Выпущен релиз надежного, защищенного и высокопроизводительного FTP сервера vsftpd 2.1.0 (http://vsftpd.beasts.org/). По сравнению с прошлым выпуском внесено около 100 изменений, из которых можно отметить:
- Улучшена и приведена в нормальный вид реализация поддержки SSL, добавлена опция implicit_ssl;- Изменено поведение работы ASCII режима, которое теперь совпадает с ProFTPd (в конце строк "\r\n" вместо "\r\r\n", как было сделано для совместимости с wu-ftpd);
- Добавлены обходные пути для нормальной работы ftp-клиентов не совсем соблюдающих стандарты;
- Сообщения в логе приведены к более аккуратному виду;
- Реализован корректный метод блокировки закачиваемых файлов, устранены проблемы проявляющиеся при попытках одновременной загрузки одного и того же файла;
- Для каждого процесса теперь по умолчанию выставлен лимит потребляемой памяти в 100 Мб;
- Из vsftpd rpm пакета из состава Fedora Linux в основную ветку интегрировано 12 патчей;
- Исправлены проблемы со сборкой в OpenBSD, Fedora Linux и на 64-разрядных платформах.
URL: http://vsftpd.beasts.org/
Новость: http://www.opennet.ru/opennews/art.shtml?num=20378
100 Мбайт ? Зачем процессу столько ?
>надежного, защищенного и высокопроизводительногоЭто в чистом виде рекламный слоган. Ребят, давайте пожалуйста без зомбирования мозга, а?
Пусть люди поюзают разные варианты и сами сравнят!З.Ы. А у него модульная структура (как у апача и профтпд) или только монолит?
>>надежного, защищенного и высокопроизводительного
>
>Это в чистом виде рекламный слоган. Ребят, давайте пожалуйста без зомбирования мозга,
>а?vsftpd один из редких продуктов, про которые так смело можно написать в новостях. Такие программы можно пересчитать по пальцам. Тоже самое пожалуй можно сказать только про postfix, nginx и popa3d.
Вот мой рейтинг на этот счет http://wiki.opennet.ru/SecurityTop
Кстати, автор vsftpd известный эксперт в области безопасности, вот список уязвимостей выявленных лично им: http://www.scary.beasts.org/security/
>[оверквотинг удален]
>>а?
>
>vsftpd один из редких продуктов, про которые так смело можно написать в
>новостях. Такие программы можно пересчитать по пальцам. Тоже самое пожалуй можно
>сказать только про postfix, nginx и popa3d.
>
>Вот мой рейтинг на этот счет http://wiki.opennet.ru/SecurityTop
>
>Кстати, автор vsftpd известный эксперт в области безопасности, вот список уязвимостей выявленных
>лично им: http://www.scary.beasts.org/security/Хочу привести цитату с http://wiki.opennet.ru/SecurityTop:
"Следует отметить, что данный список носит рекомендательный характер и отражает субъективное мнение автора и людей, вносящих в него изменения."
ну юзай профтпд, только прочитай про то, сколько раз его ломали
Pure-FTPd навсегда. Легкий, простой, и уж точно надежный и высокопроизводительный!
>Pure-FTPd навсегда. Легкий, простой, и уж точно надежный и высокопроизводительный!на x86_64 отказывался работать в active mode
баг-репорт в студию!
>баг-репорт в студию!Накой багрепорты постить для продукта который не используешь.
Тебе надо ты и пиши.
неправда, у меня например работает нормально.
>>Pure-FTPd навсегда. Легкий, простой, и уж точно надежный и высокопроизводительный!
>
>на x86_64 отказывался работать в active modeстранно, не знал
уже года 2 пользуюсь, а так и не заметил проблем
>Pure-FTPd навсегда. Легкий, простой, и уж точно надежный и высокопроизводительный!Умеет ли PureFTPd FTP+TLS ?
умеет
Перекодировку добавили в него или все так же убого отдает в той что есть на сервере?
>Перекодировку добавили в него или все так же убого отдает в той что есть на сервере?Будьте добры, ткните в RFC или что-нибудь аналогичное про использование в FTP не-ASCII.
>Перекодировку добавили в него или все так же убого отдает в той
>что есть на сервере?если нормальные серваки на UTF-8, то нет никаких проблем. перекодировка в убогие локали не нужна
>>Перекодировку добавили в него или все так же убого отдает в той
>>что есть на сервере?
>
>если нормальные серваки на UTF-8, то нет никаких проблем. перекодировка в убогие
>локали не нужнаБольшинство виндузятников хотят виндовую кодировку. ( например far )
А перекодировка давно есть и работает. не знаю правда в маинстрим или нет.
ставил тока патч для буквы "я"
> Большинство виндузятников хотят виндовую кодировку.Досовскую?
> ( например far )
для него написано два ftp-клиента. Один из них поддерживает кодировки.
>Большинство виндузятников хотят виндовую кодировку. ( например far )Если хотят - пускай ищут нормальные клиенты, а засирать код серверного по всяким гуано не надо.
Если FAR столь уныл — это горе.
Могу сказать одно, стандартный виндовый explorer нормально работал с vsftpd + UTF-8
>Перекодировку добавили в него или все так же убого отдает в той
>что есть на сервере?Это делается монтированием директории с помощью convmv.
>>Перекодировку добавили в него или все так же убого отдает в той
>>что есть на сервере?
>
>Это делается монтированием директории с помощью convmv.то есть, я заливаю в ftp файлик вася_жжет.txt
после подключаю директорию какую-то с помощью convmv а дальше что?
у меня такой вопрос:
починили правильную работу опции anon_umask?
>у меня такой вопрос:
>починили правильную работу опции anon_umask?Поподробнее можно? У меня всё работает как надо
anon_umask выставлен в конфиге, анонимы заливают файлы на сервер, но umask не срабатывает и заливает файлы только в виде -rw-------
>> Добавлены обходные пути для нормальной работы ftp-клиентов не совсем соблюдающих стандарты;-дыру открыли, молодцы
имхо, ProFTPd действительно классная вещь! Конфиг отменный! Что хочешь, то и делаешь, хоть "правой рукой левое ухо". vs и wu такого не могут..
Про безопасность.. Если честно, то в силу древности и незащищенности самого протокола FTP считаю, что вообще нет "безопасного" FTP сервера. Если нужна безопасность + FTP, то единственны вариант -ставить его за какой-нидь умный фаер типа CheckPoint со SmartDefense'ом..
А сам ftp сервер значит у себе подумать не может? Только чекпоинт нас спасет! Немного нелогично, вам не кажется - и там и там софт?
Можно пару примеров того, что НЕ может vsftpd?
>Можно пару примеров того, что НЕ может vsftpd?Человек что-то несмог сделать с софтом.
Софт чем то похож на девушек, вот не смог с девушкой, а другой смог (sic) :)
не может по IP фильтровать. конечно, это не его работа, но могли бы хоть какую нить функциональность такого типа реализовать.
это задолбали китайцы брутфорсить.
>не может по IP фильтровать. конечно, это не его работа, но могли
>бы хоть какую нить функциональность такого типа реализовать.
>это задолбали китайцы брутфорсить.Вы о pure-ftpd ?
я нажал "ответить" на посте "Можно пару примеров того, что НЕ может vsftpd?"
pf и rate-limit. И они самозабанятся на файрволе. И, предвидя следующий FR, скажу, что почту должен отсылать audit и ему подобные тулзы, а не FTP-сервер.
Нет виртуальных FTP пользователей как минимум.
Всем хорош но нету, приходиться использовать proftpd на хостинге 1 системный юзер = 1 ftp юзер не катит.
>Нет виртуальных FTP пользователей как минимум.Не правда. Есть. :)
есть. глючные тока.
>Нет виртуальных FTP пользователей как минимум.
>Всем хорош но нету, приходиться использовать proftpd на хостинге 1 системный юзер
>= 1 ftp юзер не катит.Правда, а как это у меня работает? ftp юзеров больше 700. А вот мой предшественник рассказывал как у него ломанули прошу несколько лет назад и как перевалочку для порнухи использовали. Может чего в проше и улучшили, но осадочек остался.
ну-ка покажите конфиг, запрещающий определенным виртуальным (локальным) юзерам удалять, переименовывать залитые файлики в proftpd?
<IfUser baduser>
<Limit WRITE>
DenyAll
</Limit>
</IfUser>м?
><IfUser baduser>
> <Limit WRITE>
>
> DenyAll
> </Limit>
></IfUser>
>
>м?запрет _писать_ ?
а запрет удалять, но писать?
<Limit DELE RMD XRMD RMDIR>
такой ненавязчивый PR чекпойнта =))))
>Про безопасность.. Если честно, то в силу древности и незащищенности самого протокола FTP считаю, что вообще нет "безопасного" FTP сервера.Вы ничего не понимаете в безопасности и вам не надо заниматься сисадминством. Вы профнепригодны.
Речь идет не о безопасности протокола, а о безопасности сервера, что разные вещи. Если у вас небезопасный протокол, вы всего навсего обходите аутентификацию или снимаете поток незащищенных данных. Если у вас небезопасный сервер, вы получаете вскрытие всей системы. Например, через повышение прав.
самый кайфовый по возможностям и простоте использования - pure-ftpd, жаль он уже почти два года не развивается :(
самый кайфовый по возможностям и простоте использования - pure-ftpd, жаль он уже почти два года не развивается :(
А что там развивать ?))
Вроде и так все есть.
раз ввели
"- Bring userlist_deny handling inside the max_login_fail accounting"
то, возможно и фильтрацию по ip(домену) введут. только - зачем? отключи в фаерволе стук с китайской подсети на порт, и ю а велкам. Зачем сервис-то нагружать?Кодировка нормальная работает после использования продукта с http://vsftpd.devnet.ru/rus/. А текущий проект не допилен. есть косяки при локальной авторизации с подключенным модулем виртуальных юзеров. Либо то - либо другое. Имеем косяк наложения прав - анонимусы могут делать все что им разрешено, не смотря на локально выданные запреты.
Добавлена приятная
" - Add cmds_denied option to complement cmds_allowed."
главное, чтоб работало без глюков.
Интересно как проект vsftpd.devnet.ru отреагирует и как быстро. На форуме у них пока что нет темы о новой версии vsftpd
>Интересно как проект vsftpd.devnet.ru отреагирует и как быстро. На форуме у них
>пока что нет темы о новой версии vsftpdуже есть. ответов администрации тока пока нет 8)
> Добавлены обходные пути для нормальной работы ftp-клиентов не совсем соблюдающих стандарты;Дожились блин. Пошла тенденция, когда дрова на видео карту затачивают под игры, щас в FTP-сервер втсавляют костыли ради корявых FTP-клиентов. Дальше то что будет?
то есть дожили? workaround'ы для ошибок в чужих программах - обычное дело.
А мне вот надо ограничить виртуального пользователя определенным IP.
файрвол не катит, поскольку в общем случае заливать могут откуда угодно.
Давеча вот пароль КИЕВа стырили у клиента и действительно перевал порнухи устроили.
Юзера убил, но вот уже 3 месяца как все одно ломятся.
Так хочется ограничить юзера IP которого известен именно этим IP.
Жаль vsftpd этого не умеет (или я не знаю как).
>А мне вот надо ограничить виртуального пользователя определенным IP.
>файрвол не катит, поскольку в общем случае заливать могут откуда угодно.
>Давеча вот пароль КИЕВа стырили у клиента и действительно перевал порнухи устроили.
>
>Юзера убил, но вот уже 3 месяца как все одно ломятся.
>Так хочется ограничить юзера IP которого известен именно этим IP.
>Жаль vsftpd этого не умеет (или я не знаю как).iptables -m string -h (или strings?)
>>А мне вот надо ограничить виртуального пользователя определенным IP.
>>файрвол не катит, поскольку в общем случае заливать могут откуда угодно.
>>Давеча вот пароль КИЕВа стырили у клиента и действительно перевал порнухи устроили.
>>
>>Юзера убил, но вот уже 3 месяца как все одно ломятся.
>>Так хочется ограничить юзера IP которого известен именно этим IP.
>>Жаль vsftpd этого не умеет (или я не знаю как).
>
>iptables -m string -h (или strings?)А если человек не имеет рутовых привиллегий?
Ну например клиент или друг имеют vsftpd на моем сервере.
Каждый раз писать админу с просьбой что-то поменять в фаерволле?Если другу доверяешь, то ещё можно подумать о sudo.
А если не настолько доверяешь или если клиент?