อ่านมาตั้งแต่ยังไม่มีคนตอบ… คิดเหมือนกันครับ ว่าถ้าเป็นเว็บที่มีข้อมูลสำคัญ และต้องการความปลอดภัยขั้นสูงสุด ควรเช่า VPS หรือ Dedicated ไปเลยครับ เพราะคงไม่มีผู้ให้บริการ Share Host รายใด สามารถ config ทุกอย่างได้ตามความต้องการเรา
อ่านๆมาผมว่าเจ้าของกระทู้ตีค่าข้อมูลตนเองต่ำไปครับ เรื่องอื่นๆ sysadmin เขาทำให้ได้…แต่ 500 นี่…รับไม่ได้จริงๆ :smash:
ขอเถอะอย่ามากดราคา + ความรู้กันเลยครับ
ขออภัยที่สับสนระหว่าง SFTP และ FTPS
จริงๆแล้วข้อมูลผมไม่ได้สำคัญอะไรเลย แค่ไม่อยากให้คนอื่นมายุ่งได้ จริงๆแล้วพวกนี้ทั้งหมดเป็นความปลอดภัยขั้นพื้นฐาน ย้ำครับว่าเป็นขั้นพื้นฐาน ไม่ใช่ขั้นสูง ควรจะมีใช้ทุกเครื่อง แปลกมากๆที่ยังมีหลายๆท่านมาพูดว่า ftp ใช้ได้ปกติ ไม่มีปัญหา
telnet, rsh, rlogin, rcp, และ ftp เป็นต้น โปรแกรมเหล่านี้ส่งข้อมูลตามแบบมาตรฐานดั้งเดิมของเครือข่าย Internet กล่าวคือ ส่งข้อมูลทุกอย่าง (รวมทั้ง username และ password) ในรูปของ cleartext ดังนั้นหากมีผู้ดักจับข้อมูลเกี่ยวกับ username และ password ได้ ผู้นั้นก็จะสามารถนำเอา username และ password นี้ไปใช้ในการเชื่อมต่อและใช้งานเครื่องคอมพิวเตอร์เครื่องนั้นได้ต่อไป …
เนื่องจากปัญหาที่กล่าวมานี้เป็นปัญหาที่ค่อนข้างใหญ่ เพราะการ sniffing นั้นสามารถกระทำได้อย่างค่อนข้างง่าย
จาก http://www.thaicert.org/paper/encryption/sshl.php
Use Secure FTP: Choose a host that requires SFTP (Secure FTP) for transferring files. This prevents others from snooping your user name and password from packets as they travel over the Internet.
จาก http://docs.joomla.org/Security_and_Performance_FAQs#How_do_I_choose_a_quality_hosting_provider.3F
The main reason that web sites get hacked is because they are being updated with insecure FTP transfers.
จาก http://www.intranetjournal.com/articles/200208/se_08_14_02a.html
ท่านที่ยังไม่เจอปัญหา ผมถึงบอกว่าดวงดี ขอให้ท่านดวงดีต่อไป แต่ผมไม่หวังพึ่งดวงเช่นท่าน
500 บ/เดือน นี่คือค่าเว็บโฮสติ้งครับ ราคาตลาดทั่วไป ไม่ใช่ค่าความรู้
ที่ตอบๆมาเห็นบอกว่าไม่ใช้ SFTP เพราะต้องเปิด SSH ด้วย ผมก็ตอบไปแล้วสองครั้งแล้วว่า สามารถเปิด SFTP และ SSH โดยที่ผู้ใช้ไม่สามารถ login เข้าไปได้ จึงไม่ต้องกังวล ด้วยวิธีตามนี้:
The server side of the connection needs some configuration to make the ssh tunneling work as well. First, the client need a valid account on the remote host is necessary in order to support the ssh tunnel. A valid shell is not strictly necessary for these ssh tunnels, though; something like:
เพราะทดสอบแล้วว่าไอ้ shell นั่นมันหลุดรั่วต่อระบบนี่แหละครับถึงไม่เปิดให้ใช้งาน
อีกอย่าง การ sniff ที่บอกว่่าทำได้ง่าย
- internet ปกติจะส่งผ่านผ่าน router หลายตัวมา
- ระดับ ISP เค้าไม่ดักข้อมูล กระจอกๆ อยู่แล้วครับ ไร้สาระ เอาไปก็ไม่มีประโยชน์อะไร ถ้าจะดักไปดักพวกธนาคาร ข้อมูลทางธุรกิจการเงิน หรืออะไรพวกนั้นดีกว่า (แต่ขืนดักก็โดนฟ้องเอาซะเปล่าๆ)
- ระดับ node ย่อย… ถ้าจะดักก็คงยากครับ เพราะมันก็อุปกรณ์พื้นฐานเหมือนกันหมด นอกจากจะจั๊มสายต่ออุปกรณ์ดักเอาเพิ่ม ซึ่งก็ทำให้เป็นที่ผิดสังเกตอีกเหมือนกัน
เพราะฉะนั้น เหลือดักได้เท่านี้ครับ
- หน้าเครื่อง server [ที่ router ที่ต่อกับ server]
- ในเครื่อง server [ที่ server เองติดไวรัส]
- หน้าเครื่อง client [router ของที่บ้าน/ที่ทำงานของคุณ]
- ในเครื่อง client [ที่เครื่องคุณ]
แจกแจงดังนี้
- server ตั้งใน IDC ตัว router ก็ของ IDC แถมสมัยนี้ไม่มีใครใช้ hub อยู่แล้ว (แหงล่ะ ขืนใช้ hub กับ server มีหวังเน่ากระจาย) ใครมันจะไปดักได้
- ถ้าโดน hack จริงๆ คนดูแล server เค้าก็จัดการเรียบร้อยแล้วล่ะครับ หรือไม่ก็คนที่ hack ก็สอยข้อมูลไปเรียบร้อยแล้วเหมือนกัน โดยไม่จำเป็นต้องไปนั่งดักรหัสผ่านของคุณ
- ไอนี่เสี่ยงที่สุด ในขณะเดียวกันก็ปลอดภัยที่สุดครับถ้าเล่นที่บ้าน
- เครื่องคุณเอง ถ้าคุณติดไวรัสเองคุณก็โทษใครไม่ได้ครับ เพราะถ้าติดเอง มันไม่ต้องถอดรหัสครับ ดักเอาตรงๆ เลยว่าคุณพิมพ์ว่าอะไร
ทั้งหลายทั้งเพนี้เป็นสาเหตุที่จะไม่เปิดให้ใช้ SFTP ครับ
ทุกท่านในนี้เขาก็ Provide Base Security ให้อยู่แล้วครับ เพราะมันคือธุรกิจ ความปลอดภัยเท่านั้นมันก็เพียงพอต่อความต้องการอยู่แล้ว ที่คุณต้องการมันเกิด Basic ไปเยอะมากๆมันต้ิองใช้สิทธิของ Admin เท่านั้นหรือไม่ก็ต้อง Favor มากๆถึงจะได้
เพิ่มเงินอีกสัก 4-5 พันสิครับหลายท่านมีให้บริการอยู่แล้ว
เปิด SFTP แล้วทำตามที่บอก อันตรายมากกว่าเปิด FTP ให้ใช้อีกครับ :smash:
เคยโดนยิงสุ่ม password มาเรื่อยๆ มันทำมาได้ 3 เดือน จนสำเร็จ โดนไปเครื่องนึง
พวกไม่อ่าน log ไม่ดูแลอย่างน้อยๆ 3 วันต่อครั้ง… ไม่ว่า security ดีเท่าไหนก็เสี่ยงทั้งนั้นครับ จะเอา security กันจริงๆเขากำหนด ip clients access กันเลยครับ
ssh ก็ pair file key กันเลย… sftp คุณเปิด services เป็นครั้งต่อครั้งก็ได้ในยามที่คุณจะ ftp สำหรับ pop3 ก็ปกติๆไม่ได้แปลกอะไรครับ
ทำได้ทำไมจะทำไม่ได้ แต่งบอย่างนั้นทำแล้วต้นทุนมันได้หรือเปล่า ขอบเขตความอำนวยสะดวกมีเพื่อส่วนร่วมหรือเปล่า
งานอย่างนี้เข้าเรียกว่า dedicated services ครับ
เรียกหาจาก share hosting products ไม่ได้ครับ
หา google แป๊บเดียวก็เจอ http://www.sublimation.org/scponly/wiki/index.php/Main_Page
ปัญหาเรื่อง sftp กับ login shell ที่ท่านทั้งหลายบ่นๆกันนี้ คนทั้งโลกเค้าก็เจอกัน
[quote author=nirantri link=topic=13920.msg136343#msg136343 date=1223043391]
หา google แป๊บเดียวก็เจอ http://www.sublimation.org/scponly/wiki/index.php/Main_Page
ปัญหาเรื่อง sftp กับ login shell ที่ท่านทั้งหลายบ่นๆกันนี้ คนทั้งโลกเค้าก็เจอกัน
คุณไว้ใจ ISP มากไปหรือเปล่า
[quote author=nirantri link=topic=13920.msg136343#msg136343 date=1223043391]
หา google แป๊บเดียวก็เจอ http://www.sublimation.org/scponly/wiki/index.php/Main_Page
ปัญหาเรื่อง sftp กับ login shell ที่ท่านทั้งหลายบ่นๆกันนี้ คนทั้งโลกเค้าก็เจอกัน
ผมก็เริ่มสงสัยเหมือนคุณเช่นกันครับ
[quote author=nirantri link=topic=13920.msg136356#msg136356 date=1223045218]
คุณไว้ใจ ISP มากไปหรือเปล่า
และหากทำได้จริงๆผมจ้างคุณเป็น super admin ของผมเลยครับ :smash:
SFTP ป้องกันการดักรหัสผ่านได้ก็จริง แต่สุดท้ายข้อมูลที่รับส่งก็ไม่ได้เข้ารหัสครับ
ถ้าจะดักตัวข้อมูลก็ดักได้อยู่ดี
ถึงได้บอกไงครับ เหตุผลสี่ข้อนั่นแหละ
ISP มันบริษัทขนาดไหนแล้วครับ ถ้าคุณคิดว่าข้อมูลของคุณสำคัญขนาดนั้น
คุณไม่ควรมาใช้ share host ตั้งแต่แรกแล้วครับ
โน่น leased line ลากสายไปเปิด server เอาเองที่บ้านคุณเองเลยครับ ปลอดภัยชัวร์
ถ้าอยากใช้จริงๆ ติดตั้งให้ได้ครับ (ค่าเซตสองพัน บอกมันตรงนี้แหละ)
แต่หา dedicated/vps เอานะครับ เครื่องผมไม่เปิดให้ใช้ sftp แน่ๆ ล่ะ
กลัวโดน hack ssh แล้วมันจะเป็นเรื่องใหญ่
น้องไอซ์ทำให้ ผมเปิด vps ให้ 1500/เดือน (บอกมันตรงนี้แหละ) :smash:
จะได้จบๆ
SFTP encrypt ทั้ง data ด้วยครับ แต่ว่า FTPS encrypt เฉพาะ password อย่างเดียว
FTPS ใช้ พวก stunnel น่าจะทำให้ได้นะครับ แต่ไม่รู้ทำเพื่ออะไร
แต่ SFTP เท่าที่หาดูมี openssh อย่างเดียวครับ ไม่มีที่ run ใน user-mode เลย มี dropbear อีกอันแต่ก็คล้ายๆ openssh ครับ
SFTP provides secure connectivity while transferring data between a server and a client by encrypting data that is transferred over the network, including username and password information. Although effective in transferring data between systems, other protocols deliver data using clear text, which makes it easy for packet sniffing programs to intercept data passing over a network.
From http://www.usc.edu/its/sftp/
ปล ไม่เกี่ยวอะไรกับใครทั้งนั้นนะครับมาเสนอความเห็นเฉยๆ
อ้าว ผมจำสลับหรอครับ :blink:
= =’ เวรกรรม ขอโทษด้วยครับ
จริงๆผมว่าอันนี้น่าจะทำได้จริงนะครับ
http://www.minstrel.org.uk/papers/sftp/builtin/
แต่เป็นถ้าผมเป็น hosting ผมก็คงไม่ลำบาก setup ให้ในราคา 500/เดือน หรอกครับ
ผมว่าถ้าจขกทไม่ต้องการhostไทยก็ไปเช่าvpsต่างประเทศก็ได้ครับ
แต่แล้วท่านจขกทจะเชื่อถือ vps ต่างประเทศได้ขนาดไหนครับ
500/เดือน ได้ Base Security
5,000/เดือน ได้ตามที่คุณต้องการ
ถ้าเว็บมีข้อมูลสำคัญจริงๆ ไม่อยากให้คนอื่นรู้password ไม่อยากให้ข้อมูลรั่ว ผมว่าก็ยอมทุ่มทุนไปเลยสิครับ แล้วว่ากันไปตามงาน ต้องการแบบไหน
ได้ตามที่ต้องการเลย