From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <40BDB9D3.2090209@l14.ru> Date: Wed, 02 Jun 2004 15:28:19 +0400 From: =?KOI8-R?Q?=E1=CC=C5=CB=D3=C5=CA_=EC=C0=C2=C9=CD=CF=D7?= User-Agent: Mozilla/5.0 (X11; U; Linux i686; ru-RU; rv:1.6) Gecko/20040310 X-Accept-Language: ru-ru, ru MIME-Version: 1.0 To: ALT Linux Sisyphus discussion list X-Enigmail-Version: 0.83.3.0 X-Enigmail-Supports: pgp-inline, pgp-mime Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit Subject: [sisyphus] =?koi8-r?b?99nCz9IgZnRwLdPF0tfF0sEu?= X-BeenThere: sisyphus@altlinux.ru X-Mailman-Version: 2.1.5 Precedence: list Reply-To: ALT Linux Sisyphus discussion list List-Id: ALT Linux Sisyphus discussion list List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 02 Jun 2004 10:25:28 -0000 Archived-At: List-Archive: Кто может посоветовать в качестве корпоративного ftp сервера? Обязательно: Самостоятельный запуск (standalone), поскольку необходимы виртуальные ip и port серверы. Авторизация в sasl2. Виртуальные серверы по портам и адресам. ACL на директории и файлы (по адресам получателя и именам пользователей) Приличная история в части критических уязвимостей Разумные требования к железу и вменяемый конфиг (или систему конфигов) Ограничения на количество коннектов на сервер Желательно: Умение лазить за пользоватетелями в ldap Наличие плагинчиков для ограничения скорости и объема трафика посредством acl или на уровне виртуальных серверов. Реально работающий bind к интерфейсам. Общая схема такая. Имеем N алиасов и (или) интерфейсов. На каждый интерфейс в конфиге заводится стандартная конструкция из одного или более миртуальных серверов. Например, на интерфейсе 192.168.1.1 три сервера на портах 21,8021,9021 на интерфейсе 192.168.1.2 два сервера на портах 21,8021 на интерфейсе 192.168.1.3 три сервера на портах 21,8021,9021 В идеале, на остальных интерфейсах порты 21,8021,9021 должны быть вообще закрыты. Я рассматривал proftpd и uw-imapd. Последний мало что может и дыряв. Первый может гораздо больше, но примерно полуторагодовалая практика показала, что он крайне запутан и капризен. Кроме того, proftpd очень уж разлапист. Проводим тест: Создаем три виртуальных сервера на трех интерфейсах на портах 192.168.1.1:21, 192.168.1.2:121,192.168.1.3:221 во всех трех записях присутствуют опции port и bind слушаем nmap-om все три интерфейса и наблюдаем, что на всех трех открыты все три порта 21,121,221 заходим телнетом на все девять портов и наблюдаем, что три из них (как раз основные) работают, а на 6-ти побочных proftpd отвечает, что мол нету подходящего сервера. В принципе, это поведение отвечает минимальным требованиям, но прямо скажем, "неаккуратненько". Тест 2: Пытаемся поднять схему два интерфеса и два порта на каждом. 192.168.1.1:21 192.168.1.1:121 192.168.1.2:21 192.168.1.2:121 И тут уже получаем ошибку bind() 0.0.0.0:21 already use При этом комбинация 192.168.1.1:21 192.168.1.2:21 192.168.1.3:21 192.168.1.3:121 работает. А если включить сюдаже желание proftpd иметь основной сервер помимо виртуальных (про port 0 читал, пробовал, не работает), что затрудняет автоматическую генерацию конфига... Вопрос, есть ли серверы, которые ведут себя более предсказуемо и масштабируемо, нежели proftpd? Да. vserver может решить все эти проблемы, но это другая тема.