* [Sysadmins] vsftpd vs proftpd
@ 2008-12-24 18:20 Алексей Синицын
2008-12-24 18:34 ` Konstantin A. Lepikhov
` (2 more replies)
0 siblings, 3 replies; 8+ messages in thread
From: Алексей Синицын @ 2008-12-24 18:20 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Приветствую.
Для простых нужд пробую организовать ftp. Интерес привлёк vsftpd, в
частности своим названием.
Но возникла небольшая проблема. Как у Карлсона, когда он объяснял
малышу, что ночью он спит как убитый и до обеда тоже. А вот после
обеда - ворочается с боку на бок и никак не может заснуть. Так и у
меня, vsftpd встал и заработал, анонимный доступ включился одним
прикосновением. Но хочется разделить содержимое и раздавать по разным
логинам разное. Отсюда - авторизация, разные пользователи и разные
точки входа. Авторизация заработала так-же на ура и с полутора
движений. Но заводить мусорных пользователей в системе как-то неохота.
Следовательно имеет смысл сделать виртуальных.
И вот тут начинается послеобеденная бессоница. К пакету есть
документация с примерами. Всё просто. Всё делаю по описанию.
Авторизация обламывается. Нашёл схожий вопрос в community@ от 15
августа 2007 г. 8:30, на который так и не было ответа (у меня -
отличие, в логах "FAIL LOGIN"). Знакомый подсказал что db_load из
пакета db4.3-utils он заменил на пакет третьей версии, но в
репозитарии (бранч 4.1) такого нет. Попытка сделать авторизацию не
через Berkeley DB а через файл htpasswd2, так-же не увенчалась.
И вот тут, на (стесняюсь сказать) ЛОР, обсуждая vsftpd говорят что
proftpd проще в настройке (так-же, в контексте виртуальных
пользователей). Насколько это соответствует, и насколько слова very
secure в названии первого секурнее professional второго? Нагрузки
большой и много коннектов не ожидается, нужно сделать несколько
пользователей существующих только в контексте ftp с разными точками
входа и возможно ограничить ширину раздачи.
^ permalink raw reply [flat|nested] 8+ messages in thread* Re: [Sysadmins] vsftpd vs proftpd 2008-12-24 18:20 [Sysadmins] vsftpd vs proftpd Алексей Синицын @ 2008-12-24 18:34 ` Konstantin A. Lepikhov 2008-12-24 19:30 ` Алексей Синицын 2008-12-26 21:04 ` Alexey Shabalin 2009-01-12 9:14 ` Alexey Borisenkov 2 siblings, 1 reply; 8+ messages in thread From: Konstantin A. Lepikhov @ 2008-12-24 18:34 UTC (permalink / raw) To: ALT Linux sysadmin discuss Hi Алексей! Wednesday 24, at 09:20:53 PM you wrote: .... > И вот тут начинается послеобеденная бессоница. К пакету есть > документация с примерами. Всё просто. Всё делаю по описанию. > Авторизация обламывается. Нашёл схожий вопрос в community@ от 15 > августа 2007 г. 8:30, на который так и не было ответа (у меня - > отличие, в логах "FAIL LOGIN"). Знакомый подсказал что db_load из > пакета db4.3-utils он заменил на пакет третьей версии, но в > репозитарии (бранч 4.1) такого нет. Попытка сделать авторизацию не > через Berkeley DB а через файл htpasswd2, так-же не увенчалась. Странно, у меня подобная схема работала (авторизация через userdb). Система была на сизифе 2007г. Надо будет глянуть на этот тазик. > > И вот тут, на (стесняюсь сказать) ЛОР, обсуждая vsftpd говорят что > proftpd проще в настройке (так-же, в контексте виртуальных > пользователей). Насколько это соответствует, и насколько слова very > secure в названии первого секурнее professional второго? Нагрузки > большой и много коннектов не ожидается, нужно сделать несколько > пользователей существующих только в контексте ftp с разными точками > входа и возможно ограничить ширину раздачи. Как в прошлом мантейнер proftpd могу сказать что он нифига не проще. Много функционала в нем реализовано в виде сторонних модулей, написанных людьми с разной квалификацией, поэтому общее качество кода сильно разное. Отдельные плагины написаны "для галочки" (например, ftp over tls), и работают тоже соответственно. Зато довольно удобная система учета трафика, поддержка различных систем авторизации (включая извраты вроде сначала залезем в sql, потом в ldap, а потом в pam). Но опять же, из-за большого числа плагинов страдает общая безопасность, поскольку потенциальных дырок там может быть сколько угодно. Еще одно отличие от vsftpd - proftpd никогда не позиционировал себя как "very secure" решение, аудита кода никто не проводил и гарантий не давал %) -- WBR et al. ^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Sysadmins] vsftpd vs proftpd 2008-12-24 18:34 ` Konstantin A. Lepikhov @ 2008-12-24 19:30 ` Алексей Синицын 0 siblings, 0 replies; 8+ messages in thread From: Алексей Синицын @ 2008-12-24 19:30 UTC (permalink / raw) To: ALT Linux sysadmin discuss 24 декабря 2008 г. 21:34 пользователь Konstantin A. Lepikhov <lakostis@unsafe.ru> написал: > Hi Алексей! > > Wednesday 24, at 09:20:53 PM you wrote: > > .... >> И вот тут начинается послеобеденная бессоница. К пакету есть >> документация с примерами. Всё просто. Всё делаю по описанию. >> Авторизация обламывается. Нашёл схожий вопрос в community@ от 15 >> августа 2007 г. 8:30, на который так и не было ответа (у меня - >> отличие, в логах "FAIL LOGIN"). Знакомый подсказал что db_load из >> пакета db4.3-utils он заменил на пакет третьей версии, но в >> репозитарии (бранч 4.1) такого нет. Попытка сделать авторизацию не >> через Berkeley DB а через файл htpasswd2, так-же не увенчалась. > Странно, у меня подобная схема работала (авторизация через userdb). > Система была на сизифе 2007г. Надо будет глянуть на этот тазик. > Пробую сейчас ещё раз с нуля: После удаления пакета и всего что может относиться: apt-get install vsftpd cd /etc/vsftpd cp /usr/share/doc/vsftpd-2.0.6/EXAMPLE/VIRTUAL_USERS/vsftpd.conf . Переименовал и сменил в последнем listen=YES на NO, потому-что помню что он сам не заработал в прошлый раз и потому-что через xinetd мне кажется красивее а на работу, по идее, влиять не должно. cd /etc/pam.d cp /usr/share/doc/vsftpd-2.0.6/EXAMPLE/VIRTUAL_USERS/vsftpd.pam . mv vsftpd vsftpd.orig mv vsftpd.pam vsftpd Долго думал, нужна-ли строчка #%PAM-1.0 в начале этого файла как в оригинальном и всех остальных, добавил в файл из примера. По файлу /usr/share/doc/vsftpd-2.0.6/EXAMPLE/VIRTUAL_USERS/README : Step 1) Create the virtual users database. db_load -T -t hash -f logins.txt /etc/vsftpd_login.db Программы db_load нет, apt-cache search db_load даёт пустоту, но "db" нам как-бы намекает: apt-get install db<tab> db1-utils уже установлен, ставим db4.3-utils - программа появилась, попали. Создаем файл logins.txt, в котором две строки - test test , на всякий случай удостоверяемся что в конце последней строки есть ещё один символ перевода строки. db_load -T -t hash -f logins.txt /etc/vsftpd_login.db В примере для pam указан файл /etc/vsftpd_login , на всякий случай создаём в /etc такую символическую ссылку на vsftpd_login.db (заглянув в него, увидел где-то в недрах своих тестов, удивился приколу, подумал что плэйн текст всё-же лучше). Создаём, далее, по описанию нашего виртуала, подкладываем ему зачем-то hosts (надо - так надо), затем в описании создание конфига который я уже подложил, и старт vstfpd, вместо которого я делаю service xinetd restart . Затем пробуем: 22:18 al@wind ~ $ ftp localhost 10021 ftp: connect: Connection refused ftp> % ctrl d 22:18 al@wind ~ $ ftp localhost Connected to localhost (127.0.0.1). 220 (vsFTPd 2.0.6) Name (localhost:al): test 331 Please specify the password. Password: 530 Login incorrect. Login failed. ftp> В логе ничего. Вообще, в ходе подёргиваний в прошлый раз что-то и в логах оставалось, но на этот раз воспроизводил всё чисто по описанию. Собственно, знакомый сказал что по этому описанию все заработало, но у него кажется сизиф. Где искать - просто не понимаю. cat /etc/apt/sources.list rpm ftp://ftp.altlinux.org/pub/distributions/ALTLinux/4.1/branch/ i586 classic rpm ftp://ftp.altlinux.org/pub/distributions/ALTLinux/4.1/branch/ noarch classic ^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Sysadmins] vsftpd vs proftpd 2008-12-24 18:20 [Sysadmins] vsftpd vs proftpd Алексей Синицын 2008-12-24 18:34 ` Konstantin A. Lepikhov @ 2008-12-26 21:04 ` Alexey Shabalin 2008-12-27 9:59 ` Алексей Синицын 2009-01-12 9:14 ` Alexey Borisenkov 2 siblings, 1 reply; 8+ messages in thread From: Alexey Shabalin @ 2008-12-26 21:04 UTC (permalink / raw) To: ALT Linux sysadmin discuss 24 декабря 2008 г. 21:20 пользователь Алексей Синицын написал: > Приветствую. > Но заводить мусорных пользователей в системе как-то неохота. > Следовательно имеет смысл сделать виртуальных. Попробуйте pure-ftpd. > И вот тут, на (стесняюсь сказать) ЛОР, обсуждая vsftpd говорят что > proftpd проще в настройке (так-же, в контексте виртуальных > пользователей). Насколько это соответствует, и насколько слова very > secure в названии первого секурнее professional второго? Про безопасность pure-ftpd ничего конкретно сказать не могу, но виртуальных пользователей заводить крайне легко. Да и работает вполне прилично (по отзывам знакомого). -- Alexey Shabalin ^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Sysadmins] vsftpd vs proftpd 2008-12-26 21:04 ` Alexey Shabalin @ 2008-12-27 9:59 ` Алексей Синицын 0 siblings, 0 replies; 8+ messages in thread From: Алексей Синицын @ 2008-12-27 9:59 UTC (permalink / raw) To: shaba, ALT Linux sysadmin discuss 27 декабря 2008 г. 0:04 пользователь Alexey Shabalin <a.shabalin@gmail.com> написал: > 24 декабря 2008 г. 21:20 пользователь Алексей Синицын написал: >> Приветствую. >> Но заводить мусорных пользователей в системе как-то неохота. >> Следовательно имеет смысл сделать виртуальных. > Попробуйте pure-ftpd. > >> И вот тут, на (стесняюсь сказать) ЛОР, обсуждая vsftpd говорят что >> proftpd проще в настройке (так-же, в контексте виртуальных >> пользователей). Насколько это соответствует, и насколько слова very >> secure в названии первого секурнее professional второго? > Про безопасность pure-ftpd ничего конкретно сказать не могу, но > виртуальных пользователей заводить крайне легко. > Да и работает вполне прилично (по отзывам знакомого). > Спасибо, попробую. ^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Sysadmins] vsftpd vs proftpd 2008-12-24 18:20 [Sysadmins] vsftpd vs proftpd Алексей Синицын 2008-12-24 18:34 ` Konstantin A. Lepikhov 2008-12-26 21:04 ` Alexey Shabalin @ 2009-01-12 9:14 ` Alexey Borisenkov 2009-01-12 9:16 ` Slava Dubrovskiy 2 siblings, 1 reply; 8+ messages in thread From: Alexey Borisenkov @ 2009-01-12 9:14 UTC (permalink / raw) To: ALT Linux sysadmin discuss Алексей Синицын пишет: > И вот тут начинается послеобеденная бессоница. К пакету есть > документация с примерами. Всё просто. Всё делаю по описанию. > Авторизация обламывается. Нашёл схожий вопрос в community@ от 15 > августа 2007 г. 8:30, на который так и не было ответа (у меня - > отличие, в логах "FAIL LOGIN"). Похоже это от того, что в нашем vsftpd используется pam_userpass У меня заработало с таким конфигом в /etc/pam.d/vsftpd: #%PAM-1.0 auth required pam_userpass.so auth required pam_userdb.so db=/etc/vsftpd_login use_first_pass account required pam_userdb.so db=/etc/vsftpd_login Наверное стоит и в пакете в описание с примерами изменения внести. ^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Sysadmins] vsftpd vs proftpd 2009-01-12 9:14 ` Alexey Borisenkov @ 2009-01-12 9:16 ` Slava Dubrovskiy 2009-01-12 9:42 ` Alexey Borisenkov 0 siblings, 1 reply; 8+ messages in thread From: Slava Dubrovskiy @ 2009-01-12 9:16 UTC (permalink / raw) To: ALT Linux sysadmin discuss [-- Attachment #1: Type: text/plain, Size: 1168 bytes --] Alexey Borisenkov пишет: >> И вот тут начинается послеобеденная бессоница. К пакету есть >> документация с примерами. Всё просто. Всё делаю по описанию. >> Авторизация обламывается. Нашёл схожий вопрос в community@ от 15 >> августа 2007 г. 8:30, на который так и не было ответа (у меня - >> отличие, в логах "FAIL LOGIN"). > > Похоже это от того, что в нашем vsftpd используется pam_userpass > У меня заработало с таким конфигом в /etc/pam.d/vsftpd: > > #%PAM-1.0 > auth required pam_userpass.so > auth required pam_userdb.so db=/etc/vsftpd_login use_first_pass > account required pam_userdb.so db=/etc/vsftpd_login > > Наверное стоит и в пакете в описание с примерами изменения внести. Багу для памяти сделайте плз. А то тоже копался как-то и не поборол. -- WBR, Dubrovskiy Vyacheslav [-- Attachment #2: S/MIME Cryptographic Signature --] [-- Type: application/x-pkcs7-signature, Size: 3262 bytes --] ^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Sysadmins] vsftpd vs proftpd 2009-01-12 9:16 ` Slava Dubrovskiy @ 2009-01-12 9:42 ` Alexey Borisenkov 0 siblings, 0 replies; 8+ messages in thread From: Alexey Borisenkov @ 2009-01-12 9:42 UTC (permalink / raw) To: ALT Linux sysadmin discuss Slava Dubrovskiy пишет: > Alexey Borisenkov пишет: > Багу для памяти сделайте плз. А то тоже копался как-то и не поборол. #18489 ^ permalink raw reply [flat|nested] 8+ messages in thread
end of thread, other threads:[~2009-01-12 9:42 UTC | newest] Thread overview: 8+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2008-12-24 18:20 [Sysadmins] vsftpd vs proftpd Алексей Синицын 2008-12-24 18:34 ` Konstantin A. Lepikhov 2008-12-24 19:30 ` Алексей Синицын 2008-12-26 21:04 ` Alexey Shabalin 2008-12-27 9:59 ` Алексей Синицын 2009-01-12 9:14 ` Alexey Borisenkov 2009-01-12 9:16 ` Slava Dubrovskiy 2009-01-12 9:42 ` Alexey Borisenkov
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git