RN3DCX Опубликовано 13 сентября, 2021 · Жалоба Прилетела задача: на windows 2019 создать папку/ресурс и выплюнуть ее в интернет. Вопрос знатокам, как нынче в 2021 году сделать это безопасно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rz3dwy Опубликовано 13 сентября, 2021 · Жалоба Если "ЕЕ ВЫПЛЮНУТЬ", то создать ограниченную учетку, запустить(права админа не нужны) облако от майл.ру, яндекс-диск или дропбокс и настроить синхронизацию. Если же требуется доступ ИНЕТА К ПАПКЕ, то ftp, наверное. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 13 сентября, 2021 · Жалоба под выплюнуть подразумевал именно доступ из мира к папке. 2 часа назад, rz3dwy сказал: то ftp, наверное. ftp только на чтение и в клиентской винде прикрутить как сетевой диск? Была такая идея, но тут еще и запись нужна... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 13 сентября, 2021 · Жалоба WebDAV <webdav> | Microsoft Docs Но по дефолту файлы не более 30 Мб пролазят. И SSL настоятельно рекомендуется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 13 сентября, 2021 · Жалоба @jffulcrum а на 2019 WebDAV поддерживается? IIS вроде закончил жить на 2012. 8 минут назад, jffulcrum сказал: Но по дефолту файлы не более 30 Мб пролазят. Т.е. это лечиться? нужно чтоб файлы объемом 1-2 гига пролазели. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 13 сентября, 2021 · Жалоба Только что, RN3DCX сказал: а на 2019 он поддерживается? IIS вроде закончил жить на 2012. Компонент в системе есть. 1 минуту назад, RN3DCX сказал: Т.е. это лечиться? нужно чтоб пролезало 1-2 гига. Файлы по 1-2 гига - про DAV можно сразу забыть. Тогда FTP или стройте VPN и гоняйте SMB по VPN. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 13 сентября, 2021 · Жалоба 25 минут назад, jffulcrum сказал: Файлы по 1-2 гига - про DAV можно сразу забыть Т.е. 30 метров это потолок? 25 минут назад, jffulcrum сказал: Тогда FTP Есть ли какие-то безопасные best практики. 25 минут назад, jffulcrum сказал: VPN В т.з. просили без VPN. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 13 сентября, 2021 · Жалоба 4 минуты назад, RN3DCX сказал: Т.е. 30 метров это потолок? Нет. Если на сервере подправить конфиг, а на клиенте - реестр, пролезают и сотни мегов. Но шансы пролезть гигабайту одним куском малы, вот прям совсем. 4 минуты назад, RN3DCX сказал: Есть ли какие-то безопасные best практики. Ставится IIS с компонентом FTP. Делается локальная учетка без прав вообще. Делается папка, на нее даются права учетке. В IIS делается сайт FTP на эту папку и указыватся этот пользователь как разрешенный. В общем-то всё, SSL прикрутить еще - импорт сертификата через mmc и правило в привязке и свойствах FTP сайта. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmp.user Опубликовано 13 сентября, 2021 · Жалоба SMB security enhancements Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lugoblin Опубликовано 13 сентября, 2021 · Жалоба SMB весьма чуствителен к latency. Если большие файлы перекачивать, то, может, взлетит. А если кучу мелких, или постоянный seek по большим, то будет тормозить. Сильно, причём независимо от толщины канала, что затрудняет объяснять пользователям в чём же дело. Я бы завёл специально обученную виртуалку на той-же локации что и w2019, и с одной стороны монтировал бы в неё папку по SMB, а с другой выставлял бы точку монтирования в Инет по SFTP или SSHFS. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 14 сентября, 2021 · Жалоба 15 часов назад, RN3DCX сказал: Прилетела задача: на windows 2019 создать папку/ресурс и выплюнуть ее в интернет. Вопрос знатокам, как нынче в 2021 году сделать это безопасно? Никак. Ну те ты это говно от МС ставишь, там поднимаешь гиперви с нормальным дистром линуха/фри, где у тебя стоит уже готовый дистр который делает домашнее облако со всеми возможными доступами. За пару часов задача решается если есть опыт держания такого облака дома. Потом можно выкинуть венду и переехать в другой хост виртуализации без особых проблем :) 11 часов назад, jffulcrum сказал: WebDAV <webdav> | Microsoft Docs Но по дефолту файлы не более 30 Мб пролазят. И SSL настоятельно рекомендуется. 11 часов назад, jffulcrum сказал: Файлы по 1-2 гига - про DAV можно сразу забыть. Тогда FTP или стройте VPN и гоняйте SMB по VPN. http://netlab.dhis.org/wiki/ru:software:nginx:webdav клиент вебдав в венде в семёрке был полным говном, и видимо таким и остался. Лимит там 4ГБ на файл и видимо это хардкод от DWORD = uint32_t с давних времён. Этот дебильный клиент любой файл скачивает к себе в системный темп целиком и потом отдаёт хэндл приложению, а потом видимо закачивает обратно если что то поменялось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 14 сентября, 2021 · Жалоба 5 часов назад, Ivan_83 сказал: Никак. Ну те ты это говно от МС ставишь, там поднимаешь гиперви с нормальным дистром линуха/фри, где у тебя стоит уже готовый дистр который делает домашнее облако со всеми возможными доступами. За пару часов задача решается если есть опыт держания такого облака дома. Потом можно выкинуть венду и переехать в другой хост виртуализации без особых проблем :) Иван, где конкретика? Какое облако? Нахрена мне домашнее облако для энтерпрайза? Давай пруф в студию! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 14 сентября, 2021 · Жалоба 22 часа назад, dmp.user сказал: SMB security enhancements SMB сам по себе безопасен, а вот авторизация - не очень, если нет домена. Плюс, опасность представляет сам открытый порт 445 - дырок, увы много, хоть последние в удалённой печати пачка. Есть SMB over QUIC | Microsoft Docs. Но это бета. И наверняка тоже со всякими печалями. Вариант - подписка на Office365 с OneDrive Business. Дают терабайт на организацию. Но эвто облако, просто можно синхронизировать папки между сервером и клиентами через него. Можно вариант с Sharepoint, но это целая история, и не тот продукт, что может жить без присмотра и ухода. Суровый вариант - iSCSI. Но защита только chap-пароль, плюс с говёным каналом там делать нечего, и вообще желателен IPv6. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 15 сентября, 2021 · Жалоба 21 час назад, RN3DCX сказал: Нахрена мне домашнее облако для энтерпрайза? Ну не помню я названий дистров для этого всего, сам погугли. Основная идея что венду нахер с её убожеством, но формально она типа есть и типа работает. https://www.tecmint.com/free-open-source-cloud-storage-tools-for-linux/ https://www.geckoandfly.com/24024/self-hosted-cloud-storage/ https://www.ubuntupit.com/best-cloud-storage-for-linux-reviewed-and-compared-for-linux-nerds/ https://www.slant.co/topics/4505/~self-hosted-cloud-storage-solutions Кажется nextcloud советовали, но можно ещё повыбирать. Может что то даже под венду нативно работает, но я бы не связывался, вертуалку хотя бы бэкапить и переносить легко, в отличии от венды. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
naves Опубликовано 15 сентября, 2021 (изменено) · Жалоба Непонятно зачем винда, ну да ладно. minio s3 поставьте, модно стильно, молодежно, есть s3, можно смотреть из браузера, настраиваются доступы на каталоги и юзеры. Совместимо со многими облачными клиентами. Поставили бы linux samba, да через фаервол оставили бы доступ только для нужных адресов, ресурсов нужно минимум, а тут целая винда голой ж в интернет. Изменено 15 сентября, 2021 пользователем naves Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 15 сентября, 2021 · Жалоба 58 минут назад, naves сказал: Непонятно зачем винда, ну да ладно. Это первоначальное Т.З. 53 минуты назад, naves сказал: а тут целая винда голой ж в интернет Вот в том то и дело... Поэтому и написал как нынче в 2021 году сделать это безопасно? 1 час назад, naves сказал: Поставили бы linux samba, да через фаервол оставили бы доступ только для нужных адресов Мысль хорошая, да большинство работает с динамических ip-ов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 15 сентября, 2021 · Жалоба Ок, если с виндой дело бесперспективное, буду аргументированно менять Т.З. на linux/unix. Тут тоже прошу посоветовать как безопаснее дать доступ из мира к ресурсу? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
naves Опубликовано 15 сентября, 2021 · Жалоба Вы так и не сказали, какие у вас клиенты будут подключаться. Самый безопасный, наверное, через ssh клиентом типа filezilla или winscp, авторизация по ssh-ключам. Ну или как выше говорили, ставьте nextcloud, там и браузер и версионирование и всякие плагины для совместной работы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 15 сентября, 2021 · Жалоба А еще про размеры, количество, нагрузку и вообще ... 10000 одних курьеров блогоров грузящих HD ролики по пол часа или 1.5 калеки заливающих текстовые файлики раз в 1.5 недели предполагает совершенно разные решения.. Я конечно грузил в некстклауд 60г файлы после некоего тюнинга, но не надо некстклауд к таким задачам, а вот под фоточки с телефона или не шибко большое видео очень даже неплохо.... ну и паралельная закачка-скачка сотней человек в некстклауде, то еще решение, всётаки пых он сильно жрёт ресурсы на каждый воркер, а файлы в обе стороны оно через пых отдаёт. а в тот же фтп сотнями параллельных закачек обычно ничего.. но многие любят мышевозяканье и приложеньку с автосинком.. опять же как права раздавать.. тот же некстклауд дружится с АД или через лдап или через SAML на ура.. не виндовый ФТП, умеющbй юзеров из АД, сначала придётся найти (нет, скорее всего он есть, как минимум ЛДАП в PAM линуксы могут, многие ФТП сервера умеют авторизацию в PAM)..если вообще это надо, конечно.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roysbike Опубликовано 16 сентября, 2021 · Жалоба В 15.09.2021 в 10:52, RN3DCX сказал: Ок, если с виндой дело бесперспективное, буду аргументированно менять Т.З. на linux/unix. Тут тоже прошу посоветовать как безопаснее дать доступ из мира к ресурсу? веб сервис с доступом к файлам и спрятать сервер за cloudflare Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 16 сентября, 2021 · Жалоба 18 часов назад, naves сказал: Самый безопасный, наверное, через ssh клиентом типа filezilla или winscp, авторизация по ssh-ключам. Вендузятникам бы только страданий. sshfs - вещь! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...