The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Выпуск SFTP-сервера SFTPGo 1.0"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от opennews (??), 08-Июл-20, 16:12 
Состоялся первый значительный выпуск сервера SFTPGo 1.0, позволяющего организовать удалённый доступ к файлам при помощи протоколов SFTP, SCP/SSH и Rsync. В том числе SFTPGo  может использоваться для предоставления доступа к Git-репозиториям, используя протокол SSH. Данные могут отдаваться как с локальной  файловой системы, так и из внешних хранилищ, совместимых с Amazon S3 и Google Cloud Storage.  Для хранения пользовательской базы и метаданных используются СУБД с поддержкой SQL или формата ключ/значение, такие как PostgreSQL 9.4+, MySQL 5.6+,  SQLite 3.x или bbolt 1.3.x.  Имеется также режим хранения метаданных в оперативной памяти, не требующий подключения внешней БД. Код проекта написан на языке Go и распространяется под лицензией GPLv3...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53311

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от Аноним (1), 08-Июл-20, 16:12 
>>Web-интерфейс (http://127.0.0.1:8080/web

Ещё пару месяцев и эта ссылка не откроется в популярных браузерах

Ответить | Правка | Наверх | Cообщить модератору

5. "Выпуск SFTP-сервера SFTPGo 1.0"  +2 +/
Сообщение от Аноним (-), 08-Июл-20, 17:24 
Мы сделаем свой популярный бразуер с блэкджеком и шлюпками!
Ответить | Правка | Наверх | Cообщить модератору

11. "Выпуск SFTP-сервера SFTPGo 1.0"  +1 +/
Сообщение от КО (?), 08-Июл-20, 18:38 
И будем пользоваться только мы!
Ответить | Правка | Наверх | Cообщить модератору

37. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от Корец (?), 09-Июл-20, 05:13 
Давно пора!
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

40. "Выпуск SFTP-сервера SFTPGo 1.0"  –1 +/
Сообщение от анористим (?), 09-Июл-20, 09:14 
кутьбровсер
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

6. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от Аноним (6), 08-Июл-20, 17:34 
А по HTTPS ?
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

12. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от Аноним (12), 08-Июл-20, 18:49 
Нууу.... если вы примети все риски и нажмете пару дополнительных кнопок, то возможно....
Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск SFTP-сервера SFTPGo 1.0"  +2 +/
Сообщение от Аноним (27), 09-Июл-20, 00:12 
локалхост никто не собирает трогать, иксперт
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

96. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от Аноним (96), 12-Июл-20, 16:04 
Хочешь сказать, когда собираются отказывать от http они его будет будут поддерживать для локалхоста не смотря на трудо-затраты?
Ответить | Правка | Наверх | Cообщить модератору

2. "Выпуск SFTP-сервера SFTPGo 1.0"  +6 +/
Сообщение от ALex_hha (ok), 08-Июл-20, 16:24 
Ждем SFTPRust
Ответить | Правка | Наверх | Cообщить модератору

43. "Выпуск SFTP-сервера SFTPGo 1.0"  +3 +/
Сообщение от leap42 (ok), 09-Июл-20, 10:56 
> Ждем SFTPRust

ну ждите-ждите, лет 10 ждать будете)

Ответить | Правка | Наверх | Cообщить модератору

107. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от ann (??), 14-Июл-20, 17:49 
Нет, не ждем. Зачем?
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Выпуск SFTP-сервера SFTPGo 1.0"  –1 +/
Сообщение от Ilya Indigo (ok), 08-Июл-20, 16:41 
Интересно, виртуальные учётки в chroot для SFTP можно в openSSH реализовать?
Почтовики же научились быть виртуальными.
Ответить | Правка | Наверх | Cообщить модератору

4. "Выпуск SFTP-сервера SFTPGo 1.0"  –2 +/
Сообщение от Аноним (-), 08-Июл-20, 17:24 
> вирnуальные учётки в chroot для SFTP можно в openSSH реализовать?

Если я правильно понял, то "вирnуальные" - это означает вирnуальные. Если да, то мой ответ таков: виртуальные учётки в chroot для SFTP можно в openSSH реализовать. Вот только не ясно что вы подразумеваете, то есть как это должно работать "на ваш взгляд". Расскажете? - Расскажете мне подробно как должно работать - расскажу как сделать.

Ответить | Правка | Наверх | Cообщить модератору

7. "Выпуск SFTP-сервера SFTPGo 1.0"  +1 +/
Сообщение от Ilya Indigo (ok), 08-Июл-20, 17:37 
> Расскажете мне подробно как должно работать.

1 Виртуальный пользователь, которого нет в системе или даже есть, но он с ним не связан.
2 Предоставлять доступ по SFTP только к ~ и никуда больше!
3 В качестве shell-оболочки изолированная в chroot shell-оболочка с доступом к ограниченному набору утилит и ~.

Ответить | Правка | Наверх | Cообщить модератору

35. "Выпуск SFTP-сервера SFTPGo 1.0"  +1 +/
Сообщение от Аноним (35), 09-Июл-20, 03:53 
> 1 Виртуальный пользователь, которого нет в системе или даже есть, но он с ним не связан.
> 2 Предоставлять доступ по SFTP только к ~ и никуда больше!
> 3 В качестве shell-оболочки изолированная в chroot shell-оболочка с доступом к ограниченному набору утилит и ~.

Я не просто уточнил что нужно рассказать именно ПОДБРОБНО.
Вот, примеры:
- виртуальный пользователь есть, а с системным он не связан. Тогда где у него будет ~ в который нужно предоставлять доступ?
- что делать если виртуальный пользователь есть, а ~ нет? - Тут вопрос к вашему пункту №2, ибо в этом случае виртуального пользователя ~ даже на /dev/null на замкнешь..
- ограничение набора утилит должно реализовываться включением/исключением окружения chroot или какое-нибудь policy с allow/deny. И снова вопрос про ~

PS: Продумайте тщательно все и опишите как это все должно работать. А потом расскажите подробно как это должно работать.

PPS: минусующим "привет", олени

Ответить | Правка | Наверх | Cообщить модератору

8. "Выпуск SFTP-сервера SFTPGo 1.0"  +2 +/
Сообщение от OpenEcho (?), 08-Июл-20, 17:43 
ProFTPd может работать как SFTP server и поддерживает виртуальных юзеров
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

15. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от An (??), 08-Июл-20, 19:06 
ssh нужно держать
Ответить | Правка | Наверх | Cообщить модератору

55. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от drakkan (ok), 10-Июл-20, 00:11 
ProFTPd is a great software. If it is good for your use case you should continue to use it.

Please answer to some questions.

Can you expose S3 or GCS over SFTP without hacks such as manually mounting the buckets via s3fs or such?
Does ProFTPd support SSH user cert auth or Multi-Step or Multi-Factor auth?
Does ProFTPd support the HAProxy PROXY protocol and therefore can it be load-balanced without losing the client's address information?
Does ProFTPd work on Windows?

If you want I can continue. Thanks

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

21. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от Аноним (21), 08-Июл-20, 22:19 
Пока нет и вряд ли планируется. chroot поддерживается давно.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

26. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от flkghdfgklh (?), 09-Июл-20, 00:01 
Нет, нельзя
Как и биндинг пользователей к другим пользователям нельзя
Приходилось использовать mysecureshell для этого
Теперь посмотрю что за зверь тут, может будет лучше
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

46. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от Mr.Ueff (?), 09-Июл-20, 11:43 
>Интересно, виртуальные учётки в chroot для SFTP можно в openSSH реализовать?

Можно. openssh поддерживает PAM, а для chroot есть директива ChgrootDirectory /path/to/%u

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

51. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от ALex_hha (ok), 09-Июл-20, 22:44 
> Интересно, виртуальные учётки в chroot для SFTP можно в openSSH реализовать?
> Почтовики же научились быть виртуальными.

все это есть лет 10 как в proftpd - http://sys-adm.org.ua/www/proftpd

Развлекался в свое время

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

9. "Выпуск SFTP-сервера SFTPGo 1.0"  –5 +/
Сообщение от OpenEcho (?), 08-Июл-20, 17:49 
Кажется писатели этого софта думают что они самые умные установив максимальную длину для username & password в 255 символов... что уже настораживает...
Ответить | Правка | Наверх | Cообщить модератору

36. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 09-Июл-20, 04:59 
Судя по минусам товарищам майёрам нравится ограниченные по длине пароли :)
Ответить | Правка | Наверх | Cообщить модератору

41. "Выпуск SFTP-сервера SFTPGo 1.0"  –1 +/
Сообщение от Pahanivo (ok), 09-Июл-20, 09:16 
А в чем сопстна проблема с длиной?
Фаллометрия тут неуместна.
Ответить | Правка | Наверх | Cообщить модератору

49. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 09-Июл-20, 19:20 
> А в чем сопстна проблема с длиной?

Это типа новый прикол ?
У вас короткий пароль? К сведению: 4 видео в параллель карты ломают пароли в 24 символа минут за 20-30

> Фаллометрия тут неуместна.

А причем здесь мужской половой орган ???

Или просто руки чесались написать хоть что-то

Ответить | Правка | Наверх | Cообщить модератору

50. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от PnD (??), 09-Июл-20, 21:54 
> К сведению: 4 видео в параллель карты ломают пароли в 24 символа минут за 20-30

::brickface:: Несолёный md5 по радужным таблицам?

Ответить | Правка | Наверх | Cообщить модератору

52. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 09-Июл-20, 23:32 
> ::brickface:: Несолёный md5 по радужным таблицам?

Не только md5

NTLM ~ 130GigaHashes/sec
md5crypt ~ 35MegaHashes/sec
PBKDF2-hmac-md5 ~ 25MegaHashes/s
Skype ~ 30MegaHashes/s
PBKDF2-hmac-sha256 ~ 5MegaHashes/s
WPA/WPA2 ~ 1,5MegaHashes/s

Так что оптимисты пусть ставят минусы дальше :)

Ответить | Правка | Наверх | Cообщить модератору

53. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от drakkan (ok), 09-Июл-20, 23:56 
Hi,

SFTPGo stores passwords using argon2id hashing.

There is no limit for the passwords length, they are mapped to a text database field, you can set passwords of any length using the REST API.

You can also authenticate without using passwords

Ответить | Правка | Наверх | Cообщить модератору

57. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 10-Июл-20, 08:28 
Hello Drakkan,

First of all thanks a lot for the great software you created !
I spend today a few hours playing with it and I must say - it's a pretty decent replacement for classic ProFTPd, PureFTP... and so on.

I found restrictions on username and password in DDT of SQLite shipped in the folder
sqlite/sftpgo.db (Well, I know, sqlite will convert `varchar(x)` internally to a `text`, but for the sake of correctness)

That's what confused me
----
CREATE TABLE IF NOT EXISTS "users" (
    "id" integer NOT NULL PRIMARY KEY AUTOINCREMENT,
    "username" varchar(255) NOT NULL UNIQUE,
    "password" varchar(255) NULL, .....
----

For example, debian: getconf LOGIN_NAME_MAX
will return 256. I don't want to be a picky party pooper, but IMHO usernames should fit perfectly to avoid rare situation where one might create username with 256 characters and regarding password's hash length - I should take my words back since I see you keeping in a database just a hash, which is great, so password itself can be a really long.

Now my favorite Go collection advanced with sftpgo in addition to fzf, algernon, syncthing, croc and others ;)

BTW, do you have any plan to support FreeBSD ?
And the last question: Is it possible to make windows version as a portable instead of requiring to install it, so it can be used on demand by a standard user?

Ответить | Правка | Наверх | Cообщить модератору

59. "Выпуск SFTP-сервера SFTPGo 1.0"  +1 +/
Сообщение от drakkan (ok), 10-Июл-20, 10:46 
>[оверквотинг удален]
> one might create username with 256 characters and regarding password's hash
> length - I should take my words back since I see
> you keeping in a database just a hash, which is great,
> so password itself can be a really long.
> Now my favorite Go collection advanced with sftpgo in addition to fzf,
> algernon, syncthing, croc and others ;)
> BTW, do you have any plan to support FreeBSD ?
> And the last question: Is it possible to make windows version as
> a portable instead of requiring to install it, so it can
> be used on demand by a standard user?

Hi,

in V3 migration the password field was converted from varchar(255) to text

https://github.com/drakkan/sftpgo/blob/master/dataprovider/s...

changing username length from 255 to 256 is a good suggestions, thank you.

FreeBSD is untested but should work, I cannot automatically run test cases on it (as I do for Linux, Windows and macOS) since CI system does not support it. I'll do a quick test locally myself.

Regarding the portable windows version I could add support for it in future, meantime you can simply download and use the build artifact automatically generated for each commit, the ones matching 1.0.0 version are here:

https://github.com/drakkan/sftpgo/actions/runs/159794568

If you want to track these suggestions please open GitHub issues.
Thank you for your ideas, very appreciated

Ответить | Правка | Наверх | Cообщить модератору

72. "Выпуск SFTP-сервера SFTPGo 1.0"  +3 +/
Сообщение от drakkan (ok), 11-Июл-20, 00:45 
Hi again,

I just tested SFTPGo on FreeBSD and it works fine, anyway you have to build for FreeBSD yourself since it is not supported in CI/CD system.

Portable windows release is now available.

LOGIN_NAME_MAX is the maximum length of a login name, including the terminating null byte, so 255 is ok

Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

73. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 11-Июл-20, 01:01 
Thanks a lot drakkan !

I will test it out next week on commercial FreeNAS box and let you know if there might be a problem

Ответить | Правка | Наверх | Cообщить модератору

60. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от Pahanivo (ok), 10-Июл-20, 11:02 
>> ::brickface:: Несолёный md5 по радужным таблицам?
> Не только md5
> md5crypt ~ 35MegaHashes/sec

хыхыхы
Более 10 лет назад, я экспериментировал я перебором md5, на одноядерном P4 под 478 сокетом.
Тогда скорость перебора была 3mh/s.
Итого перебор 7-значных пасов длился около 2х недель, 8-значных - 2,3 года (и это только цифробуквы).
На скорости 35mh/s ты 8-значный будешь ломать 2 месяца, 10-значный - уже не актуально.


И самое главное - что бы сломать хэш, надо его сначала где то вять. ГДЕ?

> Так что оптимисты пусть ставят минусы дальше :)

Так что пусть клоуны догоняют цирк.

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

79. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от Ordu (ok), 11-Июл-20, 11:38 
> NTLM ~ 130GigaHashes/sec

Давай посчитаем, что ли? 24 символа пароль? Допустим, что в нём используется 60 разных символов, тогда полный перебор всех таких паролей на скорости 130GHash/s займёт 60^24/(130*10^9)

$ bc
60^24/(130*10^9)
36449087217858591507692307692307

эмм, не очень понятно? Давай поделим это число на 3600 и на 24, и получим время в сутках:

60^24/(130*10^9)/3600/24
421864435391881846153846153

всё равно непонятное число, слишком много цыфор, делим на 365 чтобы в годах увидеть:

60^24/(130*10^9)/3600/24/365
1155792973676388619599578

и даже в годах число нечитаемое.

С другой стороны, может в NTLM размер хеша -- три байта? Но я сейчас погуглил, и видел про 24 байта, не уверен что это то, но, если это так, то:

256^24/(130*10^9)/3600/24/365
1531119925307994956639491234244542602374

Ещё больше вышло? Какая досада. Или может, всё же, в NTLM хеш не 24 байта, и поэтому энтропия пароля обрезается до чего-нибудь преодолимого?

> К сведению: 4 видео в параллель карты ломают пароли в 24 символа минут за 20-30

Я не знаю откуда ты взял 20-30 минут, вероятно ты чего-то не понял. Может там шёл словарный перебор, например. Или может там был разбор того, как подбираются пароли по хешам из спёртой базы пользователей на 100k рыл, и половина их взломалась за 10-15 минут, из чего ты сделал вывод о том, что вторая половина взломается за следующие 10-15 минут. Я не знаю, короче, как ты пришёл к своим оценкам, но они не верны.

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

90. "Выпуск SFTP-сервера SFTPGo 1.0"  –1 +/
Сообщение от OpenEcho (?), 12-Июл-20, 01:37 
>Допустим, что в нём используется 60 разных символов, тогда полный перебор всех таких паролей

А кто здесь говорил о тупом переборе?

Блин, где вы видели использование юзерами рэндомных паролей в 60 символов???

Почитайте статистику хотя бы здесь: https://en.wikipedia.org/wiki/Password_strength#Human-genera...

в разделе Human-generated passwords


>Ещё больше вышло? Какая досада.

Такое впечатление что вы получаете наслаждение от своей гениальности...
Ну-ну...

> Я не знаю откуда ты взял 20-30 минут, вероятно ты чего-то не понял.

Точно, сделал... и не понял, а вот телепаты опеннета легко разучат меня верить своим глазам :)))
Может это убедит: https://gist.github.com/epixoip/a83d38f412b4737e99bbef804a27...


>Может там шёл словарный перебор, например.

Есть много эффективных стратегий помимо перебора для достижения цели

>Я не знаю, короче, как ты пришёл к своим оценкам, но они не верны.

Я почему-то не удивлен, что у вас у одного только самое правильное мнение :)

Давайте не будем терять больше время, ведь все равно мир будет крутиться исключительно вокруг вашего единстенно правильного мнения, не взирая на публично доступные примеры, опыт других людей, которые бесплатно, просто из хороших побуждений предупредили вас о том, что обычные пароли ломаются легко

Ответить | Правка | Наверх | Cообщить модератору

93. "Выпуск SFTP-сервера SFTPGo 1.0"  +1 +/
Сообщение от Ordu (ok), 12-Июл-20, 02:03 
>>Допустим, что в нём используется 60 разных символов, тогда полный перебор всех таких паролей
> А кто здесь говорил о тупом переборе?
> Блин, где вы видели использование юзерами рэндомных паролей в 60 символов???

Я имел в виду не количество символов в пароле, а количестве разных используемых значений для каждого из 24 символов. Сорри, что неточно выразился. Да, предупреждая возможные возражения о числе 24: его придумал не я, оно взялось из предыдущего обсуждения. Мне лично хватает 18.

>>Ещё больше вышло? Какая досада.
> Такое впечатление что вы получаете наслаждение от своей гениальности...
> Ну-ну...

Естественно. А ты разве не получаешь удовольствия от моей гениальности?

>> Я не знаю откуда ты взял 20-30 минут, вероятно ты чего-то не понял.
> Точно, сделал... и не понял, а вот телепаты опеннета легко разучат меня
> верить своим глазам :)))
> Может это убедит: https://gist.github.com/epixoip/a83d38f412b4737e99bbef804a27...

Что это? Там что-то измерено в "Gh/s". Но совершенно непонятно что. Это скорость с которой система перебирает хеши? Но если ей надо перебрать в среднем 2^256 хешей, чтобы найти искомый пароль, то смысла в такой системе ноль, и все её гигахеши превращаются в попугаев. Или там речь о чём-то другом?

Тут я, позволю своей старческой мудрости разгуляться -- это не гениальность, это просто мудрость: числа -- это абстрактные до предела сущности, которые абстрактны настолько, что они не имеют смысла. Даже если к ним приделать единицу измерения, то смысла хоть и становится больше, но не намного. Это, кстати, одна из дилетантских ошибок при работе со статистикой: рассматривать статистические числа как осмысленные _сами по себе_. Дилетантство этого раскрыл ещё Конан Дойль, нарисовав инспектора Лейстреджа, который замечательным образом делал совершенно неверные выводы из статистики. Числа бессмысленны, если мы не знаем способа получения этих чисел. Статистика бессмысленна, без анализа методов получения сырых данных и их обработки. Гигахеши на которые ты ссылаешься -- это может быть неплохие попугаи для сравнения мощностей разных систем, но совершенно бессмысленны для оценки возможности взлома пароля, без указания априорных допущений о пароле, которые ты делаешь, и того каким методом ты собираешься свои априорные допущения сужать до ровно одного апостериорного пароля с заданным хешом.

>>Может там шёл словарный перебор, например.
> Есть много эффективных стратегий помимо перебора для достижения цели

Например? Я знаю ровно два способа, которые не требуют никаких ограничивающих допущений о пароле (типа его словарности): это брутфорс перебора и брутхит паяльника в заднем проходе. Ты, видимо, знаешь ещё какие-то эффективные стратегии? Назови хоть одну. Чёрт с ней со ссылкой, у меня гугл есть, назови хотя бы, чтобы я знал что поискать.

>>Я не знаю, короче, как ты пришёл к своим оценкам, но они не верны.
> Я почему-то не удивлен, что у вас у одного только самое правильное
> мнение :)

Ты не сказал мне ничего нового: я бы удивился, если бы ты удивился.

> Давайте не будем терять больше время, ведь все равно мир будет крутиться
> исключительно вокруг вашего единстенно правильного мнения, не взирая на публично доступные
> примеры, опыт других людей, которые бесплатно, просто из хороших побуждений предупредили
> вас о том, что обычные пароли ломаются легко

Я бы тоже предложил не терять больше времени и закидать меня ссылками на публичные примеры и описание опыта других людей. Я очень люблю корректировать своё мнение, потому что чем больше оно скорректировано, тем больше всяких открытых эх имеют возможность наслаждаться моей "гениальностью", размахивая впустую руками и понимая, что контраргументов у них нет.

Ответить | Правка | Наверх | Cообщить модератору

58. "Выпуск SFTP-сервера SFTPGo 1.0"  +1 +/
Сообщение от ALex_hha (ok), 10-Июл-20, 08:59 
> К сведению: 4 видео в параллель карты ломают пароли в 24 символа минут за 20-30

в твоих снах разве что )))

https://habr.com/ru/company/dcmiran/blog/504950/

иди прочти и проспись. И это речь о sha1! 20-30 минут, шутник

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

65. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 10-Июл-20, 21:41 
Ну, кто-то хабры читает, а кто-то живьем делает...
Повышайте свои знания и дальше через чтение habra;)
Ответить | Правка | Наверх | Cообщить модератору

76. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от ALex_hha (ok), 11-Июл-20, 10:13 
Мамкины ыксперты во сне и не такое делают. Наверное и силой мысли взламывают любой пароль
Ответить | Правка | Наверх | Cообщить модератору

84. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 11-Июл-20, 19:20 
Это то вы про себя? Могу вас тогда обрадовать, раз вы сами еще не одолели гугл, вот - специально для вас (сорри за устаревшие данные 4х летней давности, но даже они должны вернуть вас в реальность)

Просто 8 ГПУ карточек:
https://gist.github.com/epixoip/a83d38f412b4737e99bbef804a27...

Погуглите еще про NSA датацентр в Юте, который даже по публичнум данным 2013 года способен:
13 quadrillion NTLM hashes per second

Сноуден говорил, что народ должен учитывать что триллион в секунду - это тоже не фантастика

Ответить | Правка | Наверх | Cообщить модератору

88. "Выпуск SFTP-сервера SFTPGo 1.0"  –1 +/
Сообщение от ALex_hha (ok), 11-Июл-20, 23:13 
Ну вот и посмотри скорость на том же sha256 и посмотри его сложность. А теперь посчитай сколько потребуется на взлом? Напомню, по твоим словам 20-30 минут. Вы ведь в школе уже прошли деление/умножение?

Ох уж эти мамкины аналитеги-иксперты

Ответить | Правка | Наверх | Cообщить модератору

92. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 12-Июл-20, 02:02 
> Ох уж эти мамкины аналитеги-иксперты

Ну, судя по постоянному применению этой фразы и постоянного унижения собеседников, я не удивлюсь, что вы еще и язык другим показывать не разучились...


Ответить | Правка | Наверх | Cообщить модератору

61. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от Аноним (61), 10-Июл-20, 11:29 
> У вас короткий пароль?

По-твоему, 255 байт — это короткий пароль? Знаешь, не хочу тебя расстраивать, но всё равно в системе хранится только хеш пароля, и делать пароль сильно длиннее его смысла нет.
И да, посчитай, сколько будет 64 (условно примем, что это число допустимых символов в пароле) в 255 степени. Когда сможешь назвать это число, приходи, продолжим беседу.

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

66. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 10-Июл-20, 23:00 
> продолжим беседу.

Ну, давайте...

Секретность пароля/фразы определяется не х^у, а энтропи.
Уже доказанно можество раз, что серия рэндомных символов не эффективна в продакшене по одной простой причине, что человеки не умеют(и не хотят) запоминать рандомный набор символов и как результат - даже в банках можно увидеть стикеры с паролями приклееными к мониторам или на десктопе все пароли чистым текстом в ворде или ноутпаде, и вся секьюрность в этом случае - пшик, как бы не страшно смотрелось число возможных комбинаций в случае 64^255. Такие пароли никто не запомнит. Именно поэтому уже на протяжении наверное лет 15-ти на всех конференциях и курсах рекомендуются фразы, которые запоминаются значительно легче.
Возвращаясь к нашим баранам, - если взять минимальную базу данных слов в 7776, используемых для генерации рэндомных фраз к примеру из популярной diceware, то в вашей же формуле слово будет играть элемент одного символа и как результат количество комбинаций считается как: 7776^(количество слов)

Проводя к единому знаменателю, получаем:
энтропи 14 рэндомных символов и цифр ~ 80 бит
где та же самая энтропи в 80 бит из фраз уже требует как миниум 6 слов.
Средняя длина английских слов около 5 символов, что в словах получается 30 символов миниум.
Теперь о минимальных требованиях, - BSI & NSA требуют для надежной защиты до 256 битов.
Убираем рэндомый набор альфа&номера в виду неэффективности с точки зрения запоминания и считаем необходимое количество слов из diceware словаря для достижения необходимой энтропи:
~13бит/слово, ~10бит/символ, и ~5бит/цифра
в итоге получаем, чтобы достичь энтропи в 256+ бит, необходимо около 20 слов.
Добавим для удобства запоминания символы - разделители слов(точка, запятая) и получаем:
20*5+19~120 символов... для минимально требуемой надежности. Применяем старое правило надежности - увеличиваем на порядок и получаем, что для хранения надежной пассфразы в plain text нужно иметь запас как миниум в 1024 символов в хранилище.


Ответить | Правка | Наверх | Cообщить модератору

74. "Выпуск SFTP-сервера SFTPGo 1.0"  +3 +/
Сообщение от draw1 (?), 11-Июл-20, 01:44 
А ещё давным-давно придумали и о-о-очень широко используют (особенно если серьёзней чем про аккаунт на форуме идёт речь) хранители паролей - чтоб человекам не было нужды их запоминать. В них (и не только в них) есть генераторы рандомных паролей, абсолютно незапоминабельных, но это и не нужно...

Чик, и вот уже пароль из 24 символов снова имеет грубо 1e+48 комбинаций (ну и сумма комбинаций паролей всех меньших длин тоже неплохо добавляет). Скинем несколько порядков на не абсолютную рандомность (не будем цепляться к деталям, что этим ещё надо суметь воспользоваться).

И имея подбор даже миллиард миллиардов хешей в секунду затея становится так себе - солнце погаснет раньше. На кучке ПЛИС это даже реально запилить (почти независимо от типа хеша - "кучка" понятие растяжимое) в отличии от "4-х видеокарт", но смысла в этом - разве что денег выкинуть...

Ответить | Правка | Наверх | Cообщить модератору

75. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 11-Июл-20, 08:24 
Менеджеры паролей, о которых вы говорите - одно из самых правильных решений, и мы то же "о-о-о-чень давно" ими пользуемся, но проблема то в том, что мастер пароль нужно все равно держать в /dev/head
А еше есть необходимость вводить пароли по секретной схеме обмена Шамира, в которой обычно нужно держать пароль в том же девайсе /dev/head и вот тогда достоинство запоминания фраз быстро оценится по сравнению с сумашедшим рэндомным набором символов, которые практически очень тяжело запоминать. (У Брюса Шнайера правда есть концепт создания крэзи паролей и их запоминания, но на него также есть алгоритм подбора, т.к. в основе опять же тот же человеческий фактор, который очень хорошо предиктается)
Ответить | Правка | Наверх | Cообщить модератору

80. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от Ordu (ok), 11-Июл-20, 11:55 
> проблема то в том, что мастер пароль нужно все равно держать в /dev/head

Угу, и чтобы этим паролем воспользоваться, мало угнать базу с хешами с сервера, надо пролезть на систему к пользователю. Не то, чтоб это было бы невозможно, но это совершенно другой вектор атаки со своими осложнениями на пути у атакующего.

> вот тогда достоинство запоминания фраз быстро оценится по сравнению с сумашедшим рэндомным набором символов, которые практически очень тяжело запоминать.

Фишка в том, что мастер-пароль ты будешь вводить регулярно, каждый день или чаще. При таком подходе несложно за неделю заучить два десятка рандомных символов. Понятно, что, тем не менее, мало кто это делает, но не надо нам тут рассказывать о том, что безопасности нет и не будет, потому что пароли неспособны обеспечить нужный уровень безопасности. Возможно обеспечить паролем, и не так уж и сложно. Хотя конечно бесспорно, что для 95% это слишком сложно.

Ответить | Правка | Наверх | Cообщить модератору

82. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 11-Июл-20, 19:02 
> Угу, и чтобы этим паролем воспользоваться, мало угнать базу с хешами с
> сервера, надо пролезть на систему к пользователю.

Зачем угонять базу у самого себя ??? Вы о чем???
Мы говорили о своем собственном пароле, и как защитить СВОЮ базу в случае угона к примеру файла *.кдбх (вирусом, через дыру в сервисах, потеря флэшки и т.д. и т.п)


> Фишка в том, что мастер-пароль ты будешь вводить регулярно, каждый день или
> чаще. При таком подходе несложно за неделю заучить два десятка рандомных
> символов.

Ну, может у вас такая уникальная память, а вот в местах где смена пароля должна быть сделанnа по полисям раз в 3 месяца, вас не поймут

> не надо нам тут рассказывать о том, что безопасности нет и
> не будет, потому что пароли неспособны обеспечить нужный уровень безопасности.

Вы пожалуйста, перечитайте еще раз, т.к. я такого не говорил, и даже более, я говорил как эффективно генерировать пароли с достаточной и эффективной сложностью и при этом не выворачивать голову наизнанку запоминая рэндомный набор символов

Ответить | Правка | Наверх | Cообщить модератору

87. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от Ordu (ok), 11-Июл-20, 21:27 
> Мы говорили о своем собственном пароле, и как защитить СВОЮ базу в
> случае угона к примеру файла *.кдбх (вирусом, через дыру в сервисах,
> потеря флэшки и т.д. и т.п)

Вообще-то нет. Выше модель уроз никак не определялась явно. Если ты предполагал что-то своё, то... эмм... чей это косяк?

>> Фишка в том, что мастер-пароль ты будешь вводить регулярно, каждый день или
>> чаще. При таком подходе несложно за неделю заучить два десятка рандомных
>> символов.
> Ну, может у вас такая уникальная память, а вот в местах где
> смена пароля должна быть сделанnа по полисям раз в 3 месяца,
> вас не поймут

Не поймут, потому что технари, требующие смены паролей, совершенно не могут в управление персоналом. Не могут как интеллектуально, так и с точки зрения административного ресурса.
Естественно персоналу глубоко начхать на бородатого админа в свитере, и они убить его готовы за то, что он делает их жизнь сложнее. В случае каждого отдельного сотрудника маловероятно, что его пароль украдут или подберут, и из-за этой малой вероятности он должен по прихоти этого админа придумывать и запоминать пароли? Естественно, что с точки зрения этого сотрудника, вся эта деятельность по смене паролей -- лишняя головная боль, которая ему не нужна совершенно и с которой он совершенно ничего не получит. С точки зрения этого сотрудника, админ решает свои проблемы за счёт других. И, естественно, этого админа посылают на три буквы и будут посылать.

Преврати смену паролей в игру на деньги, придумай и объясни всем правила, давай призы в виде бонусов к зарплате и штрафы, в виде вычетов из зарплаты. Подумать придётся, да, надо сделать так, чтобы платить не очень много, но достаточно существенно, чтобы людям не стало бы фиолетово на выплаты и штрафы. Да, при этом, просто игры будет мало, потому что люди разные -- кто-то поведётся на игру, а кто-то нет, найдутся и те, кто будет резистить все попытки, например, потому что им кажется всё это детским садом, или потому что они наслушались OpenEcho на опеннете, не верят совершенно в пароли, и пытаются своим сопротивлением доказать админу, что они умнее его. Или может быть тысяча разных других причин. Вплоть до особо плохой памяти. Но 99% случаев решается на уровне менеджмента, который будучи достаточно квалифицированным и заинтересованным, может извлечь из своего тулбокса собранного по крупицам в ВУЗе, на семинарах, на онлайн-курсах, конференциях... нужные инструменты и сподвигнуть людей менять пароли. Кого-то купить, кому-то польстить, кого-то палкой огреть, кому-то что-то ещё. Это сложно, особенно поначалу, потом слежение за паролями войдёт в корпоративную культуру, и люди будут воспринимать это как данность, как часть своих служебных обязанностей. Впрочем, следить за сменой паролей всё равно придётся.

>> не надо нам тут рассказывать о том, что безопасности нет и
>> не будет, потому что пароли неспособны обеспечить нужный уровень безопасности.
> Вы пожалуйста, перечитайте еще раз, т.к. я такого не говорил, и даже
> более, я говорил как эффективно генерировать пароли с достаточной и эффективной
> сложностью и при этом не выворачивать голову наизнанку запоминая рэндомный набор
> символов

Эмм... Ты выше описывал генерацию текстов длиной в килобайт, но там не написано, что ты ратуешь за этот способ. Можно вывести из написанного, что ты считаешь его эффективным, но вот одобряешь ты его или нет неясно. У этого способа есть же очевидные недостатки: учить стихи -- это кошмарно сложная деятельность, учить наизусть прозу -- вообще неодолимая проблема. Пароль в 24 символа ещё можно запомнить за счёт комбинации зрительной (для подключения зрения, впрочем, очень полезно поломать /bin/login и научить его отображать пароль), слуховой и кинестетической модальностей памяти.

Ответить | Правка | Наверх | Cообщить модератору

91. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от draw1 (?), 12-Июл-20, 01:52 
С паролями в административном плане всё обычно просто ужасно. Мало кто объясняет зачем это вообще надо, почему "123456" абсолютно ничем не лучше чем без пароля совсем, почему мантра "да на хрен я кому сдался", "у меня все равно никакого доступа нет" работает так себе и до случая...
Всё это можно объяснить простым и понятным языком и на это не нужно много времени и усилий (и вменяемые люди прислушаются, поймут и будут "за"). Но большинство предпочитает просто вкрячить технические ограничения со словами "пох что ругают", не понимая, что сами ведут себя точно также как ненавидимые ими "юзеры". Точно также как "простые" люди без объяснения не понимают как "неважный" пароль может поломать многое, так и в их случае они не понимают, что если их все ругают, мол, "придумали очередную никому не нужную х@#ню! зачем? да им заняться нечем, вот они свою важность и выпячивают!", то падает их авторитет, а через это неминуемо падает авторитет и к тому, чем они занимаются. А дальше все кладут большой и жирный болт на безопасность и осторожность в целом (и уже не только на какие-то пароли).

Ровно такая же фигня происходит когда вводят полиси насчёт принудительной смены паролей! Да, людям лень (да и сложно) придумывать и запоминать хорошие, длинные пароли каждый раз. Пароль типа: (X7r)mq+6f-MEM{kT&] можно запомнить, особенно если вводишь его регулярно, но не каждые ж 3 месяца! А поскольку доверия к тем к кто "придумал такое" уже нет (см.выше), то пароли неминуемо становятся слабее - они ровно чтоб проходить ограничения на сложность паролей и не битом энтропии больше! Требуется 8 символов? Будет 12345678. Надо чтоб были буквы и цифры? Ну будет qwerty11. Надо чтоб буквы были и заглавные и прописные? Ну будет Qwerty11. Надо ещё знаки препинания? Ну последняя точка тоже войдёт. Надо чтоб пароли не повторялись при смене? Ну следующий будет Qwerty12. И так далее... Когда нет понимания важности, доверия и авторитета, то обычно вот так. Эскалация взаимной ненависти есть, а результата нет. А достаточно было просто поговорить...
Вопрос (риторический): насколько увеличилась безопасность от того, что пароли теперь меняются каждые N месяцев, но зато стали вот такими вот?
Ответ: достаточно чтоб отчитаться перед начальством о предпринятых мерах.

Ответить | Правка | Наверх | Cообщить модератору

95. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от Ordu (ok), 12-Июл-20, 02:36 
> А достаточно было просто поговорить...

Поговорить -- может помочь, но далеко не факт. Если говорить раз в три месяца, готовя на каждый раз новую речь, так чтобы люди не засыпали от повторения одного и того же, то будет заметно лучше, чем если просто требовать. Но чтобы получить заметный результат нужна какая-то постоянная сила, которая постоянно будет действовать на персонал, двигая его в сторону использования сильных паролей. Но разговорами этого добиться можно только в очень специально подобранных коллективах. Там где у каждого есть понимание целей организации, понимание своей роли в достижении этих целей, где есть глубокая осмысленность и осознанность. В подавляющем большинстве организаций это не так. Каждый ходит на работу, потому что ему нужны деньги. Им не очень интересно как их деятельность помогает организации достигать её целей, им не очень интересно насколько она помогает: их начальникам не до того, чтобы доносить понимание, а сотрудникам это может и интересно, но довольно быстро их засасывает корпоративная культура, в которой нет места всем этим соплям типа "мы сделаем нашу компанию лучшей в мире", эта корпоративная культура о том, как избежать увольнения, как получить премию, и о том, как общаться с клиентом, с коллегой, с начальником, какое поведение допустимо на корпоративе, и может какие-то мелочи, типа того, что в курилке по понедельникам надо хвастаться тем, сколько литров водяры ты выжрал за выходные, как далеко била тугая струя блевотины из твоего рта вечером в воскресенье, и как же тебе хреново сегодня.

Как и что в такой культуре может убедить рядового сотрудника в том, что он должен идти на сложности менять пароль каждые три месяца?

Ответить | Правка | Наверх | Cообщить модератору

97. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 12-Июл-20, 17:50 
Вся проблема - в безинициативных людях, лени и похеризме.
Принятие решений "на вверху" часто применяется людьми - выскочками ака политиками, которые в большинстве своем принимают очень быстрые, а потому не продуманные решения. Но значительно большее зло, люди - фаловеры, которые подражают всему что круче них самих, - "как у гугла, как у микросовта", прячась за спины больших вывесок, так как своей сообразилкой думать лень и некогда, ведь надо потрепаться по телефону, посмотреть ютубовскую чушь и т.д.

Единственная радость, что до умнейших мира сего, за которыми подражают фаловеры, наконец то дошло (https://docs.microsoft.com/en-us/archive/blogs/secguide/secu...), что частое и главное безосновательное правило смены паролей - приводит к совершенно другому результату - к наклейкам с паролями на мониторах

Теперь такие полиси считаются нот гуд :)

Ну а пароли, если использовать фразы вместо сумашедшего рэндомного набора символов - значительно эффективней в плане продвижения в массы надежных пасвордов

Запомнить к примеру фразу с 80 бит энтропи:
Rebalance.Stability.Blimp.Upcountry.Unfazed.Body

значительно проще чем эквивалент 80 бит энтропи в 14 символов: zxCUqS3awV5Zw8

Ответить | Правка | Наверх | Cообщить модератору

77. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от Аноним (61), 11-Июл-20, 11:07 
>> продолжим беседу.
> Ну, давайте...

Не-не, ты число не назвал. Прописью, пожалуйста.

Ответить | Правка | К родителю #66 | Наверх | Cообщить модератору

83. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 11-Июл-20, 19:05 
> Не-не, ты число не назвал. Прописью, пожалуйста.

Судя по всему чтиво не одолели... жаль моего времени...

Ответить | Правка | Наверх | Cообщить модератору

62. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от Аноним (61), 10-Июл-20, 11:35 
Да, самое главное. Если ты такой параноик, почему ты вообще пользуешься паролями вместо аутентификации по ключу?
Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

67. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 10-Июл-20, 23:08 
> Да, самое главное. Если ты такой параноик, почему ты вообще пользуешься паролями
> вместо аутентификации по ключу?

Я пользуюсь ключами, но ключи то надо защищать чем? Правильно - паролями!

Ответить | Правка | Наверх | Cообщить модератору

78. "Выпуск SFTP-сервера SFTPGo 1.0"  +1 +/
Сообщение от Аноним (78), 11-Июл-20, 11:27 
а вот и нет. ключи нужно генерить внутри смарткарты (читай, yubikey), а там и восьмизначного пина хватает
Ответить | Правка | Наверх | Cообщить модератору

85. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 11-Июл-20, 19:28 
Я думал мы о паролях говорим, нет?
Ответить | Правка | Наверх | Cообщить модератору

89. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от Аноним (89), 11-Июл-20, 23:29 
Нет. В этой ветке мы обсуждаем, что для sftp нужно использовать ключи
Ответить | Правка | Наверх | Cообщить модератору

94. "Выпуск SFTP-сервера SFTPGo 1.0"  –1 +/
Сообщение от OpenEcho (?), 12-Июл-20, 02:09 
Я что то не припомню, что бы я обсуждал ключи, просто каждый раз когда я вижу програмы ограничивающие длину пароля, у меня возникает сомнение, что я вообще-то и сказал изначально, но автор програмы, обьясил, что он не хранит пароли в чистом  виде, а сохраняет только хэши, на чем я полностью с ним согласен, но вот местные эксперты уже завели обсуждение в такие дебри, что честно говоря уже тошно
Ответить | Правка | Наверх | Cообщить модератору

63. "Выпуск SFTP-сервера SFTPGo 1.0"  +2 +/
Сообщение от Аноним84701 (ok), 10-Июл-20, 12:53 
> Это типа новый прикол ?
> У вас короткий пароль? К сведению: 4 видео в параллель карты ломают пароли в 24 символа минут за 20-30
>> NTLM ~ 130GigaHashes/sec
>> md5crypt ~ 35MegaHashes/sec

Жирновато.
Или упор на то, что комбинаторику в современной  учебной программе "соптимизировали"?

Если в пароле только цифры и 4 карты гарантированно ломают пароль из 24 цифр за 30 минут, то одна карта должна выдавать:
10^24 / (30 * 60) / 4
    ~138 888 888 888 888 888 888 паролей в секунду
Это уже ExoHashes/s (10^18), а не Giga(10^9).


в пароле только буквы одного регистра
26^24 / (30 * 60) / 4
    ~1 264 817 467 991 279 855 111 085 282 790 в секунду
Тут уже будет скорость в 1.2 XrenoHashes/s (10^30)

большие и маленькие буковки плюс циферки
62^24 / (30 * 60) / 4
    ~1 445 666 280 854 642 580 377 189 631 797 277 336 243 в секунду

Выбрать подходящее имя для префикса и подсчитать порядковую разницу с GigaHash/s  читателю предлагается в качестве домашнего задания.

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

68. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 10-Июл-20, 23:21 
Жестким перебором уже давно никто не занимается :)
Даже тот же хэшкэт умеет оптимизацию...

Ответить | Правка | Наверх | Cообщить модератору

81. "Выпуск SFTP-сервера SFTPGo 1.0"  +2 +/
Сообщение от Аноним (78), 11-Июл-20, 13:09 
смотри, раз уж тебе ограничения в 255 символов маловато, а 24х-значные щелкаются за полчаса, и все давно умеют в оптимизацию, то тебе ведь не составит труда сломать простеший восьмисимвольный пароль (только латинские буквы и цифры даже без спец. символов) от моего sftp с дефолтным типом хеша?
$6$LmM1lg58z0eZsech$pH5Vr2KRC72C1IIMJTOx0RQWlA1UFH4V01PmtvjLa2K54xXFsleYxr6ur8bDkUkOhj4u6/zAYQRXHvH5vQ8Cw1
я даже сразу подскажу команду с нужным модом хешаката: hashcat -m 1800
или ты все-таки пустомеля, который ворвался сюда пороть всякую ерунду? а ведь мы еще даже не дошли до современных видов хешей, которые юзаются в обсуждаемом сабже
Ответить | Правка | Наверх | Cообщить модератору

86. "Выпуск SFTP-сервера SFTPGo 1.0"  –1 +/
Сообщение от OpenEcho (?), 11-Июл-20, 20:48 
> ... тебе ведь не составит труда сломать простеший восьмисимвольный пароль (только латинские буквы и цифры даже без спец. символов) от моего sftp с дефолтным типом

За беcплантным взломом - вам сюда: https://www.google.com/search?q=crack+hash+online
я этим не занимаюсь

> или ты все-таки пустомеля, который ворвался сюда пороть всякую ерунду?

Вот на "слабо" разводить, - вы поищите кого нибудь другого...

Если все же интересно о чем разговор, то ваши 8 символов - это всего ~ 40 бит энтропи, почитайте почему по всему миру прекратили использовать NTLM1

Ответить | Правка | Наверх | Cообщить модератору

101. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от ALex_hha (ok), 13-Июл-20, 11:11 
> Если все же интересно о чем разговор, то ваши 8 символов - это всего ~ 40 бит энтропи, почитайте почему по всему миру прекратили использовать NTLM1

ты бы еще md5 привел для примера :facepalm:

А то видео и проц он берет самые последние, а алгоритм 15+ лет давности. Впрочем чему тут удивляться, диванные аналитеги они такие - суровые и беспощадные :D

Ответить | Правка | Наверх | Cообщить модератору

103. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 13-Июл-20, 18:09 
>алгоритм 15+ лет давности.

Не для чувака у которого от желчи глаза и разум затуманенны, но для других читателей:

Предложенный пароль к взлому - 8 символов, что есть ~ 40 бит энтропи, столько же, сколько и у NTLM1

Ответить | Правка | Наверх | Cообщить модератору

99. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от ALex_hha (ok), 12-Июл-20, 22:50 
> то тебе ведь не составит труда сломать простеший восьмисимвольный пароль

он пока только в своих снах научился взламывать за 20-30 минут. На практике не получается

Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

104. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 13-Июл-20, 18:13 
> он пока только в своих снах научился взламывать за 20-30 минут. На
> практике не получается

Он еще к тому же и телепат :)

Н-да.. одни с годами мудреют, а другие просто становятся стареe...
Ты язык забыл еще показть...

Ответить | Правка | Наверх | Cообщить модератору

100. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от ALex_hha (ok), 12-Июл-20, 22:54 
> а ведь мы еще даже не дошли до современных видов хешей, которые юзаются в обсуждаемом сабже

а еще есть такаю штука как salt - и все радужные таблицы идут лесом. А пацан шел к успеху, эээх  

Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

105. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 13-Июл-20, 18:25 
> а еще есть такаю штука как salt - и все радужные таблицы идут лесом.

$6$LmM1lg58z0eZsech$pH5Vr2KR...H5vQ8Cw1
.  ^^^^^^^^^^^^^^^^ - все что между $ это и есть соль, вместе с паролем ;)

Ответить | Правка | Наверх | Cообщить модератору

108. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от ALex_hha (ok), 19-Июл-20, 10:05 
И?
Ответить | Правка | Наверх | Cообщить модератору

109. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от ALex_hha (ok), 28-Авг-20, 13:00 
https://habr.com/ru/post/516844/

где там этот школьник который ломает любой пароль за пару часов. А то дядьки с гугла с большим трудом за полгода взломали, и только благодаря большой доле везения (использовалась старая версия zip)

Ответить | Правка | Наверх | Cообщить модератору

10. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 08-Июл-20, 18:23 
И еще, Я понимаю что Линус похерил стандарт 80 символов на строку в 21 веке, но 1000 срок на линию в хелпах - это очень через чур много даже для современных мониторов, а читать сврапленный текст совсем не фан
Ответить | Правка | Наверх | Cообщить модератору

24. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от Q2W (?), 08-Июл-20, 22:51 
> а читать сврапленный текст совсем не фан

А какая разница, вручную справлен текст или автоматически?

Ответить | Правка | Наверх | Cообщить модератору

34. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от OpenEcho (?), 09-Июл-20, 03:43 
Откройте tmux окно, которое сидит рядом с другими, а потому суженно до стандартного 80 символов и попробуйте почитать: sftpgo help initprovider
сравните с rsync -h
Ответить | Правка | Наверх | Cообщить модератору

44. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от rshadow (ok), 09-Июл-20, 11:16 
> в 21 веке

При чем здесь 21 век? Это было ограничение адекватности вложенности, именования переменных и функций и т.д. Его стали херить да. Любой джун начинает с того, что пишет SQL запрос на 1000 символов в одну строку. И ему надо сразу бить по рукам, не зависимо от разрешений мониторов.

И кстати если зайти в пулл реквест на гитхабе, то экран делится пополам. И эти половинки не влезают без переносов в FullHD. Так что даже в этом смысле рановато сдались.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

54. "Выпуск SFTP-сервера SFTPGo 1.0"  +3 +/
Сообщение от drakkan (ok), 09-Июл-20, 23:59 
This is now fixed, thank you for your suggestion
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

13. "Выпуск SFTP-сервера SFTPGo 1.0"  –8 +/
Сообщение от pofigist (?), 08-Июл-20, 18:55 
Я вот даже не понимаю как к этому относиться... С одной стороны - продолжение недели некрофилии в опенсорце, с другой стороны - выглядит модно, стильно и молодежно. Даже заюзать хочется, только надо придумать зачем...

P.S. По irc новостей нет? Хочется что-нибудь этакого - на модном языке и вебмордой... Нету? А может с nntp новости подвезли? Ну или хотя бы gopher...

Ответить | Правка | Наверх | Cообщить модератору

28. "Выпуск SFTP-сервера SFTPGo 1.0"  +4 +/
Сообщение от Аноним (27), 09-Июл-20, 00:13 
ftp и sftp попутал, иксперт
Ответить | Правка | Наверх | Cообщить модератору

45. "Выпуск SFTP-сервера SFTPGo 1.0"  –2 +/
Сообщение от pofigist (?), 09-Июл-20, 11:42 
> ftp и sftp попутал, иксперт

Не попутал. И с ftps - тоже не попутал.

Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск SFTP-сервера SFTPGo 1.0"  –2 +/
Сообщение от InuYasha (??), 08-Июл-20, 19:05 
>> Prometheus, REST, web

GOпники такие GOпники... только docker-ов в новости не хватает.

Ответить | Правка | Наверх | Cообщить модератору

16. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от заминированный тапок (ok), 08-Июл-20, 21:04 
import "github.com/drakkan/sftpgo/cmd"

как же это прекрасно, когда половина кишок ПО находится где-то, непонятно где


**фт0пку**

Ответить | Правка | Наверх | Cообщить модератору

18. "Выпуск SFTP-сервера SFTPGo 1.0"  +5 +/
Сообщение от Иваня (?), 08-Июл-20, 21:26 
Ты не шаришь, почитай как работают импорты в Go
Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск SFTP-сервера SFTPGo 1.0"  +2 +/
Сообщение от Аноним (27), 09-Июл-20, 00:14 
ты думаешь он хоть в чем-то шарит? местные иксперты только дерьмом кидаться умеют
Ответить | Правка | Наверх | Cообщить модератору

38. "Выпуск SFTP-сервера SFTPGo 1.0"  +2 +/
Сообщение от КО (?), 09-Июл-20, 08:58 
Что неужели как xsd в xml? Написано брать там-то, а на самом деле где-то в недрах системы нужен файл, который описывает правила подстановки вместо внешней ссылки нечто другого?
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

39. "Выпуск SFTP-сервера SFTPGo 1.0"  +1 +/
Сообщение от Аноним (39), 09-Июл-20, 09:01 
И как он работает? Т.е. в примере выше не с гитхаба будет импортироваться?
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

42. "Выпуск SFTP-сервера SFTPGo 1.0"  +1 +/
Сообщение от Аноним (61), 09-Июл-20, 09:51 
Это импорт изнутри того же модуля. Он у тебя уже есть. Зачем бы ему гитхаб?
Ответить | Правка | Наверх | Cообщить модератору

17. "Выпуск SFTP-сервера SFTPGo 1.0"  –3 +/
Сообщение от Онаним (?), 08-Июл-20, 21:23 
Если бы не игого, было бы ок. А так - не нужно.
Ответить | Правка | Наверх | Cообщить модератору

19. "Выпуск SFTP-сервера SFTPGo 1.0"  +2 +/
Сообщение от Иваня (?), 08-Июл-20, 21:27 
А чем это вам Go не нравится? Или вы сторонник Rust?
Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск SFTP-сервера SFTPGo 1.0"  –4 +/
Сообщение от Онаним (?), 08-Июл-20, 21:30 
Чума на оба дома.
C, плюсы, в худшем случае жаба.
Ответить | Правка | Наверх | Cообщить модератору

22. "Выпуск SFTP-сервера SFTPGo 1.0"  +3 +/
Сообщение от Аноним (61), 08-Июл-20, 22:24 
> жаба

О, мсье знает толк…

Ответить | Правка | Наверх | Cообщить модератору

30. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от Аноним (27), 09-Июл-20, 00:14 
держи в курсе, иксперт
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

23. "Выпуск SFTP-сервера SFTPGo 1.0"  –2 +/
Сообщение от Аноним (61), 08-Июл-20, 22:26 
> Предоставление метрик для мониторинга в Prometheus.

Вот с этого пункта и ниже пошёл какой-то треш. А как хорошо начиналось…

Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск SFTP-сервера SFTPGo 1.0"  –1 +/
Сообщение от Аноним (27), 09-Июл-20, 00:15 
у тебя подгорает, потому что ты не осилил современный мониторинг, иксперт?
Ответить | Правка | Наверх | Cообщить модератору

32. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от Аноним (61), 09-Июл-20, 00:29 
Неа. И понять, зачем одной софтине пять форматов конфигов, да ещё и веб-морда в придачу, тоже не осилил. Встроенную систему профилирования, опять-таки, не осилил, как-то предпочитаю универсальные инструменты. И с очень большим скрипом осиливаю чтение JSON-логов.
Ответить | Правка | Наверх | Cообщить модератору

102. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от Аноним (102), 13-Июл-20, 11:53 
ха, надеюсь настнет время когда ты таки осилиш факт что JSON-логи делались не для того чтобы их читал человек глазами.
Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск SFTP-сервера SFTPGo 1.0"  –4 +/
Сообщение от Анонимemail (25), 08-Июл-20, 22:57 
Странная инициатива. Думаю люди чисто по фану для себя сделали. Бо меня и mc устраивает для sftp, ну или та же файлзилла.
Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск SFTP-сервера SFTPGo 1.0"  +2 +/
Сообщение от Аноним (61), 09-Июл-20, 00:31 
Рекомендую чтение на ночь:
https://ru.wikipedia.org/wiki/%D0%A1%D0%...(%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%BD%D0%BE%D0%B5_%D0%BE%D0%B1%D0%B5%D1%81%D0%BF%D0%B5%D1%87%D0%B5%D0%BD%D0%B8%D0%B5)
https://ru.wikipedia.org/wiki/%D0%9A%D0%...(%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%82%D0%B8%D0%BA%D0%B0)
Ответить | Правка | Наверх | Cообщить модератору

47. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от Аноним (47), 09-Июл-20, 13:20 
Почитал.
Погладил ProFTPd.
Пошёл дальше.
Ответить | Правка | Наверх | Cообщить модератору

48. "Выпуск SFTP-сервера SFTPGo 1.0"  +3 +/
Сообщение от Онаним (?), 09-Июл-20, 13:50 
Смотри, не сильно свой proftpd тереби, а то ладони волосатые будут.
Ответить | Правка | Наверх | Cообщить модератору

56. "Выпуск SFTP-сервера SFTPGo 1.0"  +1 +/
Сообщение от Аноним (39), 10-Июл-20, 07:41 
Еще один, который не видит разницы между FTP и SFTP. Продолжай гладить.
Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

98. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от stalkerdroad (ok), 12-Июл-20, 21:52 
Фича этой программы в том что её можно легко собрать в виде одного бинарника без зависимостей. Благодаря языку Go. И запускать сервис ftp одной командой. На любом дистре линукса (и на винде) и на livecd.

https://github.com/drakkan/sftpgo/blob/master/docs/portable-...

Из подобных програм есть ещё 'busybox ftpd'
busybox tcpsvd -vE 0.0.0.0 21 ftpd /files/to/serve

https://busybox.net/downloads/BusyBox.html

Все остальные фтп-сервисы требуют долгой мутной настройки. Требующей иногда ещё и добавление юзеров в систему.

Ответить | Правка | Наверх | Cообщить модератору

106. "Выпуск SFTP-сервера SFTPGo 1.0"  +/
Сообщение от ann (??), 14-Июл-20, 17:47 
> В том числе SFTPGo может использоваться для предоставления доступа к Git-репозиториям, используя протокол SSH.

А без этого вот не работало? Что-то у меня прекрасно git ходит через openssh.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру