Re: [Comm] Question on FTP

["Fr. Br. George" <george@altlinux.ru>]

On Wed, Sep 13, 2006 at 11:41:03AM +0400, Headlong John wrote:
> Да, конечно, я хочу узнать подробности. Просветите, пожалуйста. Почему для интернет-доступа к файлам все используют именно FTP, а не SMB, если он так хорош, как вы говорите.
Потому что "интернет-доступ к файлам" и "сетевая файловая система" --
совершенно разные вещи. Предоставлять хостерам доступ по SMB всего лишь
для выкладывания файлов -- стрельба из пушки по воробьям. А чем сложнее
протокол, тем больше глюков. Особено у клиентов по виндовзом. К тому же
на хостинге обычно очень трепетно относятся к вычислительным ресурсам.

Настолько трепетно, что предпочитают не сообщать пользователям. что
наиболее нетребовательный к вычислительным ресурсам протокол FTP по
совместительству и наиболее небезопасный: гоняет пароли в открытом виде.
Наверное, надеются на эффект неуловимого Джо.

> > > Если бы мне нравился SMB или я хотел его использовать, я бы поставил MS Windows, а не открытую ОС.
> > Не говорите глупостей. SMB придумали не в MS,
> 
> По данным, которые я смог узнать в интернете, этот протокол придумали в IBM, но к его последующему развитию имеет непосредственное отношение прежде всего MS, а не кто-то другой:
Да. Хотя сейчас это не совсем так: основной фронт разработки семейства
протоколов CIFS переехал в Samba, а в M$ регулярно обсуждают идею от
CIFS отказаться, так как слишком оно документировано.

> Я могу ошибаться, но SMB у меня и у тех, кого я знаю, ассоциируется именно в MS Windows, а не с чем-то иным. Что касается Samba - то, как сказано в Wiki:
Насчёт ваших собственных ассоциаций вы ошибаться не можете :). Если у
вас -- как и у меня -- вызывает раздражение всё, связанное с M$, то ведь
не потому, что "все они там -- уроды"?

Например, меня бесит многое от M$ по причине _полной_ невозможности понять,
что и как работает: никакой тех. документации, все help-ы -- для
секретарш, шаманство вместо отладки ошибок и мозговая чесотка от
отсутствия информации.

А Samba весьма прилично документирована. По крайней мене, на инженерном
и пользовательском уровне.

> > и если где-то существует реализация _стандарта_ (то
> > есть открытой спецификации) на SMB, то уж никак не в Weendooze.
> А чьей собственностью он является?
Публичной.
> Я не видел опубликованного ОФИЦИАЛЬНОГО стандарта на SMB.
Это да, "ОФИЦИАЛЬНОГО стандарта" нет. Вот в IETF M$-цы пытались
затолкать какой-то draft, но он был настолько мутный, что к 2002 году
просрочился.

Так что открытая информация берётся именно из http://devel.samba.org/
А в качестве неОФИЦИАЛЬНОГО стандарта -- http://www.snia.org/tech_activities/CIFS

Здесь я удалил кусок, в котором вы в ответ на утверждение "NFS в
виндовзе плохо поддерживается" вдруг сказали "за то он стандартный и
везде работает". BTW, NFSv4-сервер в Linux пока не доделали.

> Ну у меня уже сейчас без внедрения и настройки клиенты на Windows и на Linux могут через FTP работать с моим сервером внутри нашей сети.
Ну так вопрос лишь в том, опасна ли для вас утечка учётных записей.

> в MS IIS можно было организовать доступ к FTP-сайту через SSL, это делалось нажатием пары кнопок. При этом это не требовало какой-то особой модификации клиентского ПО.
Список клиентского ПО, в котором доступ по FTP/TLS работает совсем без
модификации:
http://www.ford-hutchinson.com/~fh-1-pfh/ftps-ext.html#client

Заодно и серверного. IIS там в единственном месте упомянут. Думаю, что
сказанное вами -- или легенда, или слух, или реклама M$ IIS :)

> > > А насколько "защищен" SMB?
> > SMB вообще не гоняет по сети пароли, только невосстановимые хеши,
> Про "невосстановимые" хеши, которые MS Windows хранит, например, для паролей пользователей, уже немало написано в интернете. Вот несколько ссылок:
Скорее всего вы неправильно прочли предыдущее предложение, а также то, в
котором было написано, что _сервер_ хранит вполне восстановимые пароли ;)

> http://www.uinc.ru/articles/29/index.shtml
"Даже если злоумышленник перехватит хеш, то при правильно выбранном
пароле узнать пароль будет невозможно (перебор всех комбинаций займет
длительный период). Кроме того, использование каждый раз при генерации
хеша в качестве входных данных случайные данные, защищает от повторного
использования перехваченного злоумышленником хеша, который может быть
получен при авторизации подлинного пользователя."

Остальной текст посвящён взлому виндовза с дискетки.

> http://old.osp.ru/win2000/2006/03/032.htm
Текст посвящён взлому LM-ключа. LM может быть и используется по у
молчанию в виндовзе до сих пор, но не в Sambba.

Знаете, меня очень интересует тема сетевой инфраструктуры Linux.
С ней не шибко ладно дело обстоит, что удивительно.
В частности, ни одной нормальной сетевой ФС с user-based авторизацией
просто нет. Чем IP-based авторизация -- вроде NFS -- хуже, знает любой,
кто делал "su - poorlamer; rm -rf /home/nfs_mounted/poorlamer".
Или _у кого_ это делали.

Вот и приходится изобретать странные поделки, вроде GnomeVFS/FTP или
FUSE/SshFS. Которые работают, но хорошей поддержки не имеют.

Или использовать Samba.

-- 
			Георгий Курячий (aka Fr. Br. George)
			Руководитель образовательных проектов ALT Linux
			mailto : george at altlinux_ru