forum.odorik.cz

Zdravím, chybí mi tu sekce pro náměty na vylepšení (nebo jsem ji jen nenašel?). Přidávám pár tipů:
- V sekci IP Adresy a HTTP proxy mi chybí možnost pojmenování jednotlivých řádků (jsem laik, dle čísla portu nepoznám o jakou aplikaci se jedná, stále to zatím zkouším metodou pokus a omyl, co je port 10000 za aplikaci na serveru (je to webmin) a jak přistoupit - ale dřív či později se to naučím, resp. si vytvářím duplicitní tabulku bokem)
- nevím proč, ale v té samé tabulce mi nejde označit a tím pádem zkopírovat adresa s portem (Firefox 41.0.2) - lze to vyřešit i tak když by v té sekci všechny porty byly klikatelné (z URL pak jde to zkopírovat)
- a kdybych vždy mohl předřadit odkazu nějaký ten protokol (https:// http:// i jiné)

- Ta první možnost tam je, třeba u portu 22 říká, že se standardně používá pro SSH.. Tak by to asi jen chtělo ten seznam doplnit dle nějakého vhodného seznamu
- Kopírovat nejde nikde nic, obsah stránky se neustále přepisuje - dělá to ten divný javascript na kterém je celé to rozhraní postavené
- Tu třetí věc nechápu

mobilemanic píše:- Ta první možnost tam je, třeba u portu 22 říká, že se standardně používá pro SSH.. Tak by to asi jen chtělo ten seznam doplnit dle nějakého vhodného seznamu
- Kopírovat nejde nikde nic, obsah stránky se neustále přepisuje - dělá to ten divný javascript na kterém je celé to rozhraní postavené
- Tu třetí věc nechápu

ad 1: máte pravdu, ale to si myslím, že je takové množství aplikací a jejich portů a navíc někdo schválně používá jiné porty kvůli bezpečnosti (např. odorik), že jednodušší je to nechat na uživatelích, at si to označí jak chtějí
ad 3: u portu 80 je ted link na href:XXX.XXX.XXX.XXX:XXXX a ideální by bylo kdyby i u jiných portů byl link a já bych definoval, jaký prefix by to mělo mít jestli https://XXX.XXX.XXX.XXX:XXXX nebo http://XXX.XXX.XXX.XXX:XXXX nebo třeba
PS: Zatím jsem vše vyřešil tím, že jsem si stránku udělal ručně jinde.

Zdravím,
když už se tady objevilo vlákno diskutující možná vylepšení 4smart, tak bych také rád přispěl.
Velice bych ocenil, kdyby se pro přihlášení do admin rozhraní dala zapnout dvoufaktorová autentizace.
S mod-authn-otp - https://github.com/archiecobbs/mod-authn-otp by to snad neměl být problém implementovat.

blue4world píše:Velice bych ocenil, kdyby se pro přihlášení do admin rozhraní dala zapnout dvoufaktorová autentizace.
S mod-authn-otp - https://github.com/archiecobbs/mod-authn-otp by to snad neměl být problém implementovat.

+1

Dobrý den,

dvoufaktorová autentizace - by mohla být přínosem, jako ochrana před key-loggery, pokud se uživatel do administračního rozhraní 4smart.cz přihlašuje z nedůvěryhodné stanice (např. kavárna).
Zvolil bych ale vlastní způsob, tedy vlastní implementaci přímo v kódu PHP, kde by se po zadání uživatelského jména a hesla následně zobrazil dialog pro zadání PINu. PIN by se zasílal na telefon jako SMS s pomocí Odorik API.
Tuto funkci by bylo možné aktivovat volitelně a to pouze za předpokladu, že má uživatel zadáno telefonní číslo v nastavení svého 4smart.cz účtu.

čísla portů a pojmenování - aktuálně webové rozhraní v sekci mapování portů očekává zadání čísla portu. Při zadání čísla zobrazí našeptávač (javascript) protokol, který se pod tímto číslem skrývá.
Duplicitní tabulku si vytvářet nemusíte, najdete ji snad v každém Linuxovém systému (/etc/services), dále také například https://cs.wikipedia.org/wiki/Seznam_%C ... _TCP_a_UDP, přičemž důležitý je především
rozsah 0 až 1023. V našeptávači jsou implementovány pouze ty nejpoužívanější porty. Možná by zde mohla být nápověda, případně odkaz na tento seznam.
Rozhraní pro nastavení mapování portů očekává zadání čísla, protože existují čísla portů, jenž nemají pevně přiřazený protokol, rozsah 49152 až 65535.

exporty - pokud potřebujete evidovat někde bokem seznam svých VPS a jejich aktuální nastavení, tedy přidělené IP adresy, stav, hostname, ID, HW uzel, zadejte po přihlášení do www rozhraní 4smart.cz url:
https://www.4smart.cz/exports.php.
Výstupem je prostý text, který odpovídá seznamu virtuálních serverů v sekci 'Moje servery'. Javascript může zkomplikovat kopírování textu z některých částí webového rozhraní 4smart.cz. Myslím ale, že kopírovat text z některé z částí vetšinou není třeba.
Kdyby chyběla dynamika v podobě javascriptu, bylo by zde nejspíše mnohem více komentářů od nespokojených uživatelů, kteří by se ptali, proč se ta či ona část rozhraní neaktualizovala po např. přidělení/odebrání IP adresy/portu, zastavení/startu VPS, atd.. Je třeba upozornit na to, že pokyny zadané z webového rozhraní se na pozadí provádějí se zpožděním, ne tedy ihned. Prodleva mezi zadáním pokynu a jeho zpracováním závisí na tom, zda je fronta úkonů prázdná nebo zda-li zde již jsou nějaké požadavky, třeba od jiných uživatelů. Javascript tedy řeší problém s možnou prodlevou a zajistí obnovu stránky, nebo její části až po provedení změn na backendu.

J.M.

admin píše:...
Javascript tedy řeší problém s možnou prodlevou a zajistí obnovu stránky, nebo její části až po provedení změn na backendu.

J.M.

To ale nevysvětluje, proč se z té stránky nedá kopírovat (ztrácí focus každou 1s) i když má být v klidu a žádné požadavky se nedějí... Ono to moc často potřeba není, ale třeba když jsem si chtěl vykopírovat veřenou adresu uzlu při prvních pokusech, tak jsem z toho málem zašílel... Nakonec jsem si ty adresy opsal

Jo a k té dvoufaktorové autentizaci... Určitě by měla být možná, protože v tom rozhraní jde strašně jednoduše na pár kliknutí celý server ukrást a nebo relativně nevratně totálně zničit... Na tyhle možnosti mi přijde jměno a heslo, navíc s zákazem většiny speciálních znaků jako dost riskantní podnik...

A dále - SMS i ano, ale jako drahé a nepříliš bezpečné řešení znouze, na nic jiného to není... Pokud skutečný dvoufaktor, tak jeho základem by mělo být HOTP/TOTP (jednoduchá implementace) nebo PKCS (složitější implementace) a ne SMSková parodie...

admin píše: čísla portů a pojmenování - aktuálně webové rozhraní v sekci mapování portů očekává zadání čísla portu. Při zadání čísla zobrazí našeptávač (javascript) protokol, který se pod tímto číslem skrývá.
Duplicitní tabulku si vytvářet nemusíte, najdete ji snad v každém Linuxovém systému (/etc/services), dále také například https://cs.wikipedia.org/wiki/Seznam_%C ... _TCP_a_UDP, přičemž důležitý je především
rozsah 0 až 1023. V našeptávači jsou implementovány pouze ty nejpoužívanější porty. Možná by zde mohla být nápověda, případně odkaz na tento seznam.
Rozhraní pro nastavení mapování portů očekává zadání čísla, protože existují čísla portů, jenž nemají pevně přiřazený protokol, rozsah 49152 až 65535.

Děkuji za odpověď. Obávám se, že dodaný popis znám a příliš mi nepomůže. Business use case v ideálním případě je, že budu mít na stránceklikatelné linky na vlastně přístupové brány/porty serveru.
V současné době používám jen SSH port, který je pojmenován. Pak je tam pár nestandardních portů, kde musím neustále vzpomínat, co je co. Proto jsem si vytvořil tabulku ručně jinde, kde kliknu na odkaz Webmin a rovnou mám stránku webminu serveru, kliknu na odkaz Confluence a rovnou mám stránku confluence, která běží na serveru + pár dalších služeb. Obávám se bez možnosti manuální upravy popisu a modifikace linku (stačilo by asi prefiu) mi nic jiného nepomůže. Ale i tak ještě jednou děkuji za reakci.

Webové rozhraní 4smart.cz není tak úplně prosté. Máme zde mechanizmus, který sleduje počty neúspěšných pokusů o přihlášení a v případě překročení 5 neúspěšných pokusů dochází k BANu.
Takže je vyloučeno, aby někdo zkoušel kombinace loginu a hesla do nekonečna a nakonec vykradl třeba celou databázi.

Bavíme se tedy pouze o případech, kdy se uživatel přihlašuje na 4smart.cz ze stanice, kde by mohl být key-logger, tedy SW/HW pro odposlech stisknutých kláves, nebo o situacích, kdy oprávněnému uživateli někdo zcizí jeho přihlašovací údaje. Hledáme tedy dodatečný mechanizmus pro zabezpečení přístupu k virtuálním serverům 4smart.cz pod účtem uživatele. Tento mechanizmus by se měl uplatňovat volitelně (pokud jej uživatel povolí) a to ve fází po zadání uživatelského jména a hesla. Zvolené řešení by mělo být maximálně jednoduché, protože musíme počítat s tím, že jej bude používat i méně zkušený uživatel. V tomto případě je opis kódu ze SMS jednou z těch nejjednodušších variant.
Dle mého názoru může být pro málo zdatného uživatele problém nainstalovat si do telefonu SW token. SMS je v takovém případě stále tím nejlepším řešením, ačkoliv nemá s tokenem nic společného.
Připomínám, že hledáme dodatečný mechanizmus pro autentizaci uživatele. Navíc SMS používá například i Česká Spořitelna pro autorizaci transakce.

Matematicky - pokud bychom zasílali SMS, ve které by byl pseudonáhodně generovaný kód o délce řekněme 6 znaků z množiny [a-z0-9] (36 znaků), jde o variaci s opakováním, kde existuje celkem

V'(6,36) = 36^6 = 2 176 782 336 možných způsobů zadání těchto znaků, přičemž správný je pouze jeden.

To dle mého názoru plně dostačuje s ohledem na jednoduchost, praktičnost i spolehlivost. Žádný token, stačí obyčejný hloupý mobilní telefon pro příjem SMS zprávy.

J.M.