پاسخ : دومین سالگرد انتشار سامانه مدیریت مجازی ساز AutoVM (کنترل پنل VMware ESXI)
نقل قول:
نوشته اصلی توسط
Yas-Host
باسلام.
حرف شما بسیار صحیح است و بنده مشکلی با نحوه رمزنگاری شما در دیتابیس شما نداریم.
شما تمامی پسورد ها را در سرور خود بصورت One-Way ذخیره کرده اید و برای هر عملیاتی که از اسکریپت خودتان که بر روی یک دامنه نصب شده است به سرور شما درخواستی ارسال می شود.
در این درخواست یکی از پارامتر ها باید پسورد باشد / پسورد esxi , سپس شما با پسورد به سرور کاربر لاگین کنید / بدون پسورد شما نمی توانید به سرور کاربر لاگین کرده و عملیاتی انجام دهید.
شما برای انجام تمام عملیات ها در esxi نیازمند پسورد روت سرور کاربران می باشید
حال اگر شخصی به سامانه شما نفود کند و برای مدت چندین ساعت در سامانه شما بدون اینکه ردی از خود به جای بگذارد نفوذ کرده باشد و تمامی request های دریافتی را از سمت اسکریپت های نصب شده بر روی دامنه کاربران ذخیره کند شما جوابگو هستید حتی اگر request ها بصورت encrypt ارسال شوند اگر نفوذگر یک فرد ماهر باشد براحتی می تواند با استفاده از خواندن سورس سروری شما کل درخواست ها را decrypt کند.
حتی اگر request ها با استفاده از Private Key کد شوند یا ....
زمانی شما حرف از Open source میزنید یعنی تمام سورس برای همه واضح و روشن است و هیچ ارتباطی با سایت شما وجود ندارد اما در صورتی که وب سایت یا سرور های پشتیبانی شما داون شوند عملا تمامی سیستم ها از کار خواهند افتاد .(حال بفرمایید ما دهاا سرور داریم:دی)
بنده دیگر به این مبحث ادامه نخواهم داد امیدوارم سومین سالگرد خود را با تغییر روند سیستم خود جشن بگیرید.
با سلام
اسرار شما به جهت تخریب پلتفرم را نمی دانم (شاید شکست شما در راه اندازی پروژه مشابه دلیل آن باشد) اما ما برای شرکت های معتبر، نود داخلی به صورت ارتباط لوکال راه اندازی میکنیم. :)
جدا از این موضوع، بیشتر در ارتباط با رمزنگرای aes مطالعه بفرمایید.
موفق باشید
- - - Updated - - -
نقل قول:
نوشته اصلی توسط
mizbanwebhost
عدم كانفيگ صحيح !!!
پس بهتره با تصوير ياد آوري كنيم . يادتون بياد
طبیعتا همانطور که گفته شده است، هر نرم افزاری ممکن است با تداخل مواجه شود، اما همانطور که مشاهده می فرمایید آپدیت مورد مذکور منتشر شده است.
اشکال کار در کجا می باشد؟
- - - Updated - - -
نقل قول:
نوشته اصلی توسط
w.h.t
باسلام
اول از همه تبریک میگم شروع سال جدید موفقیت پروژه بزرگی که آغاز کردید و آرزو میکنم سال به سال پیشرفت کنید و نام برندتون سرتاسر جهان برسر زبانها باشه
و دوم
استارتر گرامی
از نظر بنده حقیر که خب تجربه کافی در این زمینه ندارم اما خب باتوجه به سوابق نزدیک به 13 ساله خودم در هاستینگ میخوام نظرم رو بیان کنم . از نظرم حرف جناب سنجری و دیگر همکاران درست هست . تمامی سرورها وابسته به سایت شما هستند و این یکی از بزرگ ترین دردسر ها برای شما و صاحبان سرور هست
کافیه فقط کوچیکترین دسترسی به سرور شما توسط هکری حرفه ای پیدا بشه . اون موقع هست که فاجعه ها به بار میاد . به شخصه اگر پسوردم به دست هکری بیوفته که اطلاعات کاربرانم به مشکل بخوره بدجور پیگیری قانونی میکنم و ... .
به نظر خودتون بهتر نیست با یک تغییر کوچیک در شیوه کد نویسیتون ، تمامی اقدامات رو در سرور خود کاربران پیاده کنید؟
در صورت کرک شدن سرور همکاران دیگر سرور ها مشکلی براشون پیش نمیاد ، اما اگر سرور شما به هر دلیلی هک بشه اطلاعات چندین سرور به باد میره
گوگل با اون همه عظمت هک شد . سی پنل هک شد . یاهو هک شد و... ، سرور های شما به نظرم خیلی راحت تر باشه هک کردنش تا سرورهای گوگل
بازم هرطور که خودتون صلاح میدونید
یک بار دیگه مجددا بهتون تبریک میگم
وقت خوش
با سلام و سپاس از ارائه نظر شما.
خیر همانطور که ذکر کردیم، تمامی رمز عبور ها به صورت دو رشته ذخیره میشوند و تنها راه دسترسی به پسورد سرور، هک شدن نود ما، به همراه هاست شما می باشد.
کارنامه سه ساله ما بدون بروز هیچ گونه اختلال امنیتی، نشان دهنده حساسیت ما به این موضوع است.
موفق باشید
نقل قول:
نوشته اصلی توسط
M.Abooali
بنده به صورت ناشناس محصول شما را بررسی و مانیتور کردم.
مدل فکری من متفاوت هست تو این حوزه و ممکن به کدهای سازندگان یک زبان برنامه نویسی هم ایراد بگیرم چه برسه شما، بنابراین این را رها می کنم. اما در مورد کانسپت برنامه ای که ساختید، به نظرم بیشتر مناسب افراد تازه کار یا ناوارد است.
میزان منابع اشغال شده و کند تر شدن روند کار در پشت صحنه در مقابل مزیت اتوماسیون فرایند ها اصلا مفهوم تسهیل را نمی دهد.
شما فقط ابزاری ایجاد کرده اید تا کسانی که تسلط کافی روی کار ندارند یا براشون انجامش سر سام آور است بتوانند راحت تر با این مجازی ساز کار کنند که در بسیاری موارد خود فرایندهای اتوماسیون شما نیز جای بهینه سازی داشت.
با این وجود، محصول و اقدام شما ارزشمند بوده و قطعا برای یک گروه از کاربران جالب و شاید حتی برای مقطعی کاربردی خواهد بود.
اما قطعا این یک راهکار، یک ابزار تسهیل کننده برای مدیریت یا چیزی شبیه آن نیست،
خصوصا برای کاربران یا همان مدیران سرور حرفه ای چه برسه برای کسب و کارهای متوسط یا بزرگ که صرفه پرفرمنس و منابع براشون الویت دارد.
فکر می کنم نیاز نیست وقتی محصولی را برای گروه خاصی از مشتریان ساخته ایم، در تبلیغات خود به اشتباه گروه دیگری از مشتریان را مصرف کننده خود معرفی کنیم.
آن هم 5 شرکت بزرگ رتبه اول تا دهم ... اصلا شما در جایگاهی هستید که چنین آماری از شرکت های فعال در زمینه مجازی سازی کشور داشته باشید؟ به جرات میگم با وجود این که ما هفته ای حداقل یک یا دو روز را مشغول مانیتور بازار و رقبا (همان تجسس از ایشان) هستیم باز جرات نداریم قاطع بگیم کدوم شرکت ها چه وضعی دارند و کشف جایگاه خودمان برامون چندان آسان نیست. کدوم شرکت هست که میتونه مدعی باشه جزو 10 شرکت اول هست؟
فکر می کنید دهمین رتبه کشور در حوزه مجازی ساز دارای چند مزرعه مجازی سازی هست؟ این سوال را جواب بدهید تا برای بنده روشن شود ذهنیت شما از شرکت های بزرگ جقدر به نتایج تحقیقات ما نزدیک است.
در ارتباط با مورد آخر، همانطور که به بسیاری از وب سایت های ایرانی اقدام به فروش لایسنس میکنیم، طبیعتا میتوانیم آمار درستی از تعداد سرور های هر شرکتی برخوردار باشیم.
خوشبختانه پلتفرم ما نه فقط برای کاربران داخلی، بلکه بیشتر در بازار خارج از کشور، مورد حمایت قرار گرفته است و موردی که فرمودید تنها کاربرد آن برای افراد ناوارد است، قضاوت آن را بر عهده دوستان میگذارم.
اشغال منابع نیز با انجام تغیراتی به راحتی برطرف می شود.
موفق باشید
پاسخ : دومین سالگرد انتشار سامانه مدیریت مجازی ساز AutoVM (کنترل پنل VMware ESXI)
نقل قول:
نوشته اصلی توسط
nikit
با سلام
اسرار شما به جهت تخریب پلتفرم را نمی دانم (شاید شکست شما در راه اندازی پروژه مشابه دلیل آن باشد) اما ما برای شرکت های معتبر، نود داخلی به صورت ارتباط لوکال راه اندازی میکنیم. :)
جدا از این موضوع، بیشتر در ارتباط با رمزنگرای aes مطالعه بفرمایید.
موفق باشید
از قدیم گفتند بگذار آب از آسیاب بیافته بعد ..
بعد از چند ماه اومدید پاسخ میدید؟ چطور اون روز پاسخ ندادید؟
اسرار؟ بارها دوستان و همکاران اعلام کردند "اصرار" صحیح است .
صدرصد اگر قرار باشد پروژه ای مانند پروژه شما اجرا شود همه فایل ها را در سرور کاربران قرار میدهیم امنیت کاربران را به خطر نمیندازیم و آپدیت هایی که شما طی یکسال برای کاربران خود فراهم کردید را در نسخه اول ارائه میکنیم چون طبق sdk که در لینک https://github.com/vmware/pyvmomi موجود می باشد تمامی ابزاری که شما در طول دوسال در حال ارائه آن بودید در این sdk برآورده گردیده است .
در رابطه با الگو رمزنگاری که ارائه کردید لطفا پیام بنده را نیز مجددا مطالعه کنید! بنده عرض کردم اگر یک نفر به شما نفوذ کند و کانکشن ها را رصد و request/response را مشاهده کند باز بدون هیچ مشکلی طی 24 ساعت می تواند تمامی دسترسی سرور ها را در اختیار بگیرد.
در رابطه با ارتباط لوکال نیز بله در جریان هستیم که با قرارداد بستن اقدام به ارائه سرویس به شرکت ها می کنید اما همان شرکت ها باید هر روز استرس داشته باشند که تصمیمات شما باعث ایجاد مشکل برایشان نشود.
موفق و پیروز
پاسخ : دومین سالگرد انتشار سامانه مدیریت مجازی ساز AutoVM (کنترل پنل VMware ESXI)
نقل قول:
نوشته اصلی توسط
Yas-Host
از قدیم گفتند بگذار آب از آسیاب بیافته بعد ..
بعد از چند ماه اومدید پاسخ میدید؟ چطور اون روز پاسخ ندادید؟
اسرار؟ بارها دوستان و همکاران اعلام کردند "اصرار" صحیح است .
صدرصد اگر قرار باشد پروژه ای مانند پروژه شما اجرا شود همه فایل ها را در سرور کاربران قرار میدهیم امنیت کاربران را به خطر نمیندازیم و آپدیت هایی که شما طی یکسال برای کاربران خود فراهم کردید را در نسخه اول ارائه میکنیم چون طبق sdk که در لینک
https://github.com/vmware/pyvmomi موجود می باشد تمامی ابزاری که شما در طول دوسال در حال ارائه آن بودید در این sdk برآورده گردیده است .
در رابطه با الگو رمزنگاری که ارائه کردید لطفا پیام بنده را نیز مجددا مطالعه کنید! بنده عرض کردم اگر یک نفر به شما نفوذ کند و کانکشن ها را رصد و request/response را مشاهده کند باز بدون هیچ مشکلی طی 24 ساعت می تواند تمامی دسترسی سرور ها را در اختیار بگیرد.
در رابطه با ارتباط لوکال نیز بله در جریان هستیم که با قرارداد بستن اقدام به ارائه سرویس به شرکت ها می کنید اما همان شرکت ها باید هر روز استرس داشته باشند که تصمیمات شما باعث ایجاد مشکل برایشان نشود.
موفق و پیروز
با سلام مجدد و تشکر از بابت تصحیح لغت بکار برده شده.
قبلا در ارتباط با موضوع pyvmomi برای شما داخل تلگرام توضیح دادیم و لزومی ندارد که هربار برای شما این موارد را تکرار کنیم. همانطور که گفته شد، SDK pyvmomi در زمانی که ما استارت برنامه نویسی پلتفرم را داشتیم، منتشر نشده بود و یا بسیار ساده تر از SDK فعلی بوده که جوابگوی پلتفرم ما نبوده، به همین دلیل ما SDK خودمان را راه اندازی کردیم.
در ارتباط با رمزنگاری، بارها نیز به شما توضیح داده شده است و دلیل کاسه داغ تر از آش شدن شما کاملا مشهود است. ما از روش رمزنگاری AES به همراه SHA256 استفاده میکنیم، در صورت نفوذ به سرور لایسنس ما و ایجاد هرگونه تغییر در سورس کد (حتی به مقدار 1 بایت) رشته کد تغییر یافته و با توجه به هماهنگی این بخش با کد لایسنس، هرگونه تغییر موجب غیر فعال سازی و عدم ارسال request از جانب پنل کلاینت می شود. چه بسا شما دسترسی روت به یکی از سرور های کلاینت و یا لایسنس را برخودار باشید نیز همچنان رمزعبور سرور ها غیر قابل دستیابی می باشد.
لطفا شما دلسوز شرکت های طرف قرار داد با ما نباشید. اگر چنین بود، شرکت طرف قرارداد، خود نگرانی اش را در این رابطه ابراز می کرد. لزومی به پیگیری از جانب شما نیست.
موفق باشید
پاسخ : دومین سالگرد انتشار سامانه مدیریت مجازی ساز AutoVM (کنترل پنل VMware ESXI)
نقل قول:
نوشته اصلی توسط
nikit
طبیعتا همانطور که گفته شده است، هر نرم افزاری ممکن است با تداخل مواجه شود، اما همانطور که مشاهده می فرمایید آپدیت مورد مذکور منتشر شده است.
اشکال کار در کجا می باشد؟
تصاوير در صفحه قبل براي شما ارسال شده است . اينكه دوباره مي پرسيد اشكال كار در كجا هست عجيب . راه كوچه علي چپ را پيش گرفتيد ؟ ميگيم نره ميگين بدوش ؟
طي 2 سال تست سرويس شما نتوانستيم 1 ماه بطور مداوم از سرويس شما استفاده كنيم و فقط هزينه لايسنس داديم !
هر بار آپديت داديد ، جاي ديگري از سيستم مشكل پيدا كرد .
يكبار گفتيد بايد نام سرور ها را طبق نظر شما تغيير دهيم !
يكبار گفتيد بله مشكل از سمت ما هست و قبول كرديد
يكبار گفتيد مشكل از سمت سرور شما هست !!!!!!!
هر بار به هر نحوي ....
اينكه مي فرماييد مشكل كار كجاست عجيبه . دو سال تيكت ما را مطالعه كنيد تا مشكل كارتون را بفهميد .
نمونه هاش را هم كه در همين تاپيك براي شما ارسال كردم
پاسخ : دومین سالگرد انتشار سامانه مدیریت مجازی ساز AutoVM (کنترل پنل VMware ESXI)
نقل قول:
نوشته اصلی توسط
nikit
با سلام مجدد و تشکر از بابت تصحیح لغت بکار برده شده.
قبلا در ارتباط با موضوع pyvmomi برای شما داخل تلگرام توضیح دادیم و لزومی ندارد که هربار برای شما این موارد را تکرار کنیم. همانطور که گفته شد، SDK pyvmomi در زمانی که ما استارت برنامه نویسی پلتفرم را داشتیم، منتشر نشده بود و یا بسیار ساده تر از SDK فعلی بوده که جوابگوی پلتفرم ما نبوده، به همین دلیل ما SDK خودمان را راه اندازی کردیم.
در ارتباط با رمزنگاری، بارها نیز به شما توضیح داده شده است و دلیل کاسه داغ تر از آش شدن شما کاملا مشهود است. ما از روش رمزنگاری AES به همراه SHA256 استفاده میکنیم، در صورت نفوذ به سرور لایسنس ما و ایجاد هرگونه تغییر در سورس کد (حتی به مقدار 1 بایت) رشته کد تغییر یافته و با توجه به هماهنگی این بخش با کد لایسنس، هرگونه تغییر موجب غیر فعال سازی و عدم ارسال request از جانب پنل کلاینت می شود. چه بسا شما دسترسی روت به یکی از سرور های کلاینت و یا لایسنس را برخودار باشید نیز همچنان رمزعبور سرور ها غیر قابل دستیابی می باشد.
لطفا شما دلسوز شرکت های طرف قرار داد با ما نباشید. اگر چنین بود، شرکت طرف قرارداد، خود نگرانی اش را در این رابطه ابراز می کرد. لزومی به پیگیری از جانب شما نیست.
موفق باشید
باسلام.
مطمئنا اینکه اگر یک رشته حتی 1 بایت نیز تغییر نکند را صدرصد اخیرا ممکن است اضافه کردید(در فرجه ای که در طول چند ماه گذشته بعد از اخرین پاسخ بنده داشته اید! چون چنین چیزی در سیستم شما وجود نداشته بوده است) این مدل نیز قابل دور زدن می باشد با اینکه شما می فرمایید حتی اگر سرور کاربر نیز نفوذ صورت بگیرد و سرور اصلی نیز دسترسی وجود داشته باشد باز هم هکر قابلیت دسترسی به سرور کاربر را ندارد بسیار تعجب آور است . زیرا دلیل مشخص است یک هکر می تواند براحتی کد هایی که شما برای وریفای قرار دادید را بردارد یا غیرفعال کند (از هر دو طرف).
بنده بار ها سوال خودم را بصورت آسان تر پرسیدم اما جواب قانع کننده ای دریافت نکردم . بنده عرض کردم در صورتی که به سرور شما نفوذ صورت بگیرد و request/response ها ذخیره شود چگونه عمل می شود؟ برای شنود نیاز به ویرایش کد های سمت سرور نیست فقط کمی دانش لینوکس نیاز است.
لطفا اطلاعات خود را ارتقا دهید و سناریو امنیتی خود را همیشه امن ندونید.
ما کاسه داغ تر آش نیستیم. در زمینه برنامه نویسی در هر زبانی نیز تخصص کافی داریم فقط به دنبال این هستیم شما با تغییرات در سیستم خود امنیت کاربران خود را ارتقا دهید . حال می توانید قبول کنید یا خیر.. در صورت نیاز به همکاری می توانیم بصورت رایگان نیز به شما راه حل هایی کامل ارائه کنیم.
https://github.com/vmware/pyvmomi-co...master/samples
تمامی Sample ها حداقل مربوط به 2 سال پیش بوده است پس زمانی شما استارت کار خود را زدید اکثر SDK ها موجود بوده است و ساده نبوده اند . استفاده از SDK موجود در سطح اینترنت کار اشتباهی نیست و اکثر برنامه نویس ها از آنها استفاده می کنند اما اینکه تمایل دارید سعی کنید تمامی کار را خودتان 0 تا 100 در حال انجام هستید کاری بس اشتباه است.
موفق و پیروز.
پاسخ : دومین سالگرد انتشار سامانه مدیریت مجازی ساز AutoVM (کنترل پنل VMware ESXI)
حالا که این تاپیک بالا اومده منم یه انتقاد بکنم .
ما روی یه سرور ایرانمون نزدیک به یک سال و نیم از این سرویس استفاده کردیم و حقیقا خیلی جاها کارمون رو راه انداخت .
(هنوزم کار راه اندازه واسمون) .
اومدیم سرور جدید از المان استفاده کردیم تیکت زدیم که یه لایسنس دیگه میخوایم .
با کمال تعجب پشتیبانشون فرمودن فقط لایسنس 2تایی میفروشیم !
در حالیکه ما یه دونه لایسنس واسه اون سرور دیگمون داشتیم !!!
اینجوریشو دیگه ندیده بودیم !
پاسخ : دومین سالگرد انتشار سامانه مدیریت مجازی ساز AutoVM (کنترل پنل VMware ESXI)
نقل قول:
نوشته اصلی توسط
Genral X2
رو سه تا هاستینگ مختلف سرور داشتیم رو پنل autovm هرکدوم یه مشکل یکی دستورات ریسیت و .... کار نمیکرد یکی سیستم عامل تعغیر نمیداد کلا دیگه موقع خرید اسم Autvm که میاد تب سایتو میبندم :|
vnc هم من هر جایی دیدم کار نمیکرده... البته شاید درست شده باشه.
پاسخ : دومین سالگرد انتشار سامانه مدیریت مجازی ساز AutoVM (کنترل پنل VMware ESXI)
نقل قول:
نوشته اصلی توسط
rezadindar2
vnc هم من هر جایی دیدم کار نمیکرده... البته شاید درست شده باشه.
برای vnc باید رنج پورت مورد نیاز رو روی esxi باز کنید.
پاسخ : دومین سالگرد انتشار سامانه مدیریت مجازی ساز AutoVM (کنترل پنل VMware ESXI)
نقل قول:
نوشته اصلی توسط
mizbanwebhost
تصاوير در صفحه قبل براي شما ارسال شده است . اينكه دوباره مي پرسيد اشكال كار در كجا هست عجيب . راه كوچه علي چپ را پيش گرفتيد ؟ ميگيم نره ميگين بدوش ؟
طي 2 سال تست سرويس شما نتوانستيم 1 ماه بطور مداوم از سرويس شما استفاده كنيم و فقط هزينه لايسنس داديم !
هر بار آپديت داديد ، جاي ديگري از سيستم مشكل پيدا كرد .
يكبار گفتيد بايد نام سرور ها را طبق نظر شما تغيير دهيم !
يكبار گفتيد بله مشكل از سمت ما هست و قبول كرديد
يكبار گفتيد مشكل از سمت سرور شما هست !!!!!!!
هر بار به هر نحوي ....
اينكه مي فرماييد مشكل كار كجاست عجيبه . دو سال تيكت ما را مطالعه كنيد تا مشكل كارتون را بفهميد .
نمونه هاش را هم كه در همين تاپيك براي شما ارسال كردم
با سلام و عرض احترام
بله نزدیک به چند بار ما هم هزینه پرداخت کردیم اما به نتیجه نرسیدیم، یکبار مشکل را به برنامه نویس ارجاع دادند، یکبار گفتند مشکل از سمت شماست ما مشتریانی مثل هاست ایران رو داریم به درستی کار می کنه، و مواردی این چنین که بارها تکرار شده
در پشتیبانی ، نصب و راه اندازی هنوز خیلی نواقص وجود دارد.
