[sisyphus] vsftpd update?

[sisyphus] vsftpd update?

[Ivan Adzhubey]

А что это у нас vsftpd так давно не обновлялся? Уже давно версия 1.2.0
вышла, а в Сизифе только 1.1.2. Или он уже orphaned и теперь надо чем-то
другим пользоваться?

--
Иван

Re: [sisyphus] vsftpd update?

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 401 bytes --]

On Mon, Nov 03, 2003 at 04:51:03PM -0500, Ivan Adzhubey wrote:
> А что это у нас vsftpd так давно не обновлялся? Уже давно версия 1.2.0
> вышла, а в Сизифе только 1.1.2. Или он уже orphaned и теперь надо чем-то
> другим пользоваться?

Чем хорош vsftpd, так это, в частности, тем, что его можно не обновлять,
ибо он и так отлично работает.

Возможно, вам нужен какой-то функционал из 1.2.0+?


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] vsftpd update?

[Ivan Adzhubey]

On Tue, 4 Nov 2003 12:23:44 +0300
"Dmitry V. Levin" <ldv@altlinux.org> wrote:

> On Mon, Nov 03, 2003 at 04:51:03PM -0500, Ivan Adzhubey wrote:
> > А что это у нас vsftpd так давно не обновлялся? Уже давно версия
> > 1.2.0 вышла, а в Сизифе только 1.1.2. Или он уже orphaned и теперь
> > надо чем-то другим пользоваться?
> 
> Чем хорош vsftpd, так это, в частности, тем, что его можно не
> обновлять, ибо он и так отлично работает.
> 
> Возможно, вам нужен какой-то функционал из 1.2.0+?

Да нет, ничего нового там не добавилось, насколько я могу видеть из
changelog. Но багов исправлено довольно много.

Похоже что того что мне нужно с помощью vsftpd не сделать. Может кто
посоветует как бы этого добиться?

Хочу чтобы в дереве /var/ftp были общедоступные папки, которые бы видел
и мог читать весь интернет, и приватные, которые из интернета не были бы
видны совсем, а были видны только из локальной сети. Общедоступные папки
тоже естественно должны быть видны из локалки. Авторизация для приватных
папок должна быть полностью прозрачной - никаких паролей, виртуальных
серверов и прочего, просто по IP адресу клиента. Единственное что
приходит в голову - сконфигурировать два сервера через xinetd, на
внешние и внутренние адреса раздельно, но тогда из придется разносить по
разным портам? И как добиться чтобы приватные папки не были вообще видны
извне?

Тривиальная на мой взгляд задача, но решения не видно, даже
нетривиального.

-- 
Иван

Re: [sisyphus] vsftpd update?

[Епифанов Сергей]

В сообщении от 5 Ноябрь 2003 01:14 Ivan Adzhubey написал:

> Хочу чтобы в дереве /var/ftp были общедоступные папки, которые бы видел
> и мог читать весь интернет, и приватные, которые из интернета не были бы
> видны совсем, а были видны только из локальной сети. Общедоступные папки
> тоже естественно должны быть видны из локалки. Авторизация для приватных
> папок должна быть полностью прозрачной - никаких паролей, виртуальных
> серверов и прочего, просто по IP адресу клиента. Единственное что
> приходит в голову - сконфигурировать два сервера через xinetd, на
> внешние и внутренние адреса раздельно, но тогда из придется разносить по
> разным портам? И как добиться чтобы приватные папки не были вообще видны
> извне?
>
> Тривиальная на мой взгляд задача, но решения не видно, даже
> нетривиального.

Почему по разным портам? По разным IP-адресам, но по одинаковым портам. 
Один - на внешний адрес, другой - на внутренний. Конфликтовать бежду собой 
не должны, необходимо только каждому из экземпляров передать свой файл 
настройки. (Моё личное мнение)

-- 
С уважением, Епифанов Сергей

Re: [sisyphus] vsftpd update?

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 5245 bytes --]

On Tue, Nov 04, 2003 at 05:14:27PM -0500, Ivan Adzhubey wrote:
> On Tue, 4 Nov 2003 12:23:44 +0300, Dmitry V. Levin wrote:
> > On Mon, Nov 03, 2003 at 04:51:03PM -0500, Ivan Adzhubey wrote:
> > > А что это у нас vsftpd так давно не обновлялся? Уже давно версия
> > > 1.2.0 вышла, а в Сизифе только 1.1.2. Или он уже orphaned и теперь
> > > надо чем-то другим пользоваться?
> > 
> > Чем хорош vsftpd, так это, в частности, тем, что его можно не
> > обновлять, ибо он и так отлично работает.
> > 
> > Возможно, вам нужен какой-то функционал из 1.2.0+?
> 
> Да нет, ничего нового там не добавилось, насколько я могу видеть из
> changelog. Но багов исправлено довольно много.


Багов, говорите?

Цитирую vsftpd-1.2.0/Changelog:

At this point: 1.1.2 package released
-------------------------------------

- Support for tcp_wrappers.
- First stab at Solaris sendfilev() support.
- Don't bomb out the listener on SIGHUP if the config became invalid.
- End vsf_findlibs.sh with "exit 0;" - thanks Lars Hecking <lhecking@nmrc.ie>!
- Integrate with tcp_wrappers - load config based on VSFTPD_LOAD_CONF
environment variables. Allows per-IP configurability in standalone mode.
- Fix build without tcp_wrappers.
- Fix Solaris sendfilev() support - interruption via a signal returns EINTR
rather than a partial byte count!
- Add to EXAMPLE/ - PER_IP_CONFIG and INTERNET_SITE_NOINETD

At this point: 1.1.3 package released
-------------------------------------

итого:
- добавлена поддержка tcp_wrappers.
- исправлены некоторые проблемы сборки, не проявляющиеся в среде
  ALT Linux.

- Eliminate crypt() not defined warning.
- "grep -q" is not standard to redirect to /dev/null instead.
- Make banned_email_file work second time around.
- Add force_dot_files to work around broken clients. The behaviour when
enabled is very wu-ftpd like.
- Implement SITE HELP - should work around IE bug?
- Update README, vsftpd.conf with references to read the manual page!
- Log revamp: add dual_log_enable to log to xferlog AND vsftpd.log.
- Log revamp: add syslog_enable to log vsftpd.log to syslog().
- Add "background" option to background the listener process.
- Fix warning is vsftpd.8 man page, Bill Nottingham <notting@redhat.com>.
- Fix tcp wrappers support to NOT emit loads of Bad file descriptor messages
to the system log.
- Add ability to make bandwidth limiter smoother by using e.g.
trans_chunk_size=8192.
- Add ability for virtual users to use local privs non anon privs, via
virtual_use_local_privs=YES.
- Fix sendfile() fallback on FreeBSD, thanks to Adam Stroud
<adstro@stny.rr.com>.
- Add pam_session support, as well as utmp and wtmp logging for local logins
(when using a PAM build). Tested pam_limits maxlogins works.
- Ensure the source IP address for PORT connects is always the same as the
control connection local IP address. Previously it was not when NOT using
connect_from_port_20 in the presence of multiple local IP addresses.
- Oops - make max_per_ip and max_clients work with the two process model
when both connect_from_port_20 and chown_uploads are false.
- Initial IPv6 support (EPSV only).
- Add EPRT support to IPv6.
- Fix "ls .file" to list .file even if the ls -a flag is not present. Noted
by and thanks to Sean Millichamp <sean@enertronllc.com>.
- Better error messages for config file parse fail: include setting name.
- Fix bug in str_split_text where text is greater than 1 character long!
- Make it build on Solaris8 - switch from utmp to utmpx and handle missing
LOG_FTP.
- Always check for VSFTPD_LOAD_CONF environment variable.
- Implement HELP properly (should help broken clients).
- Fix FreeBSD build (no utmpx.h, so disable feature).
- Fix chown_uploads.
- "Guess fix" for FreeBSD reported bug. I reckon FreeBSD is returning -EINTR
from a blocking close but still closing the fd, despite the error return. So
cater for this. Reported by Drew Vogel <dvogel@intercarve.net>.
- Add download_enable and dirlist_enable. Useful in conjunction with the
per-user config stuff.
- Add chmod_enable.
- Implement STRU and MODE for _old_, broken clients!
- Log connects.
- Fix 500 OOPS with chown_uploads and an APPE command.
- Improve some error messages: die -> die2 for more information.
- Repair max_per_ip (problem comparing IPv4 addresses).
- Make chown_uploads work with virtual users.
- Chmod files to 0600 before chown_uploads kicks in.
- Add STOU support.
- Add cmds_allowed config parameter.
- Add some FAQ entries.

At this point: v1.2.0 released!
===============================

итого:
- улучшена поддержка tcp_wrappers.
- добавлены и документированы новые фичи.
- исправлены опечатки в документации.
- исправлены некоторые проблемы сборки, не проявляющиеся в среде
  ALT Linux.
- реальные исправления:
- Oops - make max_per_ip and max_clients work with the two process model
when both connect_from_port_20 and chown_uploads are false.
- Fix "ls .file" to list .file even if the ls -a flag is not present.
- Fix bug in str_split_text where text is greater than 1 character long!
- Fix chown_uploads.
- Fix 500 OOPS with chown_uploads and an APPE command.
- Make chown_uploads work with virtual users.
- Chmod files to 0600 before chown_uploads kicks in.

Получается, что это не bugfix, а feature release.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] vsftpd update?

[Ivan Adzhubey]

On Wednesday 05 November 2003 03:18 am, Епифанов Сергей wrote:
> > Тривиальная на мой взгляд задача, но решения не видно, даже
> > нетривиального.
>
> Почему по разным портам? По разным IP-адресам, но по одинаковым портам.
> Один - на внешний адрес, другой - на внутренний. Конфликтовать бежду собой
> не должны, необходимо только каждому из экземпляров передать свой файл
> настройки. (Моё личное мнение)

Я же написал - без использования виртуальных серверов и виртуальных 
пользователей. Как сделать любым из этих способов я и сам понимаю. Но первый 
способ не подходит поскольку дополнительных IP адресов мне никто не даст (я и 
один-то фиксированый выбивал две недели), а виртуальные пользователи - 
непрозрачно, пароль надо вводить.

-- 
Иван

Re: [sisyphus] vsftpd update?

[Епифанов Сергей]

[-- Attachment #1: signed data --]
[-- Type: text/plain, Size: 1214 bytes --]

В сообщении от 5 Ноябрь 2003 12:49 Ivan Adzhubey написал:
> On Wednesday 05 November 2003 03:18 am, Епифанов Сергей wrote:
> > > Тривиальная на мой взгляд задача, но решения не видно, даже
> > > нетривиального.
> >
> > Почему по разным портам? По разным IP-адресам, но по одинаковым
> > портам. Один - на внешний адрес, другой - на внутренний. Конфликтовать
> > бежду собой не должны, необходимо только каждому из экземпляров
> > передать свой файл настройки. (Моё личное мнение)
>
> Я же написал - без использования виртуальных серверов и виртуальных
> пользователей. Как сделать любым из этих способов я и сам понимаю. Но
> первый способ не подходит поскольку дополнительных IP адресов мне никто
> не даст (я и один-то фиксированый выбивал две недели), а виртуальные
> пользователи - непрозрачно, пароль надо вводить.

Тогда не совсем понятно: что за компьютер, на которм стоит vsftpd? Сервер 
или нет? У него только один IP-адрес или у него есть IP-адрес локальной 
сети и IP-адрес из интернета?

В принципе, с ядром 2.4.х можно попробовать нагородить что-то вроде 
SNAT/DNAT - передачи, то есть поставить 2 сервера, а на них делать DNAT в 
зависимости от IP-адреса входящего.

-- 
С уважением, Епифанов Сергей

[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

[sisyphus] Re: vsftpd update?

[Alexey Tourbin]

[-- Attachment #1: Type: text/plain, Size: 427 bytes --]

On Tue, Nov 04, 2003 at 05:14:27PM -0500, Ivan Adzhubey wrote:
> Хочу чтобы в дереве /var/ftp были общедоступные папки, которые бы видел
> и мог читать весь интернет, и приватные, которые из интернета не были бы

FTP -- это не приватный протокол, даже в локальной сети.
Не стоит его использовать каким-либо другим образом, кроме как public read only.

> видны совсем, а были видны только из локальной сети. Общедоступные папки

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] Re: vsftpd update?

[Nick Fedchik]

[-- Attachment #1: signed data --]
[-- Type: text/plain, Size: 1744 bytes --]

On Thursday 06 November 2003 19:21, Alexey Tourbin wrote:
> On Tue, Nov 04, 2003 at 05:14:27PM -0500, Ivan Adzhubey wrote:
> > Хочу чтобы в дереве /var/ftp были общедоступные папки, которые бы видел
> > и мог читать весь интернет, и приватные, которые из интернета не были бы
> > видны совсем, а были видны только из локальной сети. Общедоступные папки

ИМХО я бы данную задачу решил, используя ACL в ProFTPd
Т.о. при логине из внутренней сетки на шлюз с ftp-сервером было бы видно 
определенное множество папок с заданными правами (выполнения команд 
ftp-протокола), и аналогично для коннекта НЕ из внутренней сетки, поскольку 
диапазон адресов внутренней сетки по условиям задачи можно задать точно.
Всё это достигается несложной манипуляцией c директивами
 <Limit> и <Directory>

Например:
 <Directory other/freshmeat/*>
    <Limit STOR WRITE>
      Order Allow,Deny
      Allow from  192.168.168.
      Deny from all
    </Limit>
  </Directory>


> FTP -- это не приватный протокол, даже в локальной сети.
> Не стоит его использовать каким-либо другим образом, кроме 
> как public read only.
Ну и чем данное замеание вяжется к контексту проблемы???
Не всегда разграничение доступа к информации может или должно быть 
реализовано криптографическими средствами. Протокол не приватный, но это не 
означает его непригодность для решения задач, в которых не выдвигаются 
требования по критериям конфиденциальности.
Конфиденциальность хранимой информации, модель угроз и риски утечки информации  
подготавливаются исполнительным лицом, но утверждаются ответственным лицом 
(например - руководителем организации).

ЗЫ: с сабжем не работал и как данную задачу реализовать в нем - не знаю.

-- 
Best Regards, Nick Fedchik
http://www.fedchik.org.ua/

[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]