascript) protokol, který se pod tímto číslem skrývá.
Duplicitní tabulku si vytvářet nemusíte, najdete ji snad v každém Linuxovém systému (/etc/services), dále také například https://cs.wikipedia.org/wiki/Seznam_%C ... _TCP_a_UDP, přičemž důležitý je především
rozsah 0 až 1023. V našeptávači jsou implementovány pouze ty nejpoužívanější porty. Možná by zde mohla být nápověda, případně odkaz na tento seznam.
Rozhraní pro nastavení mapování portů očekává zadání čísla, protože existují čísla portů, jenž nemají pevně přiřazený protokol, rozsah 49152 až 65535.

exporty - pokud potřebujete evidovat někde bokem seznam svých VPS a jejich aktuální nastavení, tedy přidělené IP adresy, stav, hostname, ID, HW uzel, zadejte po přihlášení do www rozhraní 4smart.cz url:
https://www.4smart.cz/exports.php.
Výstupem je prostý text, který odpovídá seznamu virtuálních serverů v sekci 'Moje servery'. Javascript může zkomplikovat kopírování textu z některých částí webového rozhraní 4smart.cz. Myslím ale, že kopírovat text z některé z částí vetšinou není třeba.
Kdyby chyběla dynamika v podobě javascriptu, bylo by zde nejspíše mnohem více komentářů od nespokojených uživatelů, kteří by se ptali, proč se ta či ona část rozhraní neaktualizovala po např. přidělení/odebrání IP adresy/portu, zastavení/startu VPS, atd.. Je třeba upozornit na to, že pokyny zadané z webového rozhraní se na pozadí provádějí se zpožděním, ne tedy ihned. Prodleva mezi zadáním pokynu a jeho zpracováním závisí na tom, zda je fronta úkonů prázdná nebo zda-li zde již jsou nějaké požadavky, třeba od jiných uživatelů. Javascript tedy řeší problém s možnou prodlevou a zajistí obnovu stránky, nebo její části až po provedení změn na backendu.

J.M.
mobilemanic
Příspěvky: 486
Registrován: čtv 10. říj 2013 10:20:15

Re: Náměty na vylepšení 4smart

Příspěvek od mobilemanic »

admin píše:...
Javascript tedy řeší problém s možnou prodlevou a zajistí obnovu stránky, nebo její části až po provedení změn na backendu.

J.M.
To ale nevysvětluje, proč se z té stránky nedá kopírovat (ztrácí focus každou 1s) i když má být v klidu a žádné požadavky se nedějí... Ono to moc často potřeba není, ale třeba když jsem si chtěl vykopírovat veřenou adresu uzlu při prvních pokusech, tak jsem z toho málem zašílel... Nakonec jsem si ty adresy opsal :-P
mobilemanic
Příspěvky: 486
Registrován: čtv 10. říj 2013 10:20:15

Re: Náměty na vylepšení 4smart

Příspěvek od mobilemanic »

Jo a k té dvoufaktorové autentizaci... Určitě by měla být možná, protože v tom rozhraní jde strašně jednoduše na pár kliknutí celý server ukrást a nebo relativně nevratně totálně zničit... Na tyhle možnosti mi přijde jměno a heslo, navíc s zákazem většiny speciálních znaků jako dost riskantní podnik...

A dále - SMS i ano, ale jako drahé a nepříliš bezpečné řešení znouze, na nic jiného to není... Pokud skutečný dvoufaktor, tak jeho základem by mělo být HOTP/TOTP (jednoduchá implementace) nebo PKCS (složitější implementace) a ne SMSková parodie...
vlk
Příspěvky: 179
Registrován: ned 29. pro 2013 19:04:40

Re: Náměty na vylepšení 4smart

Příspěvek od vlk »

admin píše: čísla portů a pojmenování - aktuálně webové rozhraní v sekci mapování portů očekává zadání čísla portu. Při zadání čísla zobrazí našeptávač (javascript) protokol, který se pod tímto číslem skrývá.
Duplicitní tabulku si vytvářet nemusíte, najdete ji snad v každém Linuxovém systému (/etc/services), dále také například https://cs.wikipedia.org/wiki/Seznam_%C ... _TCP_a_UDP, přičemž důležitý je především
rozsah 0 až 1023. V našeptávači jsou implementovány pouze ty nejpoužívanější porty. Možná by zde mohla být nápověda, případně odkaz na tento seznam.
Rozhraní pro nastavení mapování portů očekává zadání čísla, protože existují čísla portů, jenž nemají pevně přiřazený protokol, rozsah 49152 až 65535.
Děkuji za odpověď. Obávám se, že dodaný popis znám a příliš mi nepomůže. Business use case v ideálním případě je, že budu mít na stránceklikatelné linky na vlastně přístupové brány/porty serveru.
V současné době používám jen SSH port, který je pojmenován. Pak je tam pár nestandardních portů, kde musím neustále vzpomínat, co je co. Proto jsem si vytvořil tabulku ručně jinde, kde kliknu na odkaz Webmin a rovnou mám stránku webminu serveru, kliknu na odkaz Confluence a rovnou mám stránku confluence, která běží na serveru + pár dalších služeb. Obávám se bez možnosti manuální upravy popisu a modifikace linku (stačilo by asi prefiu) mi nic jiného nepomůže. Ale i tak ještě jednou děkuji za reakci.
4smart.cz
Administrátor
Příspěvky: 1373
Registrován: úte 12. říj 2010 9:16:11
Kontaktovat uživatele:

Re: Náměty na vylepšení 4smart

Příspěvek od 4smart.cz »

Webové rozhraní 4smart.cz není tak úplně prosté. Máme zde mechanizmus, který sleduje počty neúspěšných pokusů o přihlášení a v případě překročení 5 neúspěšných pokusů dochází k BANu.
Takže je vyloučeno, aby někdo zkoušel kombinace loginu a hesla do nekonečna a nakonec vykradl třeba celou databázi.

Bavíme se tedy pouze o případech, kdy se uživatel přihlašuje na 4smart.cz ze stanice, kde by mohl být key-logger, tedy SW/HW pro odposlech stisknutých kláves, nebo o situacích, kdy oprávněnému uživateli někdo zcizí jeho přihlašovací údaje. Hledáme tedy dodatečný mechanizmus pro zabezpečení přístupu k virtuálním serverům 4smart.cz pod účtem uživatele. Tento mechanizmus by se měl uplatňovat volitelně (pokud jej uživatel povolí) a to ve fází po zadání uživatelského jména a hesla. Zvolené řešení by mělo být maximálně jednoduché, protože musíme počítat s tím, že jej bude používat i méně zkušený uživatel. V tomto případě je opis kódu ze SMS jednou z těch nejjednodušších variant.
Dle mého názoru může být pro málo zdatného uživatele problém nainstalovat si do telefonu SW token. SMS je v takovém případě stále tím nejlepším řešením, ačkoliv nemá s tokenem nic společného.
Připomínám, že hledáme dodatečný mechanizmus pro autentizaci uživatele. Navíc SMS používá například i Česká Spořitelna pro autorizaci transakce.

Matematicky - pokud bychom zasílali SMS, ve které by byl pseudonáhodně generovaný kód o délce řekněme 6 znaků z množiny [a-z0-9] (36 znaků), jde o variaci s opakováním, kde existuje celkem

V'(6,36) = 36^6 = 2 176 782 336 možných způsobů zadání těchto znaků, přičemž správný je pouze jeden.

To dle mého názoru plně dostačuje s ohledem na jednoduchost, praktičnost i spolehlivost. Žádný token, stačí obyčejný hloupý mobilní telefon pro příjem SMS zprávy.

J.M.
Zamčeno