* [Sysadmins] vsftpd vs proftpd
@ 2008-12-24 18:20 Алексей Синицын
2008-12-24 18:34 ` Konstantin A. Lepikhov
` (2 more replies)
0 siblings, 3 replies; 8+ messages in thread
From: Алексей Синицын @ 2008-12-24 18:20 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Приветствую.
Для простых нужд пробую организовать ftp. Интерес привлёк vsftpd, в
частности своим названием.
Но возникла небольшая проблема. Как у Карлсона, когда он объяснял
малышу, что ночью он спит как убитый и до обеда тоже. А вот после
обеда - ворочается с боку на бок и никак не может заснуть. Так и у
меня, vsftpd встал и заработал, анонимный доступ включился одним
прикосновением. Но хочется разделить содержимое и раздавать по разным
логинам разное. Отсюда - авторизация, разные пользователи и разные
точки входа. Авторизация заработала так-же на ура и с полутора
движений. Но заводить мусорных пользователей в системе как-то неохота.
Следовательно имеет смысл сделать виртуальных.
И вот тут начинается послеобеденная бессоница. К пакету есть
документация с примерами. Всё просто. Всё делаю по описанию.
Авторизация обламывается. Нашёл схожий вопрос в community@ от 15
августа 2007 г. 8:30, на который так и не было ответа (у меня -
отличие, в логах "FAIL LOGIN"). Знакомый подсказал что db_load из
пакета db4.3-utils он заменил на пакет третьей версии, но в
репозитарии (бранч 4.1) такого нет. Попытка сделать авторизацию не
через Berkeley DB а через файл htpasswd2, так-же не увенчалась.
И вот тут, на (стесняюсь сказать) ЛОР, обсуждая vsftpd говорят что
proftpd проще в настройке (так-же, в контексте виртуальных
пользователей). Насколько это соответствует, и насколько слова very
secure в названии первого секурнее professional второго? Нагрузки
большой и много коннектов не ожидается, нужно сделать несколько
пользователей существующих только в контексте ftp с разными точками
входа и возможно ограничить ширину раздачи.
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Sysadmins] vsftpd vs proftpd
2008-12-24 18:20 [Sysadmins] vsftpd vs proftpd Алексей Синицын
@ 2008-12-24 18:34 ` Konstantin A. Lepikhov
2008-12-24 19:30 ` Алексей Синицын
2008-12-26 21:04 ` Alexey Shabalin
2009-01-12 9:14 ` Alexey Borisenkov
2 siblings, 1 reply; 8+ messages in thread
From: Konstantin A. Lepikhov @ 2008-12-24 18:34 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Hi Алексей!
Wednesday 24, at 09:20:53 PM you wrote:
....
> И вот тут начинается послеобеденная бессоница. К пакету есть
> документация с примерами. Всё просто. Всё делаю по описанию.
> Авторизация обламывается. Нашёл схожий вопрос в community@ от 15
> августа 2007 г. 8:30, на который так и не было ответа (у меня -
> отличие, в логах "FAIL LOGIN"). Знакомый подсказал что db_load из
> пакета db4.3-utils он заменил на пакет третьей версии, но в
> репозитарии (бранч 4.1) такого нет. Попытка сделать авторизацию не
> через Berkeley DB а через файл htpasswd2, так-же не увенчалась.
Странно, у меня подобная схема работала (авторизация через userdb).
Система была на сизифе 2007г. Надо будет глянуть на этот тазик.
>
> И вот тут, на (стесняюсь сказать) ЛОР, обсуждая vsftpd говорят что
> proftpd проще в настройке (так-же, в контексте виртуальных
> пользователей). Насколько это соответствует, и насколько слова very
> secure в названии первого секурнее professional второго? Нагрузки
> большой и много коннектов не ожидается, нужно сделать несколько
> пользователей существующих только в контексте ftp с разными точками
> входа и возможно ограничить ширину раздачи.
Как в прошлом мантейнер proftpd могу сказать что он нифига не проще. Много
функционала в нем реализовано в виде сторонних модулей, написанных людьми
с разной квалификацией, поэтому общее качество кода сильно разное.
Отдельные плагины написаны "для галочки" (например, ftp over tls), и
работают тоже соответственно. Зато довольно удобная система учета трафика,
поддержка различных систем авторизации (включая извраты вроде сначала
залезем в sql, потом в ldap, а потом в pam). Но опять же, из-за большого
числа плагинов страдает общая безопасность, поскольку потенциальных дырок
там может быть сколько угодно. Еще одно отличие от vsftpd - proftpd
никогда не позиционировал себя как "very secure" решение, аудита кода
никто не проводил и гарантий не давал %)
--
WBR et al.
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Sysadmins] vsftpd vs proftpd
2008-12-24 18:34 ` Konstantin A. Lepikhov
@ 2008-12-24 19:30 ` Алексей Синицын
0 siblings, 0 replies; 8+ messages in thread
From: Алексей Синицын @ 2008-12-24 19:30 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
24 декабря 2008 г. 21:34 пользователь Konstantin A. Lepikhov
<lakostis@unsafe.ru> написал:
> Hi Алексей!
>
> Wednesday 24, at 09:20:53 PM you wrote:
>
> ....
>> И вот тут начинается послеобеденная бессоница. К пакету есть
>> документация с примерами. Всё просто. Всё делаю по описанию.
>> Авторизация обламывается. Нашёл схожий вопрос в community@ от 15
>> августа 2007 г. 8:30, на который так и не было ответа (у меня -
>> отличие, в логах "FAIL LOGIN"). Знакомый подсказал что db_load из
>> пакета db4.3-utils он заменил на пакет третьей версии, но в
>> репозитарии (бранч 4.1) такого нет. Попытка сделать авторизацию не
>> через Berkeley DB а через файл htpasswd2, так-же не увенчалась.
> Странно, у меня подобная схема работала (авторизация через userdb).
> Система была на сизифе 2007г. Надо будет глянуть на этот тазик.
>
Пробую сейчас ещё раз с нуля:
После удаления пакета и всего что может относиться:
apt-get install vsftpd
cd /etc/vsftpd
cp /usr/share/doc/vsftpd-2.0.6/EXAMPLE/VIRTUAL_USERS/vsftpd.conf .
Переименовал и сменил в последнем listen=YES на NO, потому-что помню
что он сам не заработал в прошлый раз и потому-что через xinetd мне
кажется красивее а на работу, по идее, влиять не должно.
cd /etc/pam.d
cp /usr/share/doc/vsftpd-2.0.6/EXAMPLE/VIRTUAL_USERS/vsftpd.pam .
mv vsftpd vsftpd.orig
mv vsftpd.pam vsftpd
Долго думал, нужна-ли строчка #%PAM-1.0 в начале этого файла как в
оригинальном и всех остальных, добавил в файл из примера.
По файлу /usr/share/doc/vsftpd-2.0.6/EXAMPLE/VIRTUAL_USERS/README :
Step 1) Create the virtual users database.
db_load -T -t hash -f logins.txt /etc/vsftpd_login.db
Программы db_load нет, apt-cache search db_load даёт пустоту, но "db"
нам как-бы намекает:
apt-get install db<tab>
db1-utils уже установлен, ставим db4.3-utils - программа появилась, попали.
Создаем файл logins.txt, в котором две строки - test test , на всякий
случай удостоверяемся что в конце последней строки есть ещё один
символ перевода строки.
db_load -T -t hash -f logins.txt /etc/vsftpd_login.db
В примере для pam указан файл /etc/vsftpd_login , на всякий случай
создаём в /etc такую символическую ссылку на vsftpd_login.db (заглянув
в него, увидел где-то в недрах своих тестов, удивился приколу, подумал
что плэйн текст всё-же лучше).
Создаём, далее, по описанию нашего виртуала, подкладываем ему
зачем-то hosts (надо - так надо), затем в описании создание конфига
который я уже подложил, и старт vstfpd, вместо которого я делаю
service xinetd restart . Затем пробуем:
22:18 al@wind ~ $ ftp localhost 10021
ftp: connect: Connection refused
ftp> %
ctrl d
22:18 al@wind ~ $ ftp localhost
Connected to localhost (127.0.0.1).
220 (vsFTPd 2.0.6)
Name (localhost:al): test
331 Please specify the password.
Password:
530 Login incorrect.
Login failed.
ftp>
В логе ничего. Вообще, в ходе подёргиваний в прошлый раз что-то и в
логах оставалось, но на этот раз воспроизводил всё чисто по описанию.
Собственно, знакомый сказал что по этому описанию все заработало, но у
него кажется сизиф. Где искать - просто не понимаю.
cat /etc/apt/sources.list
rpm ftp://ftp.altlinux.org/pub/distributions/ALTLinux/4.1/branch/ i586 classic
rpm ftp://ftp.altlinux.org/pub/distributions/ALTLinux/4.1/branch/ noarch classic
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Sysadmins] vsftpd vs proftpd
2008-12-24 18:20 [Sysadmins] vsftpd vs proftpd Алексей Синицын
2008-12-24 18:34 ` Konstantin A. Lepikhov
@ 2008-12-26 21:04 ` Alexey Shabalin
2008-12-27 9:59 ` Алексей Синицын
2009-01-12 9:14 ` Alexey Borisenkov
2 siblings, 1 reply; 8+ messages in thread
From: Alexey Shabalin @ 2008-12-26 21:04 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
24 декабря 2008 г. 21:20 пользователь Алексей Синицын написал:
> Приветствую.
> Но заводить мусорных пользователей в системе как-то неохота.
> Следовательно имеет смысл сделать виртуальных.
Попробуйте pure-ftpd.
> И вот тут, на (стесняюсь сказать) ЛОР, обсуждая vsftpd говорят что
> proftpd проще в настройке (так-же, в контексте виртуальных
> пользователей). Насколько это соответствует, и насколько слова very
> secure в названии первого секурнее professional второго?
Про безопасность pure-ftpd ничего конкретно сказать не могу, но
виртуальных пользователей заводить крайне легко.
Да и работает вполне прилично (по отзывам знакомого).
--
Alexey Shabalin
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Sysadmins] vsftpd vs proftpd
2008-12-26 21:04 ` Alexey Shabalin
@ 2008-12-27 9:59 ` Алексей Синицын
0 siblings, 0 replies; 8+ messages in thread
From: Алексей Синицын @ 2008-12-27 9:59 UTC (permalink / raw)
To: shaba, ALT Linux sysadmin discuss
27 декабря 2008 г. 0:04 пользователь Alexey Shabalin
<a.shabalin@gmail.com> написал:
> 24 декабря 2008 г. 21:20 пользователь Алексей Синицын написал:
>> Приветствую.
>> Но заводить мусорных пользователей в системе как-то неохота.
>> Следовательно имеет смысл сделать виртуальных.
> Попробуйте pure-ftpd.
>
>> И вот тут, на (стесняюсь сказать) ЛОР, обсуждая vsftpd говорят что
>> proftpd проще в настройке (так-же, в контексте виртуальных
>> пользователей). Насколько это соответствует, и насколько слова very
>> secure в названии первого секурнее professional второго?
> Про безопасность pure-ftpd ничего конкретно сказать не могу, но
> виртуальных пользователей заводить крайне легко.
> Да и работает вполне прилично (по отзывам знакомого).
>
Спасибо, попробую.
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Sysadmins] vsftpd vs proftpd
2008-12-24 18:20 [Sysadmins] vsftpd vs proftpd Алексей Синицын
2008-12-24 18:34 ` Konstantin A. Lepikhov
2008-12-26 21:04 ` Alexey Shabalin
@ 2009-01-12 9:14 ` Alexey Borisenkov
2009-01-12 9:16 ` Slava Dubrovskiy
2 siblings, 1 reply; 8+ messages in thread
From: Alexey Borisenkov @ 2009-01-12 9:14 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Алексей Синицын пишет:
> И вот тут начинается послеобеденная бессоница. К пакету есть
> документация с примерами. Всё просто. Всё делаю по описанию.
> Авторизация обламывается. Нашёл схожий вопрос в community@ от 15
> августа 2007 г. 8:30, на который так и не было ответа (у меня -
> отличие, в логах "FAIL LOGIN").
Похоже это от того, что в нашем vsftpd используется pam_userpass
У меня заработало с таким конфигом в /etc/pam.d/vsftpd:
#%PAM-1.0
auth required pam_userpass.so
auth required pam_userdb.so db=/etc/vsftpd_login use_first_pass
account required pam_userdb.so db=/etc/vsftpd_login
Наверное стоит и в пакете в описание с примерами изменения внести.
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Sysadmins] vsftpd vs proftpd
2009-01-12 9:14 ` Alexey Borisenkov
@ 2009-01-12 9:16 ` Slava Dubrovskiy
2009-01-12 9:42 ` Alexey Borisenkov
0 siblings, 1 reply; 8+ messages in thread
From: Slava Dubrovskiy @ 2009-01-12 9:16 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 1168 bytes --]
Alexey Borisenkov пишет:
>> И вот тут начинается послеобеденная бессоница. К пакету есть
>> документация с примерами. Всё просто. Всё делаю по описанию.
>> Авторизация обламывается. Нашёл схожий вопрос в community@ от 15
>> августа 2007 г. 8:30, на который так и не было ответа (у меня -
>> отличие, в логах "FAIL LOGIN").
>
> Похоже это от того, что в нашем vsftpd используется pam_userpass
> У меня заработало с таким конфигом в /etc/pam.d/vsftpd:
>
> #%PAM-1.0
> auth required pam_userpass.so
> auth required pam_userdb.so db=/etc/vsftpd_login use_first_pass
> account required pam_userdb.so db=/etc/vsftpd_login
>
> Наверное стоит и в пакете в описание с примерами изменения внести.
Багу для памяти сделайте плз. А то тоже копался как-то и не поборол.
--
WBR,
Dubrovskiy Vyacheslav
[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3262 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Sysadmins] vsftpd vs proftpd
2009-01-12 9:16 ` Slava Dubrovskiy
@ 2009-01-12 9:42 ` Alexey Borisenkov
0 siblings, 0 replies; 8+ messages in thread
From: Alexey Borisenkov @ 2009-01-12 9:42 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Slava Dubrovskiy пишет:
> Alexey Borisenkov пишет:
> Багу для памяти сделайте плз. А то тоже копался как-то и не поборол.
#18489
^ permalink raw reply [flat|nested] 8+ messages in thread
end of thread, other threads:[~2009-01-12 9:42 UTC | newest]
Thread overview: 8+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-12-24 18:20 [Sysadmins] vsftpd vs proftpd Алексей Синицын
2008-12-24 18:34 ` Konstantin A. Lepikhov
2008-12-24 19:30 ` Алексей Синицын
2008-12-26 21:04 ` Alexey Shabalin
2008-12-27 9:59 ` Алексей Синицын
2009-01-12 9:14 ` Alexey Borisenkov
2009-01-12 9:16 ` Slava Dubrovskiy
2009-01-12 9:42 ` Alexey Borisenkov
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git