Доступен корректирующий выпуск FTP-сервера vsftpd 3.0.1 (https://security.appspot.com/vsftpd.html), в котором устранены недоработки в реализации правил для sandbox-режима, изолирующего выполнение процесса с использованием seccomp-фильтра. Например, неочевидное обращение библиотечной функции qsort() к файлу /proc/meminfo при сортировке большого объема данных, а также необходимость обращения к системному вызову munmap(), приводили к краху процесса при попытке обработки директории с очень большим числом файлов. Кроме того, устранены связанные с seccomp проблемы со сборкой в некоторых версиях дистрибутивов CentOS и Debian, частично налажена сборка при указании опции "-Wconversion", исправлено несколько крахов при указании в файле конфигурации некорректных параметров.
URL: https://twitter.com/scarybeasts/status/247251749663031296
Новость: https://www.opennet.ru/opennews/art.shtml?num=34859
Торт! Если б не впилили в него http
>FTP
>ТортУ меня для Вас плохие новости.
FTP все еще используеться. И свои функции выполняет на отлично. Не нужно мне рассказывать про самбу, nfs и как большие файлы по http гонять...
>FTP все еще используетьсяРазве что, в говнохостингах.
>И свои функции выполняет на отлично.
Для протокола из 70-х годов прошлого века - наверное.
>самбу, nfs
Это сетевые ФС, что совсем другая опера.
>как большие файлы по http гонять
а тут что не так? кроме того, что голый ФТП плохо подходит для УПРАВЛЕНИЯ удаленными файлами, но эту проблему решает webdav.
>>как большие файлы по http гонять
> а тут что не так?большие накладные расходы (метаинформация в заголовках), HTTP/HTML не предназначен для раздачи файлов, особенности метода POST в HTTP.
>кроме того, что голый ФТП плохо подходит для УПРАВЛЕНИЯ удаленными файлами, но эту проблему решает webdav.
сравнил опу с пальцем. Тогда уж rsunc, да и то...
>большие накладные расходы (метаинформация в заголовках)разница в накладных расходах смехотворна и не настолько велика, как вы тыт рисуете.
>HTTP/HTMLПри чем тут HTML?
>не предназначен для раздачи файлов, особенности метода POST в HTTPвообще-то для заливки есть метод PUT. ну а забирать файлы с сервера, используя POST - это какой-то вообще какое-то особенное извращение.
> разница в накладных расходах смехотворна и не настолько велика, как вы тыт
> рисуете.т.е. разницу признаём. Ну хоть это)
> При чем тут HTML?
выводить "LIST" как будете?
>>не предназначен для раздачи файлов, особенности метода POST в HTTP
> вообще-то для заливки есть метод PUT. ну а забирать файлы с сервера,
> используя POSTт.е. метод PUT для заливки а POST для скачки? Или POST тоже для заливки? или вы ошиблись?
>выводить "LIST" как будете?http://api.yandex.ru/disk/doc/dg/reference/propfind.xml
Никаким HTML там и не пахнет.
>т.е. метод PUT для заливки а POST для скачки? Или POST тоже для заливки? или вы ошиблись?POST вообще ни для заливки, ни для скачивания не нужен. Совсем.
>>выводить "LIST" как будете?
> http://api.yandex.ru/disk/doc/dg/reference/propfind.xmlWebDav, HTML + XML. О майн гот.
> Никаким HTML там и не пахнет.
Ага, ага.
> POST вообще ни для заливки, ни для скачивания не нужен. Совсем.
POST вообще не нужен?
>>>выводить "LIST" как будете?
>> http://api.yandex.ru/disk/doc/dg/reference/propfind.xml
> WebDav, HTML + XML. О майн гот.
>> Никаким HTML там и не пахнет.
> Ага, ага.Покажите, где вы там HTML увидели?
>> POST вообще ни для заливки, ни для скачивания не нужен. Совсем.
> POST вообще не нужен?Заливки и скачивания файлов - не нужен. Скачивание - GET, заливка - PUT.
> Покажите, где вы там HTML увидели?пардон, возможность показалась необходимостью. Но XML ту вообще кстати. Эдакая systemd замена init'y. Под крики прогресс-прогресс впихивается какашко.
> Заливки и скачивания файлов - не нужен. Скачивание - GET, заливка -
> PUT.напиши в ietf.org/rfc, что POST не нужен, а то таких как я много, сидим тут и ошибаемся.
>> Покажите, где вы там HTML увидели?
> пардон, возможность показалась необходимостью. Но XML ту вообще кстати. Эдакая systemd
> замена init'y. Под крики прогресс-прогресс впихивается какашко.Чем плох xml, тем более, с такой схемой, в качестве средства маршаллинга метаданных?
>> Заливки и скачивания файлов - не нужен. Скачивание - GET, заливка -
>> PUT.
> напиши в ietf.org/rfc, что POST не нужен, а то таких как я
> много, сидим тут и ошибаемся.Вы читать умеете? Написано же ДЛЯ СКАЧИВАНИЯ/ЗАЛИВАНИЯ ФАЙЛОВ.
> Чем плох xml, тем более, с такой схемой, в качестве средства маршаллинга
> метаданных?Ооо, долгая тема) Короче говоря - синтаксис избыточен. Шняга весит много, больше раз в дцать, чем бинарное представление. Возрастают накладные ресурсы на хранение, обработку, передачу. Да и вообще, метаданные нах не нужны, для простых случаев, где очень годится FTP.
> Вы читать умеете? Написано же ДЛЯ СКАЧИВАНИЯ/ЗАЛИВАНИЯ ФАЙЛОВ.Так напишите им об этом, что для заливания данных - POST не подходит. Только PUT - заливка, GET - скачивание.
>> Чем плох xml, тем более, с такой схемой, в качестве средства маршаллинга
>> метаданных?
> Ооо, долгая тема) Короче говоря - синтаксис избыточен. Шняга весит много, больше
> раз в дцать, чем бинарное представление.При чем тут бинарное представление, если говорим о текстовых протоколах?
> Возрастают накладные ресурсы на хранение,
> обработку, передачу.Во-первых, накладные расходы, а не ресурсы.
Во-вторых, в случае WebDav xml нигде не хранится, это просто сериализованное представление метаданных.> Да и вообще, метаданные нах не нужны, для простых
> случаев, где очень годится FTP.Словно при работе по FTP не передаются метаданные (например, тот же размер файла).
>> Вы читать умеете? Написано же ДЛЯ СКАЧИВАНИЯ/ЗАЛИВАНИЯ ФАЙЛОВ.
> Так напишите им об этом, что для заливания данных - POST не
> подходит. Только PUT - заливка, GET - скачивание.Уже писано было. Я и говорю потому, внимательнее читайте.
> Заливки и скачивания файлов - не нужен. Скачивание - GET, заливка - PUT.
> При чем тут бинарное представление, если говорим о текстовых протоколах?даже в сравнении с другими текстовыми форматами.
> Во-первых, накладные расходы, а не ресурсы.
молодец) очепятку исправил с "во-первых". Смешно, ей богу)
> Во-вторых, в случае WebDav xml нигде не хранится, это просто сериализованное представление
> метаданных.хранится. И остаётся - обработка и передача.
> Словно при работе по FTP не передаются метаданные (например, тот же размер
> файла).в сравнении с http, а тем паче с прослойкой webdav - ftp прост как топор. А вы ему на замену предлагаете усложнённую, ненужную хрень, и мотивируете это каким-то сферическим прогрессом и меряетесь возрастом.
> Уже писано было. Я и говорю потому, внимательнее читайте.
Читал, там до сих пор пишут про POST и закачку данных. Вы недоработали, оставили столько людей в неведении.
>даже в сравнении с другими текстовыми форматами.Вот вы сначала тогда определитесь, а потом уже сравнивайте. И, почему-то меня не покидает уверенность, что разницу в "дцать" раз вы с потолка взяли.
>хранится
Ну и что же ХРАНИТСЯ в xml-формате на webdav-сервере?
>обработка
Это, конечно, просто охренеть, какое узкое место в IO-bound задачах.
>передача
А можно результаты тестов с различными кейсами?
>в сравнении с http, а тем паче с прослойкой webdav - ftp прост как топор
ну и опишите по шагам, какие команды надо послать серверу, чтобы забрать один или несколько файлов с него при любых условиях, не исключающих доступность сервера по 21 порту.
тогда и посмотрим на ваш "топор">Читал, там до сих пор пишут про POST и закачку данных.
Там пишут про пост для передачи информации о коллекциях, которые яволяются метаданными. Сами данные передаются через PUT.
>>даже в сравнении с другими текстовыми форматами.
> Вот вы сначала тогда определитесь, а потом уже сравнивайте.я сразу определился и сказал про бинарные. Тебе не понравилось - сказал и о других. Перечислю: YAML, JSON, гугловский protocolbuffers.
XML избыточен.> Там пишут про пост для передачи информации о коллекциях, которые яволяются метаданными.
> Сами данные передаются через PUT.А в этих ваших интернетах пишут: Применяется для передачи пользовательских данных заданному ресурсу. Например, в блогах посетители обычно могут вводить свои комментарии к записям в HTML-форму, после чего они передаются серверу методом POST и он помещает их на страницу. При этом передаваемые данные (в примере с блогами — текст комментария) включаются в тело запроса. Аналогично с помощью метода POST обычно загружаются файлы на сервер.
Почему такая несправедливость? Все незнают, а ты знаешь.
>>>даже в сравнении с другими текстовыми форматами.
>> Вот вы сначала тогда определитесь, а потом уже сравнивайте.
> я сразу определился и сказал про бинарные. Тебе не понравилось - сказал
> и о других. Перечислю: YAML, JSON, гугловский protocolbuffers.
> XML избыточен.Я все еще не вижу конкретных результатов сравнений между объемом передаваемых данных в WebDav и FTP.
>> Там пишут про пост для передачи информации о коллекциях, которые яволяются метаданными.
>> Сами данные передаются через PUT.
> А в этих ваших интернетах пишут: Применяется для передачи пользовательских данных заданному
> ресурсу. Например, в блогах посетители обычно могут вводить свои комментарии к
> записям в HTML-форму, после чего они передаются серверу методом POST и
> он помещает их на страницу. При этом передаваемые данные (в примере
> с блогами — текст комментария) включаются в тело запроса. Аналогично с
> помощью метода POST обычно загружаются файлы на сервер.
> Почему такая несправедливость? Все незнают, а ты знаешь.Почитайте уже RFC, наконец. POST для обрабатываемых на сервере данных, PUT - для необрабатываемых. Очевидно, что файлы в WebDav относятся ко второму типу. Как дам криворукие PHP-быдлокодеры делают, меня совершено не волнует.
> Я все еще не вижу конкретных результатов сравнений между объемом передаваемых данных
> в WebDav и FTP.возьми и убедись лично. Даже на локалке. Сниффер, ftp-сервер, webdav-сервер, и замеряй.
>> Я все еще не вижу конкретных результатов сравнений между объемом передаваемых данных
>> в WebDav и FTP.
> возьми и убедись лично. Даже на локалке. Сниффер, ftp-сервер, webdav-сервер, и замеряй.Ну не я же говорю о значительных накладных расходах. Вы заявляете - вы и проверяйте.
> Ну не я же говорю о значительных накладных расходах. Вы заявляете -
> вы и проверяйте.для меня очевидна очевидность накладных расходов webdav в сравнении с ftp. Объяснять тебе почему земля круглая не буду.
Насчёт круглой, кстати, можешь поспорить, если сказать нечего будет)))
>> Ну не я же говорю о значительных накладных расходах. Вы заявляете -
>> вы и проверяйте.
> для меня очевидна очевидность накладных расходов webdav в сравнении с ftp. Объяснять
> тебе почему земля круглая не буду.Если вам очевидно, тогда себе такие заявления и делайте, если же ведете беседу в другим человеком, то извольте подкреплять свои аргументы доказательствами.
> Если вам очевидно, тогда себе такие заявления и делайте,ну, вам неочевидно и вы заявления делаете. Мне очевидно, я тоже делаю. Не хочется слушать заявления - ты знаешь что делать :-P
> если же ведете беседу в другим человеком, то извольте подкреплять свои аргументы доказательствами.
мне кажется логичным что plain-text или binary-data менее избыточны по сравнению с раздутым xml. Если у тебя другое восприятие - то зачем тратить время на аргументы для тебя?
>У меня для Вас плохие новости.а что с ftp не так для его простых функций?
>>У меня для Вас плохие новости.
> а что с ftp не так для его простых функций?Про "простоту" фтп будете говорить, когда расскажете, как происходит по шагам работа клиента с сервером и как для этой работы надо нормально настроить фаерволы на них (и еще, например, до кучи у провайера стоит симметричный NAT).
> Про "простоту" фтп будете говорить, когда расскажете, как происходит по шагам работа
> клиента с сервером и как для этой работы надо нормально настроить
> фаерволы на них (и еще, например, до кучи у провайера стоит
> симметричный NAT).да, для того чтоб резать трафик надо настроить файерволл, и для ftp менее легко чем для http. И что? FTP стал менее прост?))
>> Про "простоту" фтп будете говорить, когда расскажете, как происходит по шагам работа
>> клиента с сервером и как для этой работы надо нормально настроить
>> фаерволы на них (и еще, например, до кучи у провайера стоит
>> симметричный NAT).
> да, для того чтоб резать трафик надо настроить файерволл, и для ftp
> менее легко чем для http. И что? FTP стал менее прост?))этот ваш безосновательно любимый ftp к современным сетям не приспособлен и проектировался под сети, которые были (или думали, что они такими будут, но, очевидно, не стали) в 70-х годах (как и SMTP, но на него вся почтовая инфраструктура завязана, а на FTP подобным образом ничего не завязано). Оставьте уже в покое дедушку.
> этот ваш безосновательно любимый ftp к современным сетям не приспособленОдин из протоколов сети не приспособлен к самой сети. Не городи чушь.
> Оставьте уже в покое дедушку.кушай кактус, "прогрессивный человек", а мы сами разберёмся что для каких нужд сойдёт.
>> этот ваш безосновательно любимый ftp к современным сетям не приспособлен
> Один из протоколов сети не приспособлен к самой сети. Не городи чушь.Внезапно! Сетевой протокол 40 летней давности не приспособлен к современным сетевым реалиям.
>> Оставьте уже в покое дедушку.
> кушай кактус, "прогрессивный человек", а мы сами разберёмся что для каких нужд
> сойдёт.Кактус - это FTP, и его-то я как раз не ем.
> Внезапно! Сетевой протокол 40 летней давности не приспособлен к современным сетевым реалиям.FTP не приспособлен к твоим внутренним фантазиям и реалиям :)
> Кактус - это FTP, и его-то я как раз не ем.
а других отговариваешь. Сам не ешь а все равно колет? :)
>> Внезапно! Сетевой протокол 40 летней давности не приспособлен к современным сетевым реалиям.
> FTP не приспособлен к твоим внутренним фантазиям и реалиям :)FTP не приспособлен к сетям, в которых почти каждый хост (будь то сервер или клиент) закрыт фаерволом. Потому используются костыли в виде l7-хелперов (а это плохоконтролируемая дыра в фаерволе). Вообще, протокол, для работы которого нужны костыли - это уже плохо пахнет, не находите?
Ну и по отдельному порту на каждого клиента (в активном режиме) тоже по нынешним меркам маразм еще тот.>> Кактус - это FTP, и его-то я как раз не ем.
> а других отговариваешь. Сам не ешь а все равно колет? :)Просто неприятно, когда кто-то у меня на глазах пожевывет кусок окаменелого г-на и еще нахваливает.
> FTP не приспособлен к сетям, в которых почти каждый хост (будь то
> сервер или клиент) закрыт фаерволом.это так весело - банально себя огораживать и жаловаться что все решения неудобны и не смягчают эту огороженность.
> Вообще, протокол, для работы которого нужны костыли - это уже плохо пахнет, не находите?А я думал, костыли - это фаер на каждый хост)) И пахнет это похлеще ftp.
> Просто неприятно, когда кто-то у меня на глазах пожевывет кусок окаменелого г-на и еще нахваливает.
ты страдаешь от своих ассоциаций?
>> FTP не приспособлен к сетям, в которых почти каждый хост (будь то
>> сервер или клиент) закрыт фаерволом.
> это так весело - банально себя огораживать и жаловаться что все решения
> неудобны и не смягчают эту огороженность.
> А я думал, костыли - это фаер на каждый хост)) И пахнет
> это похлеще ftp.Я даже и не знаю, что на подобные глупости ответить. Вы еще сложные пароли и разграничение привилегий костылями назовите.
> Вы еще сложные пароли и разграничение привилегий костылями назовите.нисколечки, но если ты за файер на каждый хост, и на каждом хосте сложные пароли и разграничение привилегий, и ftp для тебя проблема - то нельзя исключить что у тебя паранойя.
>> Вы еще сложные пароли и разграничение привилегий костылями назовите.
> нисколечки, но если ты за файер на каждый хост, и на каждом
> хосте сложные пароли и разграничение привилегий, и ftp для тебя проблема
> - то нельзя исключить что у тебя паранойя.А какой смысл фаерволить только некоторые хосты? Или у вас есть серверы-санатории для малвари специально без фаервола и без разграничения привилегий, чтобы бедняжкам было где разгулятся и отдохнуть от реалий жестокого мира?
И даже если фаервол стоит не на каждом хосте, он в таком случае есть на границе сети, что задачу не облегчает.
> А какой смысл фаерволить только некоторые хосты?а зачем фаервол с разграничением привилегий и усложнёнными паролями на КАЖДЫЙ хост, если только не тешить страдающую паранойю?
> И даже если фаервол стоит не на каждом хосте, он в таком
> случае есть на границе сети, что задачу не облегчает.какую задачу? Облегчить наступление паранойи? Задачу в любом случае фаервол не облегчит, хоть ты зондируй каждый хост. Бэкдоры, вирусы, уязвимости, банальная кража... Зачем зондировать каждый хост фаерволом, разграничивать привилении, ставить сложные пароли если это увеличит лишь перспективу и сложность, а не является панацеей? Мне видится файер на шлюзах, аппаратных начинках (in-the-middle) и т.д. Но зондировать КАЖДЫЙ хост и сетовать на ftp - это стопудов лоровских умов дело)))
>> А какой смысл фаерволить только некоторые хосты?
> а зачем фаервол с разграничением привилегий и усложнёнными паролями на КАЖДЫЙ хост,
> если только не тешить страдающую паранойю?Затем, чтобы снизить вероятность проникновения. Я еще раз спрашиваю, у вас разве есть ненужные серверы, которые вы готовы отдать под нужды малвари?
>> И даже если фаервол стоит не на каждом хосте, он в таком
>> случае есть на границе сети, что задачу не облегчает.
> какую задачу?Установить соединение по FTP
> Зачем зондировать каждый хост фаерволом, разграничивать привилении, ставить сложные пароли
> если это увеличит лишь перспективу и сложность, а не является панацеей?Судя по тому, что мне удалось понять из этого бреда про зондирующие фаерволы, увеличивающие перспективу, вы еще и совершенно не понимаете, что меры безопасности применяются комплексно и в защищаемых системах должно быть надежно ВСЕ, потому что защищенность определяется наиболее слабым звеном.
> Мне видится файер на шлюзах, аппаратных начинках (in-the-middle) и т.д. Но
> зондировать КАЖДЫЙ хост и сетовать на ftp - это стопудов лоровских
> умов дело)))Если хост торчит задницей в глобальную сеть, он должен быть зафаерволен. Точка.
И аппаратные сетевые фаерволы тоже, кстати, помешают вам использовать FTP.
> Затем, чтобы снизить вероятность проникновения. Я еще раз спрашиваю, у вас разве
> есть ненужные серверы, которые вы готовы отдать под нужды малвари?т.е. теперь, каждый хост - сервер?)) На который устанавливается фаер и разграничиваются привилегии?
> Если хост торчит задницей в глобальную сеть, он должен быть зафаерволен. Точка.
у вас каждый хост торчит задницей в глобальной сети?)) И сколько таких хостов?
>> Затем, чтобы снизить вероятность проникновения. Я еще раз спрашиваю, у вас разве
>> есть ненужные серверы, которые вы готовы отдать под нужды малвари?
> т.е. теперь, каждый хост - сервер?)) На который устанавливается фаер и разграничиваются
> привилегии?Даже если рабочая станция - тем более должен стоять фаервол и быть разграничены привилегии.
>> Если хост торчит задницей в глобальную сеть, он должен быть зафаерволен. Точка.
> у вас каждый хост торчит задницей в глобальной сети?)) И сколько таких
> хостов?Если сервер и клиент общаются через публичную глобальную сеть, обычно на маршруте будет фаервол, а обычно даже 2 (фаервол на сервере/границе сети, в котоой находится сервер и то же самое со стороны клиента).
> Даже если рабочая станция - тем более должен стоять фаервол и быть
> разграничены привилегии.только если твоя развивающаяся паранойя так нашёптывает.
> Если сервер и клиент общаются через публичную глобальную сеть, обычно на маршруте
> будет фаервол, а обычно даже 2 (фаервол на сервере/границе сети, в
> котоой находится сервер и то же самое со стороны клиента).А как же на сервере и клиенте? Тоже по фаеру и разграничить привилегии. И не забудь пароль состоящий из символов, цифр, букв верхнего и нижнего регистра и не меньше 12 знаков. И так на каждом, КАЖДОМ хосте))
>> Даже если рабочая станция - тем более должен стоять фаервол и быть
>> разграничены привилегии.
> только если твоя развивающаяся паранойя так нашёптывает.Если вам не мешает кража ваших данных, использование ваших компьютеров для рассылки спама/платформы для хакерских атак (с попаданием в дальнейшем в блэклисты) и переустановка всей системы с откатом на последний "чистый" бэкап после обнаружения руткитов, то дело ваше. Но другим людям это обычно не по вкусу.
>> Если сервер и клиент общаются через публичную глобальную сеть, обычно на маршруте
>> будет фаервол, а обычно даже 2 (фаервол на сервере/границе сети, в
>> которой находится сервер и то же самое со стороны клиента).
> А как же на сервере и клиенте?Я уже не раз говорила: либо на самих серверах/клиентах либо на границах сетей, в которых они находятся. В итоге трафик будет проходить фильтрацию минимум 2 раза в любом случае, если проходит через глобальную сеть (или даже через частную, если она достаточно сложная).
Читайте внимательнее.> Тоже по фаеру и разграничить привилегии.
Эээ... вы в своем уме? Сетевой фаервол не занимается разграничением локальных привилегий, это работа нескольких других подсистем.
> И не забудь пароль состоящий из символов, цифр, букв верхнего
> и нижнего регистра и не меньше 12 знаков.Обычно политики паролей предписывают использование любых трех из указанных вами групп символов при длине пароля не меньше 6-8.
> И так на каждом, КАЖДОМ хосте))Откройте для себя централизованную аутентификацию.
> Если вам не мешает кража ваших данных, использование ваших компьютеров для рассылки
> спама/платформы для хакерских атак (с попаданием в дальнейшем в блэклисты) и
> переустановка всей системы с откатом на последний "чистый" бэкап после обнаружения
> руткитов,мешает, но уходить в крайность не вижу смысла.
> Я уже не раз говорила: либо на самих серверах/клиентах либо на границах
> сетей, в которых они находятся.т.е. и на серверах, и на клиентах, и на границах сетей!)) И не забудь кроме этого про пароли и разграничение привилегий))
> Читайте внимательнее.
И тебе того же.
> Эээ... вы в своем уме? Сетевой фаервол не занимается разграничением локальных привилегий,
а кто говорил что фаером? Читайте внимательнее.
>> либо на самих серверах/клиентах либо на границах сетей, в которых они находятся.
> т.е. и на серверах, и на клиентах, и на границах сетей!))
>> Читайте внимательнее.нет уж, ты.
> неочевидное обращение библиотечной функции qsort() к файлу /proc/meminfo при сортировке большого объема данныхА сколько ещё подобных незамеченных проблем которые вылезут в бою из-за seccomp?
И что только не придумают лишь бы ssh не пользоваться...
> И что только не придумают лишь бы ssh не пользоваться...И что только не напишут лишь бы не читать
Слово "sandbox" нынче стало популярным.
Оно было еще в детстве популярным =)
> Доступен корректирующий выпуск FTP-сервера vsftpd 3.0.1Снова устроили ненужную перепалку.
FTP - кому то нужен, кому то нет.
Все.
А разработчики молодцы.
И пусть будет.
Спасибо.