24.09.2009

Пакет harden-servers

Сегодня пришлось разворачивать ftp-сервер. Не связывался с этой гадостью уже наверное лет 8. Стал смотреть что предлагается в дебиановских репозитариях, остановился на vsftpd. Но пост не об этом.

Как вариант рассматривал ProFTPd. Обнаружил у него в конфликтах интересный пакет harden-servers. Он конфликтует с целым ворохом пакетов (цитирую):

  • сетевые службы, которые требуют пароля простым текстом;
  • пакеты, которые могут дать кому-либо доступ к локальному хосту без разрешения;
  • пакеты, выдающие системную информацию удалённым пользователям.

Приписка в конце описания:

NOTE! This package will not make your system uncrackable, and it is not intended to do so. Making your system secure involves a LOT more than just installing a package.

Update: harden-servers конфликтует и с vsftpd тоже. Не даром я давно проклял этот протокол.

Комментарии

24.09.09 09:21 ihanick комментирует:

c ipsec он вполне ничего

24.09.09 11:12 morbo комментирует:

Есть ещё FTPS и FTPES.

Первое - туннелированный через SSL управляющий канал обычного FTP. Работает на порту 990. Можно ставить любой FTP-сервер, завернуть его через stunnel и пользоваться.

Второе - это обычный FTP-протокол, дополненный схемами авторизации по TLS. TLS, как известно, используется для шифрования при отправке и приёме почты по протоколам SMTP и IMAP.

Недостатками защищённых версий протокола FTP является то, что фаерволл не сможет заглянуть в управляющее соединение и проковырять в себе дырку для соединения передачи данных. Частично проблемы можно избежать, если использовать пассивный режим FTP, когда соединение для передачи данных инициируется клиентом. В этом случае FTP-серверу можно заранее сообщить диапазон открытых в фаерволле портов, на которые он может попросить подключиться клиента. В предельном случае это один-единственный TCP-порт номер 20.

Кроме того, нет ничего опасного в применении протокола FTP, если он используется в доверенной локальной сети, или через безопасный туннель IPSec/PPP/PPTP, или используется только в анонимном режиме для раздачи файлов кому угодно.