From: "Fr. Br. George" <george@altlinux.ru> To: ALT Linux Community <community@lists.altlinux.org> Subject: Re: [Comm] Question on FTP Date: Tue, 12 Sep 2006 17:49:02 +0400 Message-ID: <20060912134902.GA48181@grep.po.cs.msu.su> (raw) In-Reply-To: <1158047422.19246.denwebmail-3@johnheadlong@nightmail.ru> On Tue, Sep 12, 2006 at 11:50:22AM +0400, Headlong John wrote: > Ну то есть вы хотите сказать, что об FTP теперь можно вообще забыть и всегда использовать только SMB? Вы хотите сказать, что все владельцы FTP-сайтов и веб-хостингов в интернете не очень хорошо разбираются в средствах доступа к файлам по сети? Да. Вы хотите об этом поговорить? > Если бы мне нравился SMB или я хотел его использовать, я бы поставил MS Windows, а не открытую ОС. Не говорите глупостей. SMB придумали не в MS, этот протокол не является их собственностью, и если где-то существует реализация _стандарта_ (то есть открытой спецификации) на SMB, то уж никак не в Weendooze. Просто если обсуждать сетевые файловые системы (а говоря о правах доступа к файлам, мы говорим о файловых системах) и делать выбор между NFS и SMB в _гетерогенных_ сетях, NFS резко проигрывает бедностью реализаций на не-POSIX системах. И остаётся SMB. > > И если вас будут удовлетворять гуляющие по вашей сети в открытом > > виде ftp-пароли. > > Для решения этой проблемы есть SSL, если безопасность критична. FTP-соединение, в силу специфики протокола, нельзя организовать поверх SSL. Требуется модифицировать протокол, что, конечно, поддерживается далеко не всеми. Обычно используется TLS, это проще. Есть несколько клиентов под linux, поддерживающих FTP/TLS. Наверное, есть они и для windows, сам не видел ничего, кроме lftp/CYGWIN или wget/CYGWIN (если пересобрать их с OpenSSL). Тут встаёт большая проблема принудительного внедрения и обязательной перенасстройки именно этого ПО на клиентских машинах. Потому что без внедрения и настройки у вас будет сразу две радости: и пароли будут утекать, и пользователи не смогут зайти по FTP :)). > А насколько "защищен" SMB? SMB вообще не гоняет по сети пароли, только невосстановимые хеши, которые при желании можно защитить SSL, хотя, кажется, незачем. Правда, он хранит эти пароли в расшифровываемом виде на сервере. Так что вопрос в том, насколько "защищён" сам сервер. Про NFS молчу: там IP-based авторизация. > Спасибо, эта часть проблемы уже решена, я писал об этом. Я использую /etc/fstab для монтирования, никаких самоделок. Самоделки понадобятся для модифицирования fstab при множественном добавлении пользоватлей и включения их в разнообразные группы.. > Теперь такой вопрос - как в /etc/vsftpd.conf указать, куда chroot'ить > пользователей? Поскольку мне надо контролировать доступ к файлам на > уровне пользователей, то от виртуальных пользователей vsftpd я > отказался, буду использовать реальных. Но вот загвоздка: chroot'ятся > они в свои домашние каталоги, а мне надо, чтобы при доступе через ftp > они все chroot'ились в один и тот же каталог /home/ftpsite, который > будет набит точками монтирования нужных мне для ftp-доступа фрагментов > файловой системы. При этом надо, чтобы при обычном входе в систему > (через ssh, например), пользователь попадал в свой обычный домашний > каталог. Отменить chroot по пользователям вообще, а chroot-ить сам демон? > И еще - в чем скрытый смысл опции passwd_chroot_enable? Ведь при включенной chroot_local_user пользователи и так chroot'ятся в свои домашние каталоги, прописанные в /etc/passwd... Или я чего-то недопонял? Темна вода в облацех. Проще всего попробовать и посмотреть, что получится. Из невнятного текста man у меня создалось впечатление, что chroot_local_user -- это как раз то, что вам нужно. Гм. С добавлением Warning: This option has security implications, especially if the users have upload permission, or shell access. Only enable if you know what you are doing. -- Георгий Курячий (aka Fr. Br. George) Руководитель образовательных проектов ALT Linux mailto : george at altlinux_ru
next prev parent reply other threads:[~2006-09-12 13:49 UTC|newest] Thread overview: 23+ messages / expand[flat|nested] mbox.gz Atom feed top 2006-09-01 9:01 Headlong John 2006-09-11 9:55 ` Fr. Br. George 2006-09-12 7:50 ` Headlong John 2006-09-12 13:49 ` Fr. Br. George [this message] 2006-09-13 7:41 ` Headlong John 2006-09-14 14:10 ` Fr. Br. George 2006-09-15 14:56 ` Headlong John 2006-09-15 15:05 ` Serge Polkovnikov 2006-09-15 17:55 ` Maxim Tyurin 2006-09-16 8:54 ` Michael Shigorin 2006-09-18 10:21 ` Fr. Br. George 2006-09-17 18:11 ` Alexandr A. Alexandrov 2006-09-18 10:09 ` Fr. Br. George 2006-09-18 11:38 ` Michael Shigorin 2006-09-18 12:17 ` Fr. Br. George 2006-09-18 13:46 ` Maxim Tyurin 2006-09-18 16:44 ` Michael Shigorin 2006-09-20 11:31 ` Fr. Br. George 2006-09-20 17:53 ` Michael Shigorin 2006-09-22 12:50 ` Fr. Br. George 2006-09-22 19:36 ` Michael Shigorin 2006-09-18 10:14 ` Fr. Br. George 2006-09-14 14:18 ` Headlong John
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=20060912134902.GA48181@grep.po.cs.msu.su \ --to=george@altlinux.ru \ --cc=community@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git