The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление FTP сервера vsftpd - 2.1.0

19.02.2009 20:11

Выпущен релиз надежного, защищенного и высокопроизводительного FTP сервера vsftpd 2.1.0. По сравнению с прошлым выпуском внесено около 100 изменений, из которых можно отметить:

  • Улучшена и приведена в нормальный вид реализация поддержки SSL, добавлена опция implicit_ssl;
  • Изменено поведение работы ASCII режима, которое теперь совпадает с ProFTPd (в конце строк "\r\n" вместо "\r\r\n", как было сделано для совместимости с wu-ftpd);
  • Добавлены обходные пути для нормальной работы ftp-клиентов не совсем соблюдающих стандарты;
  • Сообщения в логе приведены к более аккуратному виду;
  • Реализован корректный метод блокировки закачиваемых файлов, устранены проблемы проявляющиеся при попытках одновременной загрузки одного и того же файла;
  • Для каждого процесса теперь по умолчанию выставлен лимит потребляемой памяти в 100 Мб (на случай, если обнаружится утечка памяти);
  • Из vsftpd rpm пакета из состава Fedora Linux в основную ветку интегрировано 12 патчей;
  • Исправлены проблемы со сборкой в OpenBSD, Fedora Linux и на 64-разрядных платформах.


  1. Главная ссылка к новости (http://scarybeastsecurity.blog...)
  2. OpenNews: Релиз vsftpd 2.0.7.
  3. OpenNews: Возможности vsftpd и примеры их использования.
  4. OpenNews: Релиз vsftpd 2.0.6, быстрого и безопасного ftp-сервера.
  5. OpenNews: Вышел vsftpd 2.0.0, обзор изменений.
  6. vsftpd FAQ
Лицензия: CC-BY
Тип: Программы
Ключевые слова: ftp, vsftpd
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (54) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, PavelR (??), 23:23, 19/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    100 Мбайт ? Зачем процессу столько ?
     
  • 1.2, sheaxo (?), 23:24, 19/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >надежного, защищенного и высокопроизводительного

    Это в чистом виде рекламный слоган. Ребят, давайте пожалуйста без зомбирования мозга, а?
    Пусть люди поюзают разные варианты и сами сравнят!

    З.Ы. А у него модульная структура (как у апача и профтпд) или только монолит?

     
     
  • 2.23, Maxim Chirkov (ok), 10:36, 20/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>надежного, защищенного и высокопроизводительного
    >
    >Это в чистом виде рекламный слоган. Ребят, давайте пожалуйста без зомбирования мозга,
    >а?

    vsftpd один из редких продуктов, про которые так смело можно написать в новостях. Такие программы можно пересчитать по пальцам. Тоже самое пожалуй можно сказать только про postfix, nginx и popa3d.

    Вот мой рейтинг на этот счет http://wiki.opennet.ru/SecurityTop

    Кстати, автор vsftpd известный эксперт в области безопасности, вот список уязвимостей выявленных лично им: http://www.scary.beasts.org/security/

     
     
  • 3.58, XoRe (ok), 17:58, 24/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >>а?
    >
    >vsftpd один из редких продуктов, про которые так смело можно написать в
    >новостях. Такие программы можно пересчитать по пальцам. Тоже самое пожалуй можно
    >сказать только про postfix, nginx и popa3d.
    >
    >Вот мой рейтинг на этот счет http://wiki.opennet.ru/SecurityTop
    >
    >Кстати, автор vsftpd известный эксперт в области безопасности, вот список уязвимостей выявленных
    >лично им: http://www.scary.beasts.org/security/

    Хочу привести цитату с http://wiki.opennet.ru/SecurityTop:
    "Следует отметить, что данный список носит рекомендательный характер и отражает субъективное мнение автора и людей, вносящих в него изменения."

     

  • 1.3, anonymous (??), 23:42, 19/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ну юзай профтпд, только прочитай про то, сколько раз его ломали
     
  • 1.4, Аноним (-), 23:47, 19/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Pure-FTPd навсегда. Легкий, простой, и уж точно надежный и высокопроизводительный!
     
     
  • 2.5, HFSC (??), 23:50, 19/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Pure-FTPd навсегда. Легкий, простой, и уж точно надежный и высокопроизводительный!

    на x86_64 отказывался работать в active mode

     
     
  • 3.6, ононим (?), 23:56, 19/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    баг-репорт в студию!
     
     
  • 4.17, Ыку (?), 09:30, 20/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >баг-репорт в студию!

    Накой багрепорты постить для продукта который не используешь.
    Тебе надо ты и пиши.

     
  • 3.30, Аноним (30), 12:35, 20/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    неправда, у меня например работает нормально.
     
  • 3.40, Kolunchik (?), 15:01, 20/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>Pure-FTPd навсегда. Легкий, простой, и уж точно надежный и высокопроизводительный!
    >
    >на x86_64 отказывался работать в active mode

    странно, не знал
    уже года 2 пользуюсь, а так и не заметил проблем

     
  • 2.38, Keeper (??), 13:59, 20/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Pure-FTPd навсегда. Легкий, простой, и уж точно надежный и высокопроизводительный!

    Умеет ли PureFTPd FTP+TLS ?

     
     
  • 3.55, Аноним (-), 09:18, 22/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    умеет
     

  • 1.7, Аноним (30), 00:01, 20/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Перекодировку добавили в него или все так же убого отдает в той что есть на сервере?
     
     
  • 2.8, const86 (ok), 00:17, 20/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Перекодировку добавили в него или все так же убого отдает в той что есть на сервере?

    Будьте добры, ткните в RFC или что-нибудь аналогичное про использование в FTP не-ASCII.

     
  • 2.9, ононим (?), 00:30, 20/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Перекодировку добавили в него или все так же убого отдает в той
    >что есть на сервере?

    если нормальные серваки на UTF-8, то нет никаких проблем. перекодировка в убогие локали не нужна

     
     
  • 3.12, Johny (?), 03:44, 20/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>Перекодировку добавили в него или все так же убого отдает в той
    >>что есть на сервере?
    >
    >если нормальные серваки на UTF-8, то нет никаких проблем. перекодировка в убогие
    >локали не нужна

    Большинство виндузятников хотят виндовую кодировку. ( например far )

    А перекодировка давно есть и работает. не знаю правда в маинстрим или нет.
    ставил тока патч для буквы "я"

     
     
  • 4.15, Аноним (30), 08:19, 20/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > Большинство виндузятников хотят виндовую кодировку.

    Досовскую?

    > ( например far )

    для него написано два ftp-клиента. Один из них поддерживает кодировки.

     
  • 4.18, Ыку (?), 09:32, 20/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Большинство виндузятников хотят виндовую кодировку. ( например far )

    Если хотят - пускай ищут нормальные клиенты, а засирать код серверного по всяким гуано не надо.

     
  • 4.51, darkk (?), 18:16, 21/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Если FAR столь уныл — это горе.
    Могу сказать одно, стандартный виндовый explorer нормально работал с vsftpd + UTF-8
     
  • 2.47, anonymous (??), 02:33, 21/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Перекодировку добавили в него или все так же убого отдает в той
    >что есть на сервере?

    Это делается монтированием директории с помощью convmv.

     
     
  • 3.50, JaNet (??), 11:54, 21/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>Перекодировку добавили в него или все так же убого отдает в той
    >>что есть на сервере?
    >
    >Это делается монтированием директории с помощью convmv.

    то есть, я заливаю в ftp файлик вася_жжет.txt
    после подключаю директорию какую-то с помощью convmv а дальше что?

     

  • 1.10, ононим (?), 00:33, 20/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    у меня такой вопрос:
    починили правильную работу опции anon_umask?
     
     
  • 2.31, анонимус (?), 12:41, 20/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >у меня такой вопрос:
    >починили правильную работу опции anon_umask?

    Поподробнее можно? У меня всё работает как надо

     
     
  • 3.41, ононим (?), 15:12, 20/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    anon_umask выставлен в конфиге, анонимы заливают файлы на сервер, но umask не срабатывает и заливает файлы только в виде -rw-------
     

  • 1.13, plamya (??), 04:49, 20/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >> Добавлены обходные пути для нормальной работы ftp-клиентов не совсем соблюдающих стандарты;

    -дыру открыли, молодцы

    имхо, ProFTPd действительно классная вещь! Конфиг отменный! Что хочешь, то и делаешь, хоть "правой рукой левое ухо". vs и wu такого не могут..

    Про безопасность.. Если честно, то в силу древности и незащищенности самого протокола FTP считаю, что вообще нет "безопасного" FTP сервера. Если нужна безопасность + FTP, то единственны вариант -ставить его за какой-нидь умный фаер типа CheckPoint со SmartDefense'ом..

     
     
  • 2.14, deepwalker (??), 07:43, 20/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    А сам ftp сервер значит у себе подумать не может? Только чекпоинт нас спасет! Немного нелогично, вам не кажется - и там и там софт?
     
  • 2.16, 2xfaced (?), 08:58, 20/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Можно пару примеров того, что НЕ может vsftpd?
     
     
  • 3.19, Ыку (?), 09:35, 20/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Можно пару примеров того, что НЕ может vsftpd?

    Человек что-то несмог сделать с софтом.
    Софт чем то похож на девушек, вот не смог с девушкой, а другой смог (sic) :)

     
  • 3.25, Алексей (??), 11:19, 20/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    не может по IP фильтровать. конечно, это не его работа, но могли бы хоть какую нить функциональность такого типа реализовать.
    это задолбали китайцы брутфорсить.
     
     
  • 4.26, wertik (ok), 11:22, 20/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >не может по IP фильтровать. конечно, это не его работа, но могли
    >бы хоть какую нить функциональность такого типа реализовать.
    >это задолбали китайцы брутфорсить.

    Вы о pure-ftpd ?

     
     
  • 5.27, Алексей (??), 11:25, 20/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    я нажал "ответить" на посте "Можно пару примеров того, что НЕ может vsftpd?"
     
  • 4.45, GateKeeper (??), 00:02, 21/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    pf и rate-limit. И они самозабанятся на файрволе. И, предвидя следующий FR, скажу, что почту должен отсылать audit и ему подобные тулзы, а не FTP-сервер.
     
  • 3.28, Аноним (-), 12:32, 20/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Нет виртуальных FTP пользователей как минимум.
    Всем хорош но нету, приходиться использовать proftpd на хостинге 1 системный юзер = 1 ftp юзер не катит.
     
     
  • 4.29, 2xfaced (?), 12:34, 20/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Нет виртуальных FTP пользователей как минимум.

    Не правда. Есть. :)

     
     
  • 5.34, JaNet (??), 12:54, 20/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    есть. глючные тока.
     
  • 4.43, alexxx (??), 16:32, 20/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Нет виртуальных FTP пользователей как минимум.
    >Всем хорош но нету, приходиться использовать proftpd на хостинге 1 системный юзер
    >= 1 ftp юзер не катит.

    Правда, а как это у меня работает? ftp юзеров больше 700. А вот мой предшественник рассказывал как у него ломанули прошу несколько лет назад и как перевалочку для порнухи использовали. Может чего в проше и улучшили, но осадочек остался.

     
  • 2.35, JaNet (??), 12:57, 20/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    ну-ка покажите конфиг, запрещающий определенным виртуальным (локальным) юзерам удалять, переименовывать залитые файлики в proftpd?
     
     
  • 3.52, k (??), 19:20, 21/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    <IfUser baduser>
            <Limit WRITE>
                    DenyAll
            </Limit>
    </IfUser>

    м?

     
     
  • 4.53, JaNet (??), 20:08, 21/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    ><IfUser baduser>
    >        <Limit WRITE>
    >            
    >    DenyAll
    >        </Limit>
    ></IfUser>
    >
    >м?

    запрет _писать_ ?
    а запрет удалять, но писать?

     
     
  • 5.57, k (??), 16:52, 22/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    <Limit DELE RMD XRMD RMDIR>
     
  • 2.44, Добрый Дохтур (?), 23:00, 20/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    такой ненавязчивый PR чекпойнта =))))
     
  • 2.49, anonymous (??), 02:45, 21/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Про безопасность.. Если честно, то в силу древности и незащищенности самого протокола FTP считаю, что вообще нет "безопасного" FTP сервера.

    Вы ничего не понимаете в безопасности и вам не надо заниматься сисадминством. Вы профнепригодны.

    Речь идет не о безопасности протокола, а о безопасности сервера, что разные вещи. Если у вас небезопасный протокол, вы всего навсего обходите аутентификацию или снимаете поток незащищенных данных. Если у вас небезопасный сервер, вы получаете вскрытие всей системы. Например, через повышение прав.

     

  • 1.22, metallic (?), 10:21, 20/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    самый кайфовый по возможностям и простоте использования - pure-ftpd, жаль он уже почти два года не развивается :(
     
     
  • 2.24, wertik (ok), 11:05, 20/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    самый кайфовый по возможностям и простоте использования - pure-ftpd, жаль он уже почти два года не развивается :(


    А что там развивать ?))
    Вроде и так все есть.

     

  • 1.33, JaNet (??), 12:54, 20/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    раз ввели
    "- Bring userlist_deny handling inside the max_login_fail accounting"
    то, возможно и фильтрацию по ip(домену) введут. только - зачем? отключи в фаерволе стук с китайской подсети на порт, и ю а велкам. Зачем сервис-то нагружать?

    Кодировка нормальная работает после использования продукта с http://vsftpd.devnet.ru/rus/. А текущий проект не допилен. есть косяки при локальной авторизации с подключенным модулем виртуальных юзеров. Либо то - либо другое. Имеем косяк наложения прав - анонимусы могут делать все что им разрешено, не смотря на локально выданные запреты.

    Добавлена приятная
    " - Add cmds_denied option to complement cmds_allowed."
    главное, чтоб работало без глюков.

     
  • 1.36, baton (??), 13:13, 20/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно как проект vsftpd.devnet.ru отреагирует и как быстро. На форуме у них пока что нет темы о новой версии vsftpd
     
     
  • 2.37, JaNet (??), 13:26, 20/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Интересно как проект vsftpd.devnet.ru отреагирует и как быстро. На форуме у них
    >пока что нет темы о новой версии vsftpd

    уже есть. ответов администрации тока пока нет 8)

     

  • 1.39, Я (??), 14:51, 20/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Добавлены обходные пути для нормальной работы ftp-клиентов не совсем соблюдающих стандарты;

    Дожились блин. Пошла тенденция, когда дрова на видео карту затачивают под игры, щас в FTP-сервер втсавляют костыли ради корявых FTP-клиентов. Дальше то что будет?

     
     
  • 2.42, edo (ok), 15:23, 20/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    то есть дожили? workaround'ы для ошибок в чужих программах - обычное дело.
     
     
  • 3.54, Аноним (30), 08:57, 22/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    А мне вот надо ограничить виртуального пользователя определенным IP.
    файрвол не катит, поскольку в общем случае заливать могут откуда угодно.
    Давеча вот пароль КИЕВа стырили у клиента и действительно перевал порнухи устроили.
    Юзера убил, но вот уже 3 месяца как все одно ломятся.
    Так хочется ограничить юзера IP которого известен именно этим IP.
    Жаль vsftpd этого не умеет (или я не знаю как).
     
     
  • 4.56, Аноним (-), 11:06, 22/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >А мне вот надо ограничить виртуального пользователя определенным IP.
    >файрвол не катит, поскольку в общем случае заливать могут откуда угодно.
    >Давеча вот пароль КИЕВа стырили у клиента и действительно перевал порнухи устроили.
    >
    >Юзера убил, но вот уже 3 месяца как все одно ломятся.
    >Так хочется ограничить юзера IP которого известен именно этим IP.
    >Жаль vsftpd этого не умеет (или я не знаю как).

    iptables -m string -h (или strings?)

     
     
  • 5.59, XoRe (ok), 18:07, 24/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>А мне вот надо ограничить виртуального пользователя определенным IP.
    >>файрвол не катит, поскольку в общем случае заливать могут откуда угодно.
    >>Давеча вот пароль КИЕВа стырили у клиента и действительно перевал порнухи устроили.
    >>
    >>Юзера убил, но вот уже 3 месяца как все одно ломятся.
    >>Так хочется ограничить юзера IP которого известен именно этим IP.
    >>Жаль vsftpd этого не умеет (или я не знаю как).
    >
    >iptables -m string -h (или strings?)

    А если человек не имеет рутовых привиллегий?
    Ну например клиент или друг имеют vsftpd на моем сервере.
    Каждый раз писать админу с просьбой что-то поменять в фаерволле?

    Если другу доверяешь, то ещё можно подумать о sudo.
    А если не настолько доверяешь или если клиент?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру