[Bubuka82]

Üdv Mindenkinek,
Az lenne a kérdésem hogy milyen megoldást javasolnátok a következõ problémára:
- cél: 5-10 felhasználó számára file szerver, ami távolról is elérhetõ
Ami van:
DSL internet, dinamikus IP-vel, D-link router( most nem tudom pont melyik, az a szokásos otthoni fajta ).
Természetesen a leghatékonyabb és legkevesebb installálást, karbantartást igénylõ megoldás érdekelne.
Hallottam a NAS-okról, elméletileg hasonló célra lettek kitalálva. Tapasztalata van valakinek ezekrõl?
A dinamikus IP nem gond? megoldható bekapcsolva hagyott gép nélkül amin valami no-ip kliens fut?

Elõre is köszi

[Jahno]

Dinamikus elvileg nem gond, de van többféle megoldás is.

1. hamachit feltenni a szerverre, összes kliensre, innentõl ez egy hálózatot elkot
2. VPN router, kliens ide csatlakozik, használja.

De az aDSL uplinkje felfelé gyenge lehet, vagy kliens megnyit egy 100 megás filét, aztán ha szakad, akkor szopó van, mentéskor a kliens mobilnetje/ADSLje lesz a gyenge, satöbbi. Ezek a hátrányok mindenfelé meg vannak, meg júzereket is képezni kell.

Hamachi néha bedulgulhat, elvégre ingyenes, VPN router pénzbe kerül, mûködik, itt a dinamikus IP lehet egy kicsit hátrány.

Aztán a fileszerver ha Linux, akkor lehet OpenVPN, ésatöbbi.

[RaidX]

Dinamikus IP-re szóbajöhet a dyndns. Legtöbb router kezeli, így mindig naprakész az IP. Egy ingyenes regisztráció és máris használható.

Dyndns

Távoli elérésnél a sima DSL elég szûk keresztmetszet. Ha van rávaló érdemes a célra egy nast beállítani. Egyébként kell egy gép, szerver program. Windows fizetõs, linux macerás. Megoldás lehet még a freenas vagy naslite progik, de gép ide is kell. A Naslite elõnye, hogy régi gép is megteszi neki, a lemezeket nem biosból kezeli ezért nincs a régi gép korlátja a lemezméretbe. Beállítása egyszerû viszont fizetõs. A freenas beállítása kicsit több idõt vesz igénybe, cserébe jobban testre szabható.

[Root_Kiskacsa]

Idézet: Bubuka82 - Dátum: 2010. jan. 19., kedd - 14:32

Hallottam a NAS-okról, elméletileg hasonló célra lettek kitalálva. Tapasztalata van valakinek ezekrõl?
A dinamikus IP nem gond? megoldható bekapcsolva hagyott gép nélkül amin valami no-ip kliens fut?

Elõre is köszi

NAS-okról megy egy jó hosszú elmélkedés, nézz át ide. A legtöbb NAS kezeli a dinamikus DNS-eket is (mint a no-ip), de a routereknek is többnyire ez már alap funkció.

[Jahno]

Idézet: Root_Kiskacsa - Dátum: 2010. jan. 24., vasárnap - 1:11

NAS-okról megy egy jó hosszú elmélkedés, nézz át ide. A legtöbb NAS kezeli a dinamikus DNS-eket is (mint a no-ip), de a routereknek is többnyire ez már alap funkció.

Ez már nem jön vissza Dinamikus IP-s cucc jó dolog, de nekem néha akadtak vele szívások.

[RaidX]

Nekem a dyndns-sel akadt néha gondom, ha a rapidshare letöltõt használtam és menetközbe töröltek a cuccból. Akkor IP kérés sûrûsödött, mig a progi rájött, hogy nincs mit tölteni. Ezt viszont a dyndns nem volt hajlandó követni és sokszor fél nepig sem frissített rendesen. Leszoktam a rapidletöltõrõl, azóta nincs gubanc. Volt még egy idõszak mikor szarakodott. Fejlesztés/karbantartás volt náluk. Régen, mikor még nem a router kezelte, volt sok gubanc. A frissítõ progi sokszor nem végezte jól a dolgát.

[zka67]

Sziasztok!

Nem találtam külön webszerveres topikot, de talán ide is belefér a kérdésem:

Most csinálok egy hobbi weboldalt az itthoni gépemen, win7 alatt. A kérdésem az lenne, hogy segít-e, ha írásvédetté teszem a weblap fájljait, hogy ne tudják feltörni az oldalt? Ha nem, akkor mit ajánlotok?

Tûzfalam kikapcsolva, router van, 80-as és 443-as port van nyitva.

A válasz(oka)t elõre is köszönöm!

[Jahno]

Idézet: zka67 - Dátum: 2010. jan. 25., hétfõ - 15:27

Most csinálok egy hobbi weboldalt az itthoni gépemen, win7 alatt. A kérdésem az lenne, hogy segít-e, ha írásvédetté teszem a weblap fájljait, hogy ne tudják feltörni az oldalt? Ha nem, akkor mit ajánlotok?

Webszervernél azért még a jogosultságokat is kellene kezelni, milyen jjúzer nevében fut, az mit ér el, esetleg commandline-t címeznek web felõl, vagy más futtatható dolgot. Ha csak ez a 2 port van forwardolva, akkor ilyen kockázatai lehetnek, inkább a géped többi részét kell félteni, mint azt, hogy letörlik a fileokat.

[zka67]

Idézet: Jahno - Dátum: 2010. jan. 25., hétfõ - 15:53

Webszervernél azért még a jogosultságokat is kellene kezelni, milyen jjúzer nevében fut, az mit ér el, esetleg commandline-t címeznek web felõl, vagy más futtatható dolgot. Ha csak ez a 2 port van forwardolva, akkor ilyen kockázatai lehetnek, inkább a géped többi részét kell félteni, mint azt, hogy letörlik a fileokat.

Hát pont a többi részét féltem! Én úgy gondoltam, hogy egy weboldal feltörése a fájlok felülírásával indul. De lehet, hogy rosszul gondolom. Fogalmam sincs ezekrõl, amiket írtál:

- milyen júzer nevében fut. Hát nyilván az enyémben, nekem pedig mindenhez van minden jogom, mégiscsak az én gépem. Hozzak létre egy új júzert nulla joggal? Azt se tudom azt hogy kell, és nem látom át, hogy egy szolgáltatásnak mi köze a felhasználóhoz.

- Commandline-t címeznek web felõl??? Hmmm... fogalmam sincs hogy lehet ilyet csinálni, így nyilván azt se, hogy mit lehet ellene tenni.

[Jahno]

Idézet: zka67 - Dátum: 2010. jan. 25., hétfõ - 17:59

Hát pont a többi részét féltem! Én úgy gondoltam, hogy egy weboldal feltörése a fájlok felülírásával indul.

Szerintem akkor nagyot nõlj, aztán olvasgass utána a témában. Feltörés többféle van, általános, hogy lecserélik a kezdõoldalt, mert az poén. De ha saját nevedben fut, aminek aztán mindenhez joga van, így web felõl az összes fileodat megfertõzhetik, vagy egyszerûen távolról installnak valamit, parancsot futtanak a gépen, bármi. Ez ilyen. Ha csakkísérletezni kell, akkor már jobban jársz vele egy külsõ tárhelyen.

[zka67]

Idézet: Jahno - Dátum: 2010. jan. 25., hétfõ - 18:06

Feltörés többféle van, általános, hogy lecserélik a kezdõoldalt, mert az poén. De ha saját nevedben fut, aminek aztán mindenhez joga van, így web felõl az összes fileodat megfertõzhetik, vagy egyszerûen távolról installnak valamit, parancsot futtanak a gépen, bármi.

Az eredeti kérdésem ez volt, hogy segít-e, ha írásvédetté teszem a fájlokat? Mert arra gondoltam, hogy a nagytudású hackerek azért olyat mégse tudnak, hogy felülírnak egy írásvédett fájlt...

[MisterY]

Idézet: zka67 - Dátum: 2010. jan. 25., hétfõ - 18:12

Az eredeti kérdésem ez volt, hogy segít-e, ha írásvédetté teszem a fájlokat? Mert arra gondoltam, hogy a nagytudású hackerek azért olyat mégse tudnak, hogy felülírnak egy írásvédett fájlt...

Ha az IIS-t feltörik, akkor ne számíts arra, hogy a fájlok írásvédelme bármit is számít majd.

[zka67]

Idézet: MisterY - Dátum: 2010. jan. 25., hétfõ - 18:19

Ha az IIS-t feltörik, akkor ne számíts arra, hogy a fájlok írásvédelme bármit is számít majd.

Nem IIS-t használok, apache 2.2-t.

[MisterY]

Idézet: zka67 - Dátum: 2010. jan. 25., hétfõ - 18:26

Nem IIS-t használok, apache 2.2-t.

Ha az apache 2.2-t feltörik, akkor ne számíts arra, hogy a fájlok írásvédelme bármit is számít majd.

[zka67]

Idézet: MisterY - Dátum: 2010. jan. 25., hétfõ - 20:20

Ha az apache 2.2-t feltörik, akkor ne számíts arra, hogy a fájlok írásvédelme bármit is számít majd.

Kösz, már el is ment a kedvem az egésztõl.

[Root_Kiskacsa]

Idézet: zka67 - Dátum: 2010. jan. 25., hétfõ - 22:30

Kösz, már el is ment a kedvem az egésztõl.

Feltörés esetén annak a fióknak a jogait szerzik meg, amivel a webszerver is fut.* Így ha a bejelentkezéseddel képes vagy eltávolítani az írásvédettséget, nyilvánvalóan ezt a hackerek is megtehetik. Az a lényeg, amire már Jahno is rávezetett, hogy a webszervert nulla jogú fiókkal futtasd. Így ha meg is reccsentik az Apache-ot, jó eséllyel csak a hozzá tartozó jogosultságokat fogják megszerezni. Tehát ne írásvédetté tedd a fájlokat, hanem a korlátozott fióknak csak olvasási engedélyt adj rájuk. Magadnak meg mehet fullossal. Persze a fiókodat nem árt jelszavazni is.
Hogy mirõl szól ez a fiókosdi téma, azt legkönnyebben a Feladatkezelõben látod. Minden folyamatnak meg van adva, hogy milyen bejelentkezéssel fut. A saját loginod mellett még fogsz látni olyanokat, hogy Helyi Szolgáltatás, SYSTEM, Háltózatszolgáltatás. Ezek speciális fiókok, és rögtön láthatod is, hogy nem a te bejelentkezéssel futnak egyes folyamatok. Neked is többnyire annyi a teendõd, hogy felveszel egy új felhasználót (hagyományosan, a vezérlõpult/fiókok alatt), majd a Felügyeleti Eszközök/szolgáltatások alatt az Apache-nak átírod, hogy mostantól a másik fiók nevében fusson.
Mindezek csak a kezdeti lépések, javaslom, hogy nézz utána bõvebben az NTFS jogosultságoknak, fiókbejelentkezéseknek és a Windows szolgáltatásoknak.

* Rosszabb esetben kihasználnak valami olyan biztonsági rést az op. rendszerben, amivel megemelik a jogosultsági szintet, de többnyire ezeket a hibákat idõben patcheli a Microsoft.

Szerkesztette: Root_Kiskacsa 2010. 01. 26. 21:25 -kor

[zka67]

Köszi szépen a választ, lényegesen többet tudtam meg belõle, mint jahnoéból.

[RaidX]

Na meg a tûzfalat kapcsold vissza! Igaz kicsit ott is bûvészkedni kell a megfelelõ beállításokkal, de nem lessz átjáró ház a géped. A router tûzfala nagyon kevés a biztonsághoz!