Z pamiętnika admina: Zosia Samosia robi migracje.

Wszyscy znamy wierszyk Juliana Tuwima „Zosia Samosia”. Morał zawarty w tej rymowance poucza nas, żeby nie uważać się za najmądrzejszą osobę i korzystać z pomocy innych. Jednakże moje ostatnie doświadczenia mówią coś zupełnie innego. Początkowo może się Wam wydawać, że niniejszy artykuł nie ma nic wspólnego z bezpieczeństwem IT, ale wszystko wyjaśni się w dalszej części artykułu.

 

Jakiś czas temu pisaliśmy na naszych profilach społecznościowych o migracji, w wyniku której możemy być chwilowo niedostępni. Zamieściliśmy tę informację by uniknąć późniejszych plotek, że padł nam serwer, zostaliśmy zhackowani, czy też zamknęli nas za obrażanie Prezydenta 🙂

Przeprowadzenia migracji, jak zawsze zresztą, podjąłem się ja – PHT. Bo akurat miałem czas, bo tak, bo jestem w SMS odpowiedzialny za infrastrukturę, bo chciałem. Powodów było wiele. Wydawało mi się, że to co muszę zrobić będzie łatwe jak bułka z masłem. Co musiałem zrobić, zapytacie? Ot, przenieść konta mailowe na nowy serwer. Pomyślicie sobie, że to kilka kliknięć, zmiana w DNS i maksymalnie godzina czekania? NIE.

lol

Niniejszy tekst postanowiłem podzielić na części – akty, niczym Szekspir dzielący swoje dramaty.

Akt I – szukanie nowego dostawcy usługi.

Dotychczas korzystaliśmy w zakresie hostingu serwera mail z usług zacnej, aczkolwiek upośledzonej komunikacyjnie firmy AZ Spółka z o.o. (naprawdę mieli ograniczoną odpowiedzialność). Postanowiliśmy odejść z AZ z kilku powodów – głównie ceny i częstych wywrotów serwera. Z tym drugim poradziliśmy sobie przenosząc WWW na osobny serwer w siedzibie SMS, a maile, z którymi nie było problemu, pozostawiliśmy na hoście od AZ. Do tego doszedł Cloudflare i wszystko było super. Do czasu. Gdy przyszedł okres rozliczeń okazało się, że odnowienie naszej usługi (a trzeba tu wspomnieć, że był to hosting „Business (bez limitu transferu)”) wynosi (tylko albo i aż)  552.27 zł brutto. To nas zabolało. Ktoś mógłby pomyśleć, żę to zwykłe cebulactwo, ale tak szczerze – płacić tyle za serwer mailowy? Przypomnę że za te cenę można mieć całkiem fajnego dedyka.

Drawing1

(Dotychczasowa konfiguracja)

Tak więc – postanowiliśmy poszukać innego dostawcy. Padło na home.pl. Przejrzeliśmy ich ofertę i, żeby nie popełnić gafy, wysłaliśmy do home.pl maila z zapytaniem jaką ofertę nam polecają. Po 30 minutach na podany w zgłoszeniu telefon zadzwonił przemiły Pan z działu obsługi klienta (w sensie ten taki, co mu płacą pewnie 600 zł na rękę podstawy i 10 procent od tego co wciśnie ludziom). Pan z obsługi klienta bazując na naszym zapytaniu i kilku pytaniach zaproponował nam ofertę, która według niego będzie dla nas najlepsza. Dogadaliśmy się i po chwili mieliśmy zaklepany pakiet „Business Cloud Starter”. I co dalej? To za chwilę. W ramach rekompensaty i, żeby zaostrzyć apetyt (a także po to, by później nie tłumaczyć), nasze wymagania podane w mailu brzmiały mniej więcej tak:

Potrzebujemy usługi dającej nam możliwość korzystania z serwera mailowego u Państwa oraz osobnego serwera www hostowanego gdzie indziej.

 

Akt II – Testy

Zaraz po wpłaceniu szekli na konto home.pl zabrałem się do testowania i próbnej migracji. Postanowiłem przemigrować projekt fastblog.pl, ponieważ był on tak samo skonfigurowany jak s-m-s.pl (mordercy mają swój modus operandi, admini też – warto o tym pamiętać wykonując testy penetracyjne).
Pierwszym krokiem było dodanie skrzynki mailowej na serwerze dostarczonym przez home.pl. Zabrałem się za to tak jak należy. Panel home.pl poinformował mnie, że aby dodać skrzynkę pocztową, muszę dodać domenę do serwera. Więc postanowiłem tak zrobić.
home1Po chwili zastanowienia postanowiłem sprawdzić, czy w az.pl wymagana była identyczna procedura. Przypomnę, iż w tamtym momencie fastblog.pl podpięte było pod DNS Cloudflare.

az1

Jak widać udało się, do tego bez kombinacji z DNS! Postanowiłem poszukać odpowiedzi, bo jak inaczej użyć CF nie podając go w DNS? Z odpowiedzią przychodzi oficjalne forum home.pl i user o nicku „Grzesiek”. Swoją drogą, jeśli „Grzesiek” jest pracownikiem home.pl a pozostali pracownicy charakteryzują się podobnym podejściem, to drżyjcie klienci home.pl, jeśli to kiedyś dupnie – nie będzie co zbierać. Pozwolę sobie zacytować tekst jednej z odpowiedzi tego usera na pytanie czemu CF nie działa.

Aby poczta działała na home.pl, domena musi kierować na serwery DNS home.pl.

Jezu! Ja bym się cieszył gdyby ktoś chciał odciążyć moje serwery DNS, ale ja się nie znam, nie mam firmy wartej „pierdylion szekli”.

CloudFlare nie będzie w tym przeszkadzało o ile w jego konfiguracji, faktycznie będzie przekierowanie na nasze serwery DNS (rekord NS).

Ale jak? No ja wiem, tam jest takie śmieszne ustawienie serwerów DNS (NS), ale z tego co zauważyłem sprawdzenie, czy domena idzie na home.pl jest wykonywane za pomocą „whois” a więc i tak idzie na CF.

W tym wypadku w panelu serwera lub podczas kontaktu z BOK, podajesz nazwę domeny która będzie przypięta do hostingu. I tylko w tej konfiguracji, domena jest widoczna w panelu jako obiekt przypięty/delegowany.

Jeśli jednak domena nie będzie kierowała na nasze serwery DNS, a np. rekordem A skierowana na hosting, wtedy jest to zwykłe przekierowanie które nie podlega konfiguracji w panelu. Domena nie jest widoczna, a więc pozostała konfiguracja odbywa się po stronie pliku .htaccess (np. przekierowanie na podkatalog).

O Jezu! Ok, mamy 2016 rok. Używanie .htaccess sugeruje użycie Apache2… W erze Nginksa jest to co najmniej dziwne i nieprofesjonalne. To tak jakby Home.pl nie wspierał nowych, lepszych technologii.

Poczta w tym wypadku nie jest obsługiwana u nas.

Domena nie musi być u nas opłacana, ale musi kierować na DNS aby była u nas podłączona. Nie utrzymujemy „przekierowań pośrednich” ani nieaktywnych, chociażby ze względu na to że takie ustawienia mogą w przyszłości wpływać negatywnie np. na prawidłową konfigurację domeny u innego operatora.

Jak może wpłynąć negatywnie na innego operatora, skoro MOJA domena jest skierowana na innego operatora i tam skonfigurowana? Ale tak jak już mówiłem, nie znam się.

Reasumując, jeśli przekierowanie domeny na CloudFlare umożliwia jej dalsze delegowanie na nasze DNS, wrócisz do pierwotnej konfiguracji. Jeśli tylko rekord A, przekierowanie ok, ale bez poczty.

„… jeśli przekierowanie domeny…” Grzesiek chyba nigdy nie czytał nawet co to jest CF. Smutne. CF jest czymś w rodzaju wielkiego proxy. Dlatego też to na ich DNS odbywa się cała magia.

CloudFlare jest rozwiązaniem, którego działanie ma konkretny cel, czy jest jednak gwarancją bezpieczeństwa? Zależy jak na to patrzyć. Biorąc pod uwagę, że nie resetujemy ustawień rekordów domen oraz oferujemy kopie bezpieczeństwa z 3 ostatnich nocy, masz praktycznie 100% ciągłość działania serwisu. Jedyna różnica to ładowanie serwisu z wielu lokalizacji i stref, pytanie, czy odczujesz różnicę w prędkości a tym samym czy w ogóle jest Ci to potrzebne?

W tym momencie moje oczy zalały łzy rozpaczy. Oczywiście, po co komu CF, skoro home.pl filtruje ataki DDOS, SQLi, XSS i w ogóle wszystkie inne co robi CF.

Jak rozwiązałem problem? Postanowiłem, że skoro płacimy za hosting, to już na serwerze www umieszczę aplikacje i wrzucę im te cholerne DNS-y.

Akt III – Migracja

No! Można by powiedzieć „Pehat jest już na jakiejś 20-30 minucie roboty”. No właśnie nie. To był już kolejny dzień. Wrzuciłem info na socialmedia o migracji, przygotowałem backupy.

Przeniosłem domenę na serwery home.pl – po godzinie wszystkie globalne DNS podawały już serwer home.pl. Dodałem domenę s-m-s.pl do wykupionego serwera i wgrałem pliki. Dodałem bazy danych, kliknąłem ok. Wszystko było w porządku. Postanowiłem wejść na s-m-s.pl by sprawdzić jak działa. I co? Przeglądarka przypomniała mi, że s-m-s.pl ma ustawione HSTS, czyli wymuszenie komunikacji szyfrowanej po stronie przeglądarki. Naturalnym było dla mnie, że skoro mam serwer WWW w home.pl, muszę dodać certyfikat SSL. Domyśliłem się, że będzie możliwe dodanie jednego certyfikatu SSL per serwer. Tak przynajmniej było w az.pl. To co zastałem w home.pl spowodowało u mnie chwilowe załamanie nerwowe. O ile CF nie jest czymś, co jest jakoś specjalnie wymagane, zalecane, czy często spotykane wśród zaleceń bezpieczeństwa, to już użycie SSL-a jest czymś normalnym, jak dieta bezglutenowa czy noszenie butów. Niby można bez, ale można się na tym przejechać. A co robi home.pl? Jak widać, po home należy spodziewać się wszystkiego. Pozwolę sobie znów przytoczyć co ciekawsze fragmenty oficjalnych materiałów home.pl: https://pomoc.home.pl/baza-wiedzy/jak-zainstalowac-wydany-certyfikat-ssl-na-serwerze-w-home-pl/.

Proces instalacji certyfikatu SSL jest prosty i w pełni zautomatyzowany – ogranicza się do kliknięcia jednego przycisku i podaniu nazwy oraz hasła dostępu do serwera w home.pl.

Tutaj miałem cichą nadzieję, że wyklikam to w kilka minut i pójdę spać.

WAŻNE! Certyfikaty SSL w home.pl nie posiadają ograniczeń co do ilości serwerów, na których można je instalować. Oznacza to, że certyfikat SSL można zainstalować na wielu serwerach z tym ograniczeniem, że na jednym serwerze może zostać zainstalowany jeden certyfikat SSL.
Przykład: zamówiony certyfikat RapidSSL Wildcard można zainstalować na dwóch, czterech lub nawet sześciu serwerach w home.pl (należy tylko pamiętać, że na tych serwerach nie mogą być już zainstalowane inne certyfikaty. W przeciwnym razie przytaczany w przykładzie RapidSSL Wildcard nadpisze certyfikat SSL znajdujący się na serwerze).

Zaraz zaraz…. Certyfikaty SSL w home.pl? Pewnie mówią ogólnie o tym.

WAŻNE! Jeśli nie potrafisz samodzielnie zainstalować certyfikatu SSL, możesz skorzystać z oferty pomocy naszych administratorów. Instalacja certyfikatu SSL wykonywana jest przez administratora home.pl w ramach oferty Profesjonalne Usługi IT. Oznacza to, że instalacja zewnętrznego certyfikatu SSL zostanie wykonana przez naszych administratorów, po zamówieniu odpowiedniej usługi instalacji oraz po opłaceniu tego zamówienia.
No i „puff”… Ostatnia nadzieja prysła. Po tym co przeczytałem wiedziałem, że nieprędko skończę migracje, a co dopiero nawet pomyśleć o pójściu spać! Postanowiłem zobrazować i odnieść się do tych <hehe> „Profesjonalnych usług IT” (UWAGA, w trosce o przepełnienie oddziałów onkologii wrzucam tylko część usług).
home2Przyjrzałem się tej rozpisce cen i stwierdziłem, że chyba pomyliły mi się czasy. Wydawało mi się, że żyjemy w 2016 roku, a nie w 1990, gdzie takie czynności jak wygenerowanie CSR i wgranie pliku z certyfikatem to za dużo dla przeciętnego użytkownika. Oczywiście rozumiem, że płaci się za to, że ktoś zrobi to za mnie, ale chyba różnica 100% między wgraniem certyfikatu kupionego w home.pl a swoim własnym to zdecydowanie za dużo. W tym też momencie załamałem się całkowicie.

 

Co postanowiłem zrobić? Uciekłem się do starego, dobrego „ja sam”. Kupiłem VPS w rootbox.com i w dwa dni przeniosłem wszystko czego potrzebowałem. SSL, Nginx, ZNC, shelle i wiele innych. Wniosek? Jeśli chcesz mieć zrobione dobrze – zrób to sam.

Akt IV – Podsumowanie

Wnioski z zaistniałej sytuacji są dosyć jasne. Lepiej zrobić coś całkowicie samemu, ewentualnie korzystając z pomocy realnych ludzi, a nie firm które twierdzą, że są liderem na rynku, a nie dostarczają podstawowych funkcjonalności. To smutne, że CI WIELCY LIDERZY NA RYNKU robią to, co robią, w tak zły i niechlujny sposób, wysysając przy tym każdą złotówkę od klienta.

Ciekawostki!

Jak już tak się przyglądałem home.pl, postanowiłem sprawdzić ile tak naprawdę wart jest ten SSL od nich. Skonfigurowałem więc na VPS-ie wszystko tak jak potrzebuje, postawiłem SSL-a, wgrałem certyfikaty i porównałem za pomocą Qualys SSL Labs. Oto wyniki:

Dla s-m-s.pl

sms1oraz home.pl

home3Koniec końców, chyba jednak wolę wszystko robić samemu. Przynajmniej wiem, że robię to dobrze, a jeśli zrobię źle – mogę to poprawić. A jaki stąd wypływa morał dla ludzkości i potomnych? Home.pl powinno się zamknąć – dalece odstaje od standardów hostingu, jakich jako potencjalny klient spodziewałbym się po nich. Mam nadzieję, że ten artykuł gdzieś tam dotrze do zarządu home.pl i wezmę się oni za adminów i resztę ludzi odpowiedzialnych za taki stan rzeczy.

P.S.: W tym miejscu warto wspomnieć, że gdyby się dobrze pobawić serwerami od AZ, można by było się dobrać do backupów baz klientów. Fakt, to tylko moje przypuszczenia, żadnego konkretnego pentestu nigdy nie było. Dzięki bogu, home.pl ma usera w chroocie.

Drogie Home.pl oraz AZ Sp. z o.o.!

Z wielka przyjemnością zweryfikowałbym wasze zabezpieczenia oraz dokładnie opisał wasze oferty. Gdyby tylko nie fakt, że moglibyście oskarżyć mnie o naruszenie bezpieczeństwa…

8 thoughts on “Z pamiętnika admina: Zosia Samosia robi migracje.

    • Admin wspomnianej przez Ciebie strony porzucił projekt. Poza tym zostały mu odebrane wszelakie dostepy z względu na naruszenia bezpieczeństwa jakich się dopuszczał.

  • Az.pl zostało bodajże w 2014 przejęte przez home.pl, a ten z kolei w 2015 przez niemieckie 1&1.
    Najlepszy śmiech jest, że home.pl ma wielu reselerów, którzy wdrażają swoje rozwiązania na tym co home dostarcza i to już w ogóle meksyk.

    „O Jezu! Ok, mamy 2016 rok. Używanie .htaccess sugeruje użycie Apache2”
    Oni korzystają z własnego rozwiązania, które bazuje na jakimś apaczu (daj boże żeby to była seria 2) i nazwali to IdeaWebServer/v0.80.2

  • Home.pl jest słabe, ale zupełnie niepotrzebnie jeździsz po .htaccess. Jeśli nie pasuje ci Apache, trzeba było zorientować się przed zakupieniem usługi jaki mają serwer.

    Z punktu widzenia hostingu, nieobsługiwanie .htaccess w produkcie dla masowego odbiorcy = samobójstwo. Spróbuj dać laikowi zainstalować WordPressa, Joomlę czy jakieś bardziej egzotyczne skrypty na serwerze bez obsługi .htaccess. Support zaleje fala ticketów „nie działa”.

    Spróbuj jakiegoś hostingu dla bardziej świadomych użytkowników, albo właśnie zarządzaj sam.

  • zeby nie byo home.pl == az.pl tylko troszke inna konfiguracja, te same serwery ten sam bok ;), co do htaccessa to w home jest idea i to nie patch tylko ich wlasny napisany od 0 serwer www. A jesli chodzi o ceny to jest to sporo ale mozesz to zrobic z panelu sam wiec chodzi poprostu zeby ludzie robili rzeczy sami a nie zawracali dup* bokowi.

  • Zabawny tekst. Już sam pomysł przeniesienia czegokolwiek na home sugeruje totalną amatorkę. Dyrdymały o obsłudze htaccess i wyższości nginxa nad apache tylko to potwierdzają. Ty na serio zajmujesz się administracją serwerów?

  • W zasadzie jak przeczytałem o home.pl to powinienem już przestać. Kto poważnie traktuje tę firemkę??? Chyba powinieneś znać opinie o nich, jeśli zajmujesz się security.

    Btw, ustawcie jakąś normalną czcionkę, w tej polskiej znaczki są zastępowane jakimś arialem czy coś…

  • Mimo to, iż w wielu poruszanych kwestiach podzielam opinię autora wyżej opublikowanego tekstu (jak mniemam, jeżeli ów przekazał to co rzeczywiście ma na myśli) to odnoszę wrażenie, że człowiek ten jest marnej jakości podróbką lusera zamiast — jak siebie nieudolnie próbuje kreować — sysadminem rodem z https://www.andrews.edu/~freeman/bofh/

    Warto dodać, że ta jest pierwszą przeczytaną przeze mnie treścią na SMS (sic!) PL i … ^D^D^D

    PS.
    http://dejavu-fonts.org/wiki/images/0/08/Families.png

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *