24.09.2009
Пакет harden-servers
Сегодня пришлось разворачивать ftp-сервер. Не связывался с этой гадостью уже наверное лет 8. Стал смотреть что предлагается в дебиановских репозитариях, остановился на vsftpd. Но пост не об этом.
Как вариант рассматривал ProFTPd. Обнаружил у него в конфликтах интересный пакет harden-servers. Он конфликтует с целым ворохом пакетов (цитирую):
- сетевые службы, которые требуют пароля простым текстом;
- пакеты, которые могут дать кому-либо доступ к локальному хосту без разрешения;
- пакеты, выдающие системную информацию удалённым пользователям.
Приписка в конце описания:
NOTE! This package will not make your system uncrackable, and it is not intended to do so. Making your system secure involves a LOT more than just installing a package.
Update: harden-servers конфликтует и с vsftpd тоже. Не даром я давно проклял этот протокол.
Комментарии
24.09.09 09:21 ihanick комментирует:
24.09.09 11:12 morbo комментирует:
Первое - туннелированный через SSL управляющий канал обычного FTP. Работает на порту 990. Можно ставить любой FTP-сервер, завернуть его через stunnel и пользоваться.
Второе - это обычный FTP-протокол, дополненный схемами авторизации по TLS. TLS, как известно, используется для шифрования при отправке и приёме почты по протоколам SMTP и IMAP.
Недостатками защищённых версий протокола FTP является то, что фаерволл не сможет заглянуть в управляющее соединение и проковырять в себе дырку для соединения передачи данных. Частично проблемы можно избежать, если использовать пассивный режим FTP, когда соединение для передачи данных инициируется клиентом. В этом случае FTP-серверу можно заранее сообщить диапазон открытых в фаерволле портов, на которые он может попросить подключиться клиента. В предельном случае это один-единственный TCP-порт номер 20.
Кроме того, нет ничего опасного в применении протокола FTP, если он используется в доверенной локальной сети, или через безопасный туннель IPSec/PPP/PPTP, или используется только в анонимном режиме для раздачи файлов кому угодно.