LINUX.ORG.RU

Vsftpd 3.0.3

 , ,


0

1

Спустя 3 года с выпуска прошлой версии вышел vsftpd 3.0.3.

Vsftpd отличается своей простотой настройки, высокой производительностью, а также повышенным вниманием к безопасности. Vsftpd используется как ftp-сервер по умолчанию на серверах многих известных проектов, таких как Linux, Red Hat, Debian, FreeBSD и других.

Vsftpd поддерживает SSL, PAM, локальных и виртуальных пользователей и в целом тесно интергрируется с системой.

Так например, чтобы ограничить доступ к директории или файлу, необходимо выставить требуемый chmod на сами файлы и директории, а не редактировать конфигурационные файлы сервера.

Корневая директория сервера будет та, что является домашней директорией пользователя, под которым авторизовался клиент на vsftpd. То есть, когда «anonymous» авторизуется на сервере, запускается процесс vsftpd с правами пользователя ftp, и клиент «anonymous» оказывается в домашней директории пользователя /var/ftp.

Всё это может оказаться неожиданностью для тех, кто привык к «Windows-way» настройкам, но не нужно далеко ходить в поисках настроек: все они буквально под носом.

В новой версии 3.0.3 было внесено не так много изменений, судя по их отсутствию в CHANGELOG, но в своём блоге автор описывает, что все изменения связаны в основном с SSL, так как в реализациях OpenSSL было выявлено множество уязвимостей в последнее время. И все прочие изменения затрагивают лишь усовершенствование безопасности, не привнося никаких новых возможностей в сам ftp-сервер.

>>> Скачать

>>> Подробности

★★★★★

Проверено: beastie ()

высокой производительностью

есть смысл переходить с proftpd на vsftpd?

да-да, я знаю что ftp сам по себе не нужен, но мне он всё-таки еще нужен

reprimand ★★★★★ ()
Ответ на: комментарий от reprimand

лет 5-6 назад натыкался на статейку, где были топ 10 различных по дырявости софтин, proftpd - одна из самых дырявых. Да и несколько лет назад находили дырку в протоколе, была везде, кроме vsftpd.

Хотя «работает - не трогай!» - неписанное правило админа(:

leg0las ★★★★★ ()
Последнее исправление: leg0las (всего исправлений: 1)
Ответ на: комментарий от reprimand

есть смысл переходить с proftpd на vsftpd?

Если не потребует много времени - то имеет, профтпд частенько обзаводится новыми бюллетенями.

Но автор немного лукавит о простоте настроек vsftpd. Он просто - если уже настраивал.

Я обычно использую связку с mysql хранение логинов и паролей + файловые профили для пользователей, где прописываю под какими масками и юзерами они редактируют файлы (полезно для веб директории). Если говорить о простоте - новичок будет долго тупить, не установив модуль pam-mysql и не скопировав в /etc/pam.d/ файлик с настройками, так как обычно в других приложениях реквизиты указываются в конфигах.

BaBL ★★★★★ ()

Не уверен, что в 2015 году нужен FTP. Разве что в каких-то редких случаях.

Wizard_ ★★★★★ ()

повышеному вниманию

Повышенным вниманием

anonymous ()
Ответ на: комментарий от BaBL

Но автор немного лукавит о простоте настроек vsftpd. Он просто - если уже настраивал.

Глупости:) Даже с маном можно поднять без напряга.

vitalikp ()
Ответ на: комментарий от aarexer

При большом количестве мелких файлов ощутимо тормозит. Даже SMB гораздо адекватнее выглядит для файлопомойки.

Wizard_ ★★★★★ ()
Ответ на: комментарий от Wizard_

Тогда что лучше использовать для файлопомойки?samba?

aarexer ()

Очень удобный ftp-сервер.

Сам использую в связке c berkeley db для виртуальных пользователей.

vitalikp ()
Ответ на: комментарий от aarexer

В гетерогенной сети однозначно лучше samba. Если только Linux-компьютеры, да ещё и не слишком слабые, то можно лишних сущностей не плодить, а использовать sftp опционально в связке с autofs.

Wizard_ ★★★★★ ()
Ответ на: комментарий от Wizard_

Допустим, мы оказываем техподдержку. Постояннно нужно клиентам выклдывать файлы обновлений, настроек, документакии. Причём одни клиенты не должны видеть все файлы других. Но есть и общая для всех директория. С помощью ftp это всё легко реализуется. Чем его можно заменить?

vovans ★★★★★ ()
Ответ на: комментарий от Wizard_

Репы дистриба, которые использует каждя первая инсталляция это редкий случай? Там и в 2015 выбор невелик — ftp, http или rsync, и настройки не требует только первый. Хотя наверное для http можно взять какой-нибудь лёгкий сервер, но я не знаю, будет ли для него готовая песочница selinux. И по http не скачать несколько файликов по маске, а на rsync не дать ссылку.

d_a ★★★★★ ()

Так например, чтобы ограничить доступ к директории или файлу, необходимо выставить требуемый chmod на сами файлы и директории, а не редактировать конфигурационные файлы сервера.

А когда настраиваешь виртуальных пользователей + pam? Как им разные права раздать?

splinter ★★★★★ ()
Ответ на: комментарий от Wizard_

Не уверен, что в 2015 году нужен FTP

Повышенной вездесущностью обладает он. Простотой неописуемой так же

pihter ★★★ ()

Там какой то косяк был неизлечимый с таймстемпами, для загружаемых файлов

xorik ★★★★★ ()
Ответ на: комментарий от vitalikp

На openwrt много сюрпризов с кодировками и биндингом ip при запуске.
Опять же, нужно тщательно изучить мануал по принципу управления юзерами, их чрутами и т.п. - оно сильно отличается от других ftpd и «искаропки» работает совсем не так, как старые ftpd в юниксах.

Shadow ★★★★★ ()
Последнее исправление: Shadow (всего исправлений: 1)
Ответ на: комментарий от Wizard_

При большом количестве мелких файлов ощутимо тормозит

Точно не клиент тормозит???

Shadow ★★★★★ ()
Ответ на: комментарий от Slackware_user

Регулярно делаю клоны терабайтных рейдов способом dd if | ssh | dd of. В чём должна быть проблема?

Stage1 ★★ ()
Ответ на: комментарий от vovans

А если через nginx с webdav модулем? Клиент есть изкоробки в вин/макос.

makoven ★★★★★ ()

Vsftpd

Вот смешно мне с этого названия всегда, когда я его вижу. Ещё бы назвали его «The Great Very Secure FTP Daemon». Или «Very-Very Secure FTP Daemon»

anonymous ()
Ответ на: комментарий от reprimand

Если ты точно уверен, что тебе нужен фтп — рассмотри ещё pureftpd и выбери один из этой тройки.

anonymous ()

В новой версии 3.0.3 было внесено не так много изменений, судя по их отсутствию в CHANGELOG

Спуфинг, скажи честно — ты дурак или просто не читал чейнджлог того, о чём новость постишь? Там же английским по белому написано, что список изменений — между отметками версий.

Вот он:

- Increase VSFTP_AS_LIMIT to 200MB; various reports.
- Make the PWD response more RFC compliant; report from Barry Kelly <barry@modeltwozero.com>.
- Remove the trailing period from EPSV response to work around BT Internet issues; report from Tim Bishop <tdb@mirrorservice.org>.
- Fix syslog_enable issues vs. seccomp filtering. Report from Michal Vyskocil <mvyskocil@suse.cz>. At least, syslogging seems to work on my Fedora now.
- Allow gettimeofday() in the seccomp sandbox. I can't repro failures, but I probably have a different distro / libc / etc. and there are multiple reports.
- Some kernels support PR_SET_NO_NEW_PRIVS but not PR_SET_SECCOMP, so handle this case gracefully. Report from Vasily Averin <vvs@odin.com>.
- List the TLS1.2 cipher AES128-GCM-SHA256 as first preference by default.
- Make some compile-time SSL defaults (such as correct client shutdown handling) stricter.
- Disable Nagle algorithm during SSL data connection shutdown, to avoid 200ms delays. From Tim Kosse <tim.kosse@filezilla-project.org>.
- Kill the FTP session if we see HTTP protocol commands, to avoid cross-protocol attacks. A report from Jann Horn <jann@thejh.net>.
- Kill the FTP session if we see session re-use failure. A report from Tim Kosse <tim.kosse@filezilla-project.org>. (vsftpd-3.0.3pre1)
- Enable ECDHE, Tim Kosse <tim.kosse@filezilla-project.org>.
- Default cipher list is now just ECDHE-RSA-AES256-GCM-SHA384.
- Minor SSL logging improvements.
- Un-default tunable_strict_ssl_write_shutdown again. We still have tunable_strict_ssl_read_eof defaulted now, which is the important one to prove upload integrity. (vsftpd-3.0.3pre2)

beastie, к тебе это тоже относится, хоть и меньше. Плохой модератор, фу таким быть.

anonymous ()
Ответ на: комментарий от anonymous
At this point: v3.0.3 released!
===============================

а дальше пусто. или вы хотите сказать, что я не осилил уникальное оформление changelog'а автора, когда он сперва пишет изменения, а затем уже заголовок о релизе под всем этим?

Spoofing ★★★★★ ()
Ответ на: комментарий от anonymous

если посмотреть на самое первое «сообщение» в changelog, то все верно: сперва идёт заголовок, затем список измнений. и так везде. у всех. и далее ниже по тексту.

а то что вы накатили, это относится к предыдущему 3.0.2

Spoofing ★★★★★ ()
Ответ на: комментарий от Spoofing

Спуфинг, я понял — ты таки дурак. Автор пишет, как в дневничке:

  1. Выложил версию 0.0.1.
  2. Добавил что-то.
  3. Добавил ещё что-то.
  4. Выложил версию 0.0.2.

если посмотреть на самое первое «сообщение» в changelog, то все верно: сперва идёт заголовок, затем список измнений. и так везде. у всех. и далее ниже по тексту.

А у версии 0.0.1 нет списка изменений! По сравнению с чем он там должен быть?

Ещё вопрос: тебя с твоей версией пометка «(vsftpd-3.0.3pre2)» на последней строчке того, что, как ты думаешь, является списком изменений для 3.0.2, не смущает ни капли?

anonymous ()
Ответ на: комментарий от Spoofing

Английским по белому написано же! «At this point» перед каждым номером версии никаких мыслей не вызвало? =)

anonymous ()
Ответ на: комментарий от anonymous

а вы америки госдолг видели? а на быдланете вообще новость позднее появилась!

Spoofing ★★★★★ ()
Ответ на: комментарий от anonymous

оправдываюсь, что не всё так плохо, простите.

Spoofing ★★★★★ ()

Vsftpd используется как ftp-сервер по умолчанию на серверах многих известных проектов, таких как Linux, Red Hat, Debian
Linux, Red Hat, Debian

я правда не понял.

anonymous ()
Ответ на: комментарий от Wizard_

Не уверен, что в 2015 году нужен FTP. Разве что в каких-то редких случаях.

Универсальный протокол обмена файлами между компами. Жутко редкий случай, правда?

Kroz ★★★★★ ()

Vsftpd используется как ftp-сервер по умолчанию на серверах многих известных проектов, таких как Linux, Red Hat, Debian
Linux, Red Hat, Debian

Red Hat не Linux
GNU не Unix
Снегири не гири.

Ну что за мир!

Kroz ★★★★★ ()
Ответ на: комментарий от Stage1

в таком варианте проблем нет. а вот с fish:// sshfs и прочими поделками проблема в скорорсти передачи в 100к\с и в том что оно все в память норовит загрузить перед передачей.

Slackware_user ★★★★★ ()
Ответ на: комментарий от Slackware_user

а вот с fish://

Кде? Не надо «fish://», надо «sftp://».

sshfs и прочими поделками

o_O

проблема в скорорсти передачи в 100к\с

В проц упирается? Поставь другое шифрование, раз ты с калькулятора и тебе файлы не жалко.

все в память норовит загрузить перед передачей

O_o

anonymous ()
Ответ на: комментарий от Slackware_user

а ос Linux мне бы оч хотелось увидеть)

Попроси Школьник-куна, чтобы он следующей версии своей бугуртоси дал кодовое имя «Лялих». Будет смешно.

anonymous ()
Ответ на: комментарий от anonymous

Intel Xeon E5. сеть гигабит. не в шифрование оно упирается а в кривые руки программистов писавших реализацию.

Slackware_user ★★★★★ ()

Так например, чтобы ограничить доступ к директории или файлу, необходимо выставить требуемый chmod на сами файлы и директории, а не редактировать конфигурационные файлы сервера.

Вот это поворт!!!

snaf ★★★★★ ()
Ответ на: комментарий от aarexer

Тогда что лучше использовать для файлопомойки?samba?

scp

snaf ★★★★★ ()
Ответ на: комментарий от Wizard_

Не уверен, что в 2015 году нужен FTP. Разве что в каких-то редких случаях.

К примеру, хостинг, 10 пользователей. Каждому нужен аккаунт с доступом в web папку под своим логином и паролем, от которых вебсервер запускает приложение.

Если ты им создашь юзерские аккаунты с хомяками в этих папках и будешь логинить через SSH - им придется еще и шелл ставить, иначе не войдут. А теперь представь еще что к всему этому есть доступ из веба... А то что иногда всплывают Local Privilege Escalation еще? Лучше дать им FTP, за который они не выйдут.

Второй случай - крупный проект, есть админы, есть контентщики. Вебсервер стартует под пользователем www-data, стандартным, снова же без шелла. Админы не хотят давать контентщикам доступ к серверу и ssh.


Я может чего-то не понимаю? Как это кроме фтп все оформить? Можно сделать sudo sftp-server NOPASSWD и в winscp засунуть, чтобы юзер мог писать, но он с тем же успехом получит доступ ко всему на сервере. Это только админам годится и то не рекомендовал бы.

BaBL ★★★★★ ()
Ответ на: комментарий от Kroz

Да блин, неужели вы до сих пор не доперли, что имеются в виду kernel.org, redhat.com и его зеркала и т.д.?

DeadEye ★★★★★ ()

Vsftpd отличается своей простотой настройки

вообще в своём уме?

tommy ★★★★★ ()

Использую дома proftpd для связи компа со смартфоном. Уже лет 5 как. Доволен. Vsftpd не осилил за 5 минут. Плюнул. Proftpd как-то был более интуитивно понятен. Всё быстро поднялось, запустилось, заиграло... лучшее - враг хорошего!)) Наладил - не лезу.

Desmond_Hume ★★★★★ ()
Ответ на: комментарий от Desmond_Hume

не устали обновлять по security?

у меня одно время остяли оба сервера, использовался vsftpd. proftpd снес после того как он несколько раз попал в GLSA

Slackware_user ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.