The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Fedora предложили перевести протокол SCP в разряд устаревших

06.11.2020 16:42

Якуб Елен (Jakub Jelen), инженер по обеспечению безопасности из компании Red Hat, предложил перевести протокол SCP в разряд устаревших. SCP концептуально близок к протоколу RCP и наследует фундаментальные архитектурные проблемы, которые являются источником потенциальных уязвимостей.

В частности, в SCP и RCP решение о том, какие файлы и каталоги отправить клиенту принимает сервер, а клиент следует предписанию сервера и лишь проверяет корректность возвращённых имён объектов. При подключении к серверу, подконтрольному злоумышленнику, сервер может выдать другие файлы, что уже не раз приводило к выявлению уязвимостей. Например, до недавних пор клиент лишь проверял соблюдение текущего каталога, но не учитывал, что сервер мог выдать файл с другим именем и перезаписать файлы, которые не были запрошены (например, вместо запрошенного "test.txt" сервер может передать файл с именем ".bashrc" и он будет записан клиентом).

Другой проблемой протокола SCP является особенность обработки аргументов. При копировании файлов на внешний сервер путь к файлу добавляется в конец локальной команды scp, например при выполнении команды "scp /sourcefile remoteserver:'`touch /tmp/exploit.sh`/targetfile'" на сервере будет выполнена команда "touch /tmp/exploit.sh" и создан файл /tmp/exploit.sh, поэтому важно использовать корректное экранирование символов в scp. При использовании scp для рекурсивной передачи содержимого каталогов (опция "-r") в файловых системах, допускающих использование символа '`' в именах файлов, атакующий может создать файл с апострофами и организовать выполнение своего кода. В OpenSSH указанная проблема остаётся неисправленной, так как её проблематично устранить без нарушения обратной совместимости, например, некоторые пользователи используют запуск команд для проверки наличия каталога перед копированием.

Прошлые обсуждения показали, что scp в большинстве случаев применяется для копирования файлов с одной системы на другую. При этом многие используют scp вместо sftp из-за более простого и очевидного интерфейса для копирования файлов или просто в силу привычки. Якуб предлагает задействовать по умолчанию переделанную реализацию утилиты scp, переведённую на использование протокола SFTP (для каких-то особых случаев в утилите предусмотрена опция "-M scp" для отката на протокол SCP), или добавить в утилиту sftp режим совместимости, позволяющий использовать sftp в качестве прозрачной замены scp.

Из ограничений предложенного подхода упоминается невозможность обмена данными с серверами, не запускающими подсистему sftp, и отсутствие режима передачи между двумя внешними хостами с транзитом через локальный хост (режим "-3"). Некоторые пользователи также отмечают небольшое отставание SFTP от SCP по пропускной способности, которое становится более заметным на плохих соединениях с большими задержками.

Для тестирования в репозиторий copr уже помещён альтернативный пакет c openssh, в котором применён патч с реализацией утилиты scp поверх протокола SFTP.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Релиз OpenSSH 8.3 с устранением уязвимости в scp
  3. OpenNews: Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP
  4. OpenNews: Уязвимость в SSH-клиентах OpenSSH и PuTTY
  5. OpenNews: Выпуск SFTP-сервера SFTPGo 1.0
  6. OpenNews: Релиз OpenSSH 8.4
Лицензия: CC-BY
Тип: Тема для размышления
Короткая ссылка: https://opennet.ru/54039-scp
Ключевые слова: scp, sftp, ssh, fedora
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (142) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Дурка (?), 17:43, 06/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +20 +/
    > инженер по обеспечению безопасности из компании Red Hat, предложил
    > в репозиторий copr уже помещён альтернативный пакет c openssh

    так и надо  написать: шляпа планирует дропнуть протокол. а то ведь не каждый "предложил" может похвастаться что его предложения "уже" в репозитории тестируют

     
     
  • 2.22, Аноним (22), 18:16, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • –13 +/
    А вы как работаете? Неужели ваш груплидер вас не имеет в хвост и гриву. Необходимо изгиляться и извращаться предлагая улучшения продукта или вылетишь в этом квартале с голой попой на мороз. Приходится человеку доказывать что он не лузер цеплясь зубвми за повышение и не только зряплаты.
     
  • 2.73, Улька (?), 21:57, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Очевидно же, что эти детские проблемы на раз-два чинятся, но нет - живьем закапывают.

    P.S. литнеграм на заметку: чем больше в подобных "новостях" серьезной воды, тем очевиднее реальная их суть.

     
     
  • 3.89, Ordu (ok), 00:06, 07/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нет, не очевидно Ты сам подумай Во-первых, список файлов Но список файлов мож... большой текст свёрнут, показать
     
     
  • 4.135, Аноним (135), 01:09, 14/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > промеж файлов могут быть ссылки.

    Не так страшны ссылки как их малюют дилетанты.

    > Во-вторых, интерпретация имён файлов на стороне сервера. Насколько это нужная штука в scp и зачем она там?

    Ordu, а Вы, вообще, вменяемый?
    Сервер *не может* не интерпретировать имена файлов! как и клиент.
    Если клиент перезаписывает существующие имена, либо пишет их в непредназначенный каталог, то это ошибка в клиенте.

    "непредназначенный каталог" - это все что мимо cd /каталог/предназначенный/для/приема_файлов
    Хочешь перезаписать - добавь ключик --force.

     
     
  • 5.142, Ordu (ok), 09:03, 14/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Сервер *не может* не интерпретировать имена файлов! как и клиент.

    Так ли необходимо распознавать в именах файлов конструкции 'rm -rf ~/*' и интерпретировать их?

     

  • 1.3, Аноним (3), 17:43, 06/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –16 +/
    Вообще, я не припомню когда последний раз видел в дикой природе -- всё больше rsync используется. Ещё fish был, потому что в mc при подключении к ssh он, а так везде и всегда rsync.
     
     
  • 2.10, daemontux (?), 17:55, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +18 +/
    Rsync есть не всегда и не на всех системах. Да и единичные файлы дергать по scp удобно.

     
     
  • 3.12, Аноним (3), 18:00, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Наверно большинство пользователей scp на самом деле используют sftp, иного объяснения у меня нет. В таком случае, никаких проблем. А fish удобно в kde и mc использовать -- можно посмотреть файлы и выбрать нужный.
     
     
  • 4.20, daemontux (?), 18:07, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Sftp удобно открывать когда нужно много чего скопировать или используешь какой нибудь фм. А если сидишь в консоли и нужно скопировать то что известно где лежит то проще scp дёрнуть. Но я думал что scp в качестве транспорта sftp  использует. А оказалось что нет :(
     
     
  • 5.21, Аноним (3), 18:15, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Выглядит ненадёжно, rsync хотя бы старается не пролюбить данные в процессе. У меня с некоторых пор пунктик на тему повреждённых данных (в идеале нужно ещё и верифицировать дополнительно после перезагрузки, но мне каждый раз лень тратить на это время).
     
     
  • 6.39, CrazyAlex (?), 19:52, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это называется паранойя
     
     
  • 7.52, JL2001 (ok), 20:53, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Это называется паранойя

    если у вас паранойя - это не значит, что за вами не следят

     
  • 7.55, пох. (?), 21:06, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Глупость это называется. Испортить файлы при передаче криптографически-стойким протоколом можно, но ровно при тех же условиях, при которых "rsync старается" бестолку.

    Варианта сверки хэшей при этом никто не отменял, особенно для очень больших или очень ценных файлов, поскольку портиться битики могут, внезапно, уже после передачи - или до ее начала.

     
     
  • 8.68, Аноним (3), 21:28, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так именно поэтому и rsync -- он может верифицировать файлы не только в процессе... текст свёрнут, показать
     
     
  • 9.76, пох. (?), 22:10, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    и чаще всего - даром жрет при этом ресурсы Потому что работает поверх ssh, вне... большой текст свёрнут, показать
     
     
  • 10.77, Аноним (3), 22:24, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Как ещё ты предлагаешь бороться с бит флипом Знаешь ли можно прочитать не то и ... текст свёрнут, показать
     
     
  • 11.78, пох. (?), 22:27, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    покинуть секту свидетелей битфлипа Ты его в своей жизни с высочайшей вероятност... текст свёрнут, показать
     
     
  • 12.79, Аноним (3), 22:34, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну например если один из твоих многотерабайтных архивов побился в процессе, это ... текст свёрнут, показать
     
     
  • 13.101, пох. (?), 16:12, 07/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    нет Это с высочайшей вероятностью не будет замечено никем, никогда и ни при как... текст свёрнут, показать
     
     
  • 14.106, Аноним (3), 18:01, 07/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Как узнать, повредилась сегодняшняя версия, или вчерашняя Да если у нас не btrf... текст свёрнут, показать
     
  • 12.80, Аноним (3), 22:35, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А ещё бывает неисправная память, с ней разнообразные ошибки случаются постоянно ... текст свёрнут, показать
     
     
  • 13.102, пох. (?), 16:13, 07/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    это просто отличный вариант для бэкапа, ну конечно же ... текст свёрнут, показать
     
     
  • 14.107, Аноним (3), 18:06, 07/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну заранее ведь не знаешь Чем больше раз перепроверишь, тем меньше риск остатьс... текст свёрнут, показать
     
     
  • 15.111, пох. (?), 20:03, 07/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Знаешь Вероятность мизерная, на исправной аппаратуре На неисправной вероятнее ... большой текст свёрнут, показать
     
  • 12.81, Аноним (3), 22:53, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Кроме того бывает контроллер посыпался 8230 Нет, знаешь, я, пожалуй, буду испо... текст свёрнут, показать
     
  • 6.97, Licha Morada (ok), 06:27, 07/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > в идеале нужно ещё и верифицировать дополнительно после перезагрузки,

    Да. Но это без связи с копированием данных по сети.
    Например https://wiki.debian.org/CheckingDebsums

    > но мне каждый раз лень тратить на это время

    Лень в неправильном месте. Собственно верификацию легко автомаризировать. Интересно становится, когда верификацалка радостно рапортует "с прошлого раза поменялись такие-то файлы", и надо решать что с этим делать. Они же могли и вполне легально поменяться.

     
     
  • 7.108, Аноним (3), 18:14, 07/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это не так просто всё же. Затраты времени людей, затраты машинного времени, потенциальные внезапные траты на анализ и исправление проблем, вероятные ошибки самого разного толка. Одно время я применял par2 как дополнительную меру, вроде пару раз даже пригодилось. Но это тоже в отрыве от "космические лучи нам нагадили в тапки".
     
  • 2.70, nomad__ (ok), 21:45, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вообще, я не припомню когда последний раз видел в дикой природе -- всё больше rsync используется. Ещё fish был, потому что в mc при подключении к ssh он, а так везде и всегда rsync.

    ну я, например, пользуюсь. Потому что rsync ставить лень.

     

  • 1.4, InuYasha (??), 17:44, 06/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +16 +/
    То чувство, когда узнаёшь, что ездил на пороховой бочке каждый день.

    > например, вместо запрошенного "test.txt" сервер может передать файл с именем ".bashrc" и он будет записан клиентом

    (O_o) т.е. при scp /root/kittens.jpg я могу получить по сети незаметно новую систему? классно.

     
     
  • 2.13, daemontux (?), 18:02, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Странно что из openbsd это ни кто не предложил раньше.  Раз уж в опенке пилят tmux, bgp, smtp и др., то могли бы из замену scp сделать. А там бы  уже растащили по др реалезациям.
     
     
  • 3.30, m.makhno (ok), 18:57, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    что странного? openbsd у нас оплот света в тёмном современном мире IT, носитель здравых идей? или просто знамя, объединяющее изобретателей велосипедов, отягощенных поиском фатальных недостатков в существующих и (немаловажно) работающих концепциях?
     
     
  • 4.40, Аноним (40), 19:55, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А можно для тупых уточнить. Ладно когда что-либо меняют просто потому что. Но тут же возможность создавать и перезаписывать файлы, да еще и выполнение команд. По-моему отличный вариант - заменить. Что я не так понял?
     
     
  • 5.61, 1 (??), 21:12, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Сабж вообще не при делах, речь о том, что некие любители похэйтить линукс используют ровно тоже ре-шето и молчат в тряпочку. А вообще я хз что это за scp всю жись ssh использовал, полагаю тяжОлое насление тех самых бсд и прочих тру-юникс.
     
  • 5.75, пох. (?), 22:01, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > По-моему отличный вариант - заменить. Что я не так понял?

    что если "отличный вариант" только заменить тормозным дерьмом с bloated-протоколом для нескучной эмуляции ftp (кривой и бесполезной) - то что-то с этим отличным вариантом не так.

    Возможно он отличный от хорошего, а с такими руками не стоило и браться.

     
     
  • 6.99, ызусефещк (?), 11:36, 07/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    SFTP это не FTP в обертке как ftps, это нормальный современный протокол
     
     
  • 7.100, пох. (?), 12:11, 07/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет, это кривой рукожопый косплей ftp как его поняли и "улучшили" модные-современные разработчики (вероятно видевшие исключительно в агитках гугля "как все там неправильно", поэтому пропустившие и fxp, и on-the-fly archiving и много чего еще).
    Ничего нормального в нем нет - что и доказывает тормознутость в сравнении с банальным scp 1996 года разработки. Авторам ftp такое "достижение" и не снилось - казалось бы - ну как?!
     
     
  • 8.130, chmodder (?), 13:59, 10/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я правильно понимаю, что вы сейчас FTP хвалите Тот самый FTP в котором нужно на... текст свёрнут, показать
     
     
  • 9.136, Аноним (135), 01:30, 14/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Если у вас возник вопрос Я правильно понимаю это означает что вы не соотв... текст свёрнут, показать
     
  • 8.146, nuclight (??), 00:06, 23/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    По пунктам, где sftp - вот совершенно не похож на ftp Скорее, уж на Plan9 боль... текст свёрнут, показать
     
  • 7.109, псевдонимус (?), 18:59, 07/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > SFTP это не FTP в обертке как ftps, это нормальный современный протокол

    Похоже слова "хороший" и "современный" в айти-мире скоро станут антонимами.

    Тяп-ляп и шифрование сбоку :-(

    Производительность и эффективность не важны, железо дешёвое, "закон" Мура (кстати, где он?) и ты.пы. Печаль :-(

    Потом ещё клеймят людей, не желающих обновлять рабстанции.

    Первая мысль при необходимости обновиться: "что сломали на этот раз?"

     
  • 6.133, Аноним (40), 19:37, 12/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так, падажжи, но ведь если по теореме Эскобара, то решение-то какое?
     
     
  • 7.134, пох. (?), 12:38, 13/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Так, падажжи, но ведь если по теореме Эскобара, то решение-то какое?

    Известно, какое - растить коку на погибель мирового империализма, стать миллиардером и почти святым.

    Главное - с телефоном поаккуратнее, хотя и не поможет.

     
  • 2.17, eugener (ok), 18:05, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Там сказано "до недавних пор". Незнаю насколько недавних, но во всяком случае сейчас проверяет, см. ключ -T в man-е.
     
     
  • 3.113, Аноним (113), 20:36, 07/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >5 лет назад как минимум. У меня OpenSSH_6.6 от Jan 2014, это когда я последний раз обновлялся. И ключ -T у scp уже был.
     

  • 1.6, Аноним (6), 17:51, 06/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Для тестирования в репозиторий copr уже помещён альтернативный пакет c openssh, в котором применён патч с реализацией утилиты scp поверх протокола SFTP.

    Это хорошо, если саму утилиту scp оставят: она все же очень удобная. Еще лучше, если бы какое-то время новая реализация умела подключаться к серверам без sftp тоже.

     
  • 1.8, Аноним (8), 17:53, 06/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +17 +/
    *данные_удалены*, инженер по обеспечению безопасности из компании *данные_удалены*, предложил перевести протокол SCP в разряд устаревших.
     
     
  • 2.15, EuPhobos (ok), 18:04, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Проект закрыт, все монстры умерли от старости.
     
     
  • 3.36, Armagor (??), 19:32, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Все монстры перешли на руководящие должности, содержание провалено, [данные удалены], сопротивление бесполезно.
     

  • 1.9, Аноним (9), 17:54, 06/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    а COPR - это они на что намекают?
     
     
  • 2.34, Аноним (34), 19:23, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Там ещё логотип характерного цвета
     
  • 2.58, псевдонимус (?), 21:08, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > а COPR - это они на что намекают?

    На то самое. Не стесняются даже.

     

  • 1.11, iPony129412 (?), 17:59, 06/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    прям стыдно стало...
    постоянно использую 😮
     
     
  • 2.26, Аноним (26), 18:26, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Используешь устаревшие технологии?
    ФФФУУУУУУУ!!!
     
  • 2.37, Андрей (??), 19:39, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Поддерживаю.
    Не просто пользуюсь каждый день, а по десятку раз. Именно так - "удобно копировать единичные файлы".
     

  • 1.14, nrndda (ok), 18:03, 06/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Только сегодня по работе копировал файлик ~180ГБ. Сначала попробовал с помощью sftp, получил ~10МБ/с и почти 5 часов. Запустил через scp и скопировал за 40 минут со скоростью ~60МБ/с. Нафиг нужен такой sftp...
     
     
  • 2.43, Аноним (43), 20:25, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Попробуйте rcp. У меня упёрся в шпиндели на 600 Мб/сек.
     
     
  • 3.56, JL2001 (ok), 21:06, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Попробуйте rcp. У меня упёрся в шпиндели на 600 Мб/сек.

    https://www.opennet.ru/openforum/vsluhforumID3/122347.html#24

     
     
  • 4.82, Аноним (43), 22:58, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И чё? Вот у меня была вполне себе практическая задача скопировать около 26Тб по 10Гбит сетке как можно оперативнее. rcp упёрся в шпиндели, остальные популярные решения - в свой код и, местами, в процессор. Потребность в безроасности тупо преувеличена.
     
     
  • 5.129, Аноним (129), 13:45, 10/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Было бы наверняка проще на харды скопировать и переставить ручками в нужный сервер.
     
     
  • 6.137, Аноним (135), 01:37, 14/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Там чел говорит - "rcp упёрся в шпиндели".

    Неужели при подключенном диске у него шпиндели быстрее?
    Надо будет поэкспериментировать.

    PS. а, блин, не получиться. В серверную пропуск/допуск/анализ на яицеглист/не собираешься скоро уволиться оформлять.

     
  • 3.94, nrndda (ok), 05:39, 07/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Увы, не подходит. Если на рабочую машину я ещё смогу поставить, то на сервер, на который копировал, не разрешат. В этом ещё одно преимущество и scp, и sftp перед другими решениями. Они есть практически везде.
     
  • 2.66, PnD (??), 21:22, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Гм. Если по дороге проблемный канал (может отвалиться), я бы предпочёл rsync с докачкой (--append-verify).
    А так, "ssh host -- cat /path/to/src > /path/to/dst"
    Если сеть узкая, тут же можно и пожать. А если нужно много чего, есть tar.
    И никаких сюрпризов от scp. Всё явно расписано.

    С той стороны что-то очень слабое? Можно подкрутить шифры, вплоть до "выкл". Или лить через netcat|nc  (в отличие от rcp, его никто не депрекейтит).

     
     
  • 3.95, nrndda (ok), 05:45, 07/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо за варианты, буду иметь ввиду.
    Сеть достаточно стабильно работает, а scp ещё и показывает прогресс в отличии от вариантов с cat и nc. rsync - да, забыл про него. А вообще было лень экспериментировать и просто открыл mc и там запустил копирование. Просто и удобно.
    sftp попал под руку как раз из-за новости.
     

  • 1.16, EuPhobos (ok), 18:04, 06/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Из ограничений предложенного подхода упоминается невозможность обмена данными с серверами, не запускающими подсистему sftp

    Ну так сам же сказал:

    "для каких-то особых случаев в утилите предусмотрена опция "-M scp" для отката на протокол SCP"
    - Вот и выход.

     
  • 1.18, Аноним (129), 18:05, 06/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Если реализация утилиты scp полноценная, то решение можно только приветствовать.
    В философии юникс важно выполнение программой своих задач, а не конкретный способ.
     
  • 1.23, Аноним (23), 18:17, 06/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Т.е. погодите, клиент запрашивает файл X, сервер отдаёт данные и говорит "это по чесноку файл Y", а клиент такой "я спрашивал, конечно, X, но запишу в Y раз такое дело". Что-то мне подсказывает, что проблема тут не только в сервере.
     
     
  • 2.44, пох. (?), 20:30, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Что-то мне подсказывает, что проблема тут не только в сервере.

    Просто эту проблему кривожопики из федоры исправить не в силах. А испортить клиент чтобы он просто не работал с "небезопастным" протоколом - с легкостью.

     
     
  • 3.47, Аноним (113), 20:47, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Какая проблема?! scp по умолчанию строго проверяет файлы.
     
     
  • 4.59, Чума (?), 21:10, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Как насчёт * ?
     
     
  • 5.88, Аноним (113), 23:32, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    По умолчанию проверяет. Вот если укажешь -T, тогда не будет.
     
     
  • 6.116, Чума (?), 23:18, 07/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Что проверять-то? "Скачай мне все файлы" - что тут можно проверить? С чем сравнить?
     
     
  • 7.138, Аноним (135), 01:45, 14/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ты шутишь чтоль?
    Как минимум:
    1. Проверять что нет попытки выйти за текущую директорию (ну типа ../../ либо /хочу/в/root)
    2. Проверять что файл уже есть (может был, может только что скачали)

    По умолчанию поведение такое - в текущую директорию, не перезаписывать уже существующие.

     
  • 2.45, Аноним (113), 20:46, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет никакой проблемы уже чёрт знает сколько пятилеток man scp -T Disab... большой текст свёрнут, показать
     
     
  • 3.48, пох. (?), 20:48, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > Нет никакой проблемы уже чёрт знает сколько пятилеток

    afair, всего пару лет, и то в апстриме. После соответствующей CVE.

    Причем не факт, что проблема полностью решена, не так это и тривиально для современных кодерков.

     
     
  • 4.87, Аноним (113), 23:30, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > всего пару лет

    Какие пару лет?! У меня дистр уже больше 5 лет не обновлялся, а ключ -T есть.

     
     
  • 5.92, Аноним (92), 03:56, 07/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Эта доработка появилась в OpenSSH 8.0.
     
     
  • 6.103, пох. (?), 16:17, 07/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ssh -V
    OpenSSH_7.5p1, OpenSSL 1.0.2s-freebsd  28 May 2019

    понятно, что у любителей обмазываться свежайшим только-что-из-под-хвоста-прилетело, уже пять лет назад в их раче была самая распоследняя версия (в которой, попутно, сломали пару куда более важных вещей), еще даже недописанная.

     
  • 6.112, Аноним (113), 20:18, 07/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Эта доработка появилась в OpenSSH 8.0.

    Врёшь, у меня ssh -V
    OpenSSH_6.6.1p1 Ubuntu-2ubuntu2.13, OpenSSL 1.0.1f 6 Jan 2014
    и ключ -T уже был тогда.

     

  • 1.24, КО (?), 18:21, 06/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    SCP (от англ. secure copy) — утилита и протокол копирования файлов между компьютерами, использующий, в отличие от утилиты RCP, в качестве транспорта не RSH, а шифрованный SSH. Сходная по функционалу утилита — sftp.
    Да, пришлось поискать, спасибо мне за инфу.
     
  • 1.25, Аноним (26), 18:24, 06/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Давно пора. Но -3 нужна, конечно. Хоть синей изолентой, но надо её прикрутить.
     
  • 1.27, псевдонимус (?), 18:32, 06/11/2020 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –5 +/
     
     
  • 2.62, Аноним (-), 21:13, 06/11/2020 Скрыто модератором
  • +1 +/
     
     
  • 3.65, псевдонимус (?), 21:22, 06/11/2020 Скрыто модератором
  • –1 +/
     

     ....ответы скрыты модератором (2)

  • 1.28, Аноним (-), 18:49, 06/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    На openwrt роутерах с ограниченными аппаратными возможностями часто не лезет sftp сервер, пользуемся scp потому. И тут х... компания redhat предлагает грохнуть scp, взамен не предлагая реальной альтернативы для роутеров.
     
     
  • 2.32, Аноним (32), 19:13, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    scp ещё и быстрее sftp
     
     
  • 3.33, Аноним (3), 19:18, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Наверно зависит ещё и от того как поток зашифрован. Ну а так меньше надёжности - выше скорость, всё как обычно.
     
  • 2.51, Annoynymous (ok), 20:51, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "для каких-то особых случаев в утилите предусмотрена опция "-M scp" для отката на протокол SCP"
     
     
  • 3.53, zzz (??), 21:02, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну это пока предусмотрена. Годик-другой - и дропнут, потому что "не пользуется популярностью". Как будто ты красношапку не знаешь.
     
     
  • 4.57, Annoynymous (ok), 21:07, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Ну это пока предусмотрена. Годик-другой - и дропнут, потому что "не пользуется
    > популярностью". Как будто ты красношапку не знаешь.

    Форкни и поддерживай, это ж опен сорс.

    Ах, у сообщества сил нет? Тогда жрите что дают.

     
     
  • 5.86, Аноним (113), 23:26, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Форкни и поддерживай

    Ты забыл добавить: "затолкай во все дистры ко всяким поттерингам".

     
     
  • 6.90, Annoynymous (ok), 01:25, 07/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> Форкни и поддерживай
    > Ты забыл добавить: "затолкай во все дистры ко всяким поттерингам".

    Тебе надо — ты и делай.

     

  • 1.29, Huff (?), 18:54, 06/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    передайте это в SCP foundation
     
  • 1.31, Аноним (31), 18:59, 06/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Эм... а нафига scp пользовать не в локалке / VPN?
     
  • 1.35, Анон Анонов (?), 19:26, 06/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А почему SCP не проверят название файлов, которые получает? Это же, блин, очевидный баг.
     
     
  • 2.38, Аноним (38), 19:43, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Субординация.
     
  • 2.50, Аноним (113), 20:49, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    читай man, по умолчанию - как раз проверяет. Нет никакого бага.
     
  • 2.60, Чума (?), 21:11, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    КАК ? Как, например, tar будет проверять какие файлы он распаковывает?
     
     
  • 3.74, пох. (?), 21:58, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > КАК ? Как, например, tar будет проверять какие файлы он распаковывает?

    молча. Если ты укажешь ему destination - то будет проверять. Все что не совпадает - просто не будет распаковано вообще. Кстати, в этом месте много лет назад была очередная дырка, ага.

     
     
  • 4.117, Чума (?), 23:19, 07/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Что он будет проверять?
     

  • 1.41, Аноним (41), 20:12, 06/11/2020 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • +2 +/
     
     
  • 2.42, Леннарт Поттеринг (?), 20:23, 06/11/2020 Скрыто модератором
  • +3 +/
     
     
  • 3.46, Аноним (41), 20:46, 06/11/2020 Скрыто модератором
  • +/
     
  • 2.63, Аноним (-), 21:14, 06/11/2020 Скрыто модератором
  • –2 +/
     

     ....ответы скрыты модератором (3)

  • 1.49, Annoynymous (ok), 20:49, 06/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вообще, идея использовать sftp как замену scp при сохранении синтаксиса команды scp вполне здравая, пусть будет.
     
     
  • 2.64, псевдонимус (?), 21:15, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вообще, идея использовать sftp как замену scp при сохранении синтаксиса команды scp
    > вполне здравая, пусть будет.

    Ну да, скорость не нужна, сойдёт и так. Здравствая идея.

     
     
  • 3.69, Аноним (69), 21:30, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    На одном-двух файлах разница в пределах погрешности, а когда нужна скорость на пачку файлов, надо делать tar cf - | ssh tar xf -. Быстрее всяких scp и sftp на порядок.
     
     
  • 4.72, пох. (?), 21:56, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Быстрее всяких scp и sftp на порядок.

    сказочник... На четыре порядка!

    И да, конечно же эти приседания с кучей лишних команд очень безопастны (в tar ведь не было никогда точно таких же ляпов с ../.. в разных вариациях) и охренеть как удобны.


     
  • 2.85, Аноним (113), 23:24, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    В то время, пока одни выпиливают ftp ото всюду, другие вспомнили и пытаются его использовать...
     
     
  • 3.93, Аноним (92), 03:58, 07/11/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну и причём тут FTP?
     

  • 1.54, Аноним (54), 21:04, 06/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    А ctrl+C, ctrl+V оно в линуксах нельзя так?
     
     
  • 2.71, nomad__ (ok), 21:47, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    На удаленный хост, где есть только шелл? Поумнее вопрос не мог придумать?
     
  • 2.83, Аноним (113), 23:21, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А ты сайты также смотришь -  ctrl+C, ctrl+V?
     
  • 2.84, Ordu (ok), 23:24, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нет, по-моему. Я как-то искал fuse поверх scp и не нашёл. Может плохо искал, конечно. Но, полагаю, всех потенциальных написателей такого отпугивает то, что scp не предусматривает исследования файловой системы на том конце провода. Что можно обойти, но... эмм... в общем вот.
     
     
  • 3.91, о (?), 03:52, 07/11/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    sshfs?
     
     
  • 4.98, Ordu (ok), 07:04, 07/11/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Почему "?" в конце сообщения? Ты хочешь, чтобы я сходил в гугл, нашёл, посмотрел, что это такое, и сказал тебе, оно или нет? Или надо ещё поставить и оттестировать, чтобы ответить на твой вопрос?
     
     
  • 5.104, муу (?), 16:31, 07/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ? в данном случае означает "не подошёл?" или ты нам предлагаешь угадать что именно нужно твоей тупой голове?
     
     
  • 6.105, Ordu (ok), 17:42, 07/11/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > ? в данном случае означает "не подошёл?"

    Это вовсе неочевидно. Разговор о Ctrl-C/Ctrl-V, и о принципиальной возможности использовать их для копирования через scp. И тут ты такой приходишь и переводишь тему, забыв объяснить свои намерения. Но в любом случае я не могу ответить на этот вопрос -- я чё помню, что ли?

    Да и вообще, тебе должно быть виднее можно ли при помощи sshfs подмонтировать систему доступную по ssh и потом копировать через C-c/C-v, или нельзя. Вон ответь анониму, он переживает очень из-за этих C-c/C-v.

     
     
  • 7.114, Аноним (54), 21:14, 07/11/2020 Скрыто модератором
  • –2 +/
     
     
  • 8.119, Ordu (ok), 01:09, 08/11/2020 Скрыто модератором
  • –1 +/
     
  • 5.139, Аноним (135), 01:54, 14/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты хочешь, чтобы я сходил в гугл, ...

    Да!
    И "сходил" не подразумевает "вернулся", можешь там оставаться, можешь сходить дальше.

     
     
  • 6.143, Ordu (ok), 09:03, 14/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ты хочешь, чтобы я сходил в гугл, ...
    > Да!
    > И "сходил" не подразумевает "вернулся", можешь там оставаться, можешь сходить дальше.

    Хорошо. Хоти дальше.

     
  • 4.132, Аноним (132), 15:47, 10/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    sshfs удобно когда нужно больше чем один файл передать или покопаться в файлах. А просто скопировать 1 файл, если знаешь имя, то нет ничего проще scp.
     
  • 2.96, Licha Morada (ok), 06:19, 07/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > А ctrl+C, ctrl+V оно в линуксах нельзя так?

    В Nautilus-е можно, даже Ctrl-Z в некоторых случаях.
    И в консоли тоже можно, но там это Ctrl-й совсем про другое.

     
  • 2.140, Аноним (135), 02:00, 14/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да, мне тоже эти протоколы нравятся!
    При копировании спулфайлов с AS400 только Ctrl+C, Ctlr+V кодировку не портят.
    Линуксу до этого ещё развиваться и развиваться.
     

  • 1.67, user90 (?), 21:22, 06/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    В последнее время, при при смотре сабжа выбираю именно плов - кажется, так оно будет аутенчичнее)
     
  • 1.110, Аноним (-), 19:30, 07/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    scp -T ? По-умолчанию выключено , так что это все пук в лужу не более.
     
  • 1.115, Аноним (115), 21:33, 07/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    А что, хорошая идея. Достало уже пробелы два раза эскейпить.
     
  • 1.118, rshadow (ok), 00:09, 08/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Очередные дибилы хотят что-то простое убрать, а в замен оставить только сложное и "правильное" для них. Пропатчить scp, нет! Поставить еще одно дырявое корыто, да!
     
     
  • 2.120, Аноним (113), 04:00, 08/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Пропатчить scp

    уже, scp -T

     

  • 1.121, Аноним (121), 05:45, 08/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    sftp сложно, как и ftp команды.
     
  • 1.122, Аноним (122), 22:55, 08/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > устранить без нарушения обратной совместимости, например, некоторые пользователи используют запуск команд для проверки наличия каталога перед копированием.

    Уж вот таких-то остроумцев девляпса не жалко...

     
  • 1.123, Аноним (113), 01:46, 09/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В Fedora предложили перевести протокол SCP в разряд устаревших

    Пора предложить перевести Fedorу в разряд устаревших

     
  • 1.124, Аноним12345 (?), 08:40, 09/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Страннвя инициатива
     
  • 1.125, Аноним (125), 12:18, 09/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Напоминает systemd-аргументацию. Корпорасты как всегда. Сначала они присосались и помогали, как все привыкли —  обнаглели и стали шарить ручками, выкидывать добрые старые решения в пользу своего внутрикорпорастного продукта.

    Небизопасно, запретить, удалить ради детей!

     
  • 1.126, Аноним (126), 13:43, 09/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, это инженер с тем самым временным дипломом
     
     
  • 2.127, Аноним (113), 02:30, 10/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У него ещё и диплом какой-то есть?!
     
     
  • 3.141, Аноним (135), 02:04, 14/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да целых шесть!
    Маникюр, Педикюр, Кирби супервайзер, Наращивание ногтей и ещё пару каких-то. Я не запомнил.
     

  • 1.128, anoname (?), 11:43, 10/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Он там смузи прокисшего навернул?
     
  • 1.131, Аноним (132), 15:42, 10/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Куда они полезли. Ведь scp же простая и удобная обёртка над ssh. Какую команду передашь такую и исполнит. Хотя передавать что-то кроме имени файла не порядок. А если у тебя есть доступ с ключём к серверу, то кто тебе даст запретить исполнять команду просто по ssh. Какое отношение это имеет к безопасности.
    А все scp это по сути сокращённые команды ssh и можно использовать ванильный ssh и перенаправление вывода.
     
     
  • 2.144, псевдонимус (?), 15:58, 15/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Куда они полезли. Ведь scp же простая и удобная обёртка над ssh.
    > Какую команду передашь такую и исполнит. Хотя передавать что-то кроме имени
    > файла не порядок. А если у тебя есть доступ с ключём
    > к серверу, то кто тебе даст запретить исполнять команду просто по
    > ssh. Какое отношение это имеет к безопасности.
    > А все scp это по сути сокращённые команды ssh и можно использовать
    > ванильный ssh и перенаправление вывода.

    Они не понимают перенаправление вывода, как не понимают регулярно. От этого дико ненавидят perl.

     
     
  • 3.145, псевдонимус (?), 16:00, 15/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> Куда они полезли. Ведь scp же простая и удобная обёртка над ssh.
    >> Какую команду передашь такую и исполнит. Хотя передавать что-то кроме имени
    >> файла не порядок. А если у тебя есть доступ с ключём
    >> к серверу, то кто тебе даст запретить исполнять команду просто по
    >> ssh. Какое отношение это имеет к безопасности.
    >> А все scp это по сути сокращённые команды ssh и можно использовать
    >> ванильный ssh и перенаправление вывода.
    >Регулярные выражения, конечно. Горите в аду, сотрудники говнугля за создание своей клавиатуры.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру