Vsftpd 3.0.3

высокой производительностью

есть смысл переходить с proftpd на vsftpd?

да-да, я знаю что ftp сам по себе не нужен, но мне он всё-таки еще нужен

лет 5-6 назад натыкался на статейку, где были топ 10 различных по дырявости софтин, proftpd - одна из самых дырявых. Да и несколько лет назад находили дырку в протоколе, была везде, кроме vsftpd.

Хотя «работает - не трогай!» - неписанное правило админа(:

есть смысл переходить с proftpd на vsftpd?

Если не потребует много времени - то имеет, профтпд частенько обзаводится новыми бюллетенями.

Но автор немного лукавит о простоте настроек vsftpd. Он просто - если уже настраивал.

Я обычно использую связку с mysql хранение логинов и паролей + файловые профили для пользователей, где прописываю под какими масками и юзерами они редактируют файлы (полезно для веб директории). Если говорить о простоте - новичок будет долго тупить, не установив модуль pam-mysql и не скопировав в /etc/pam.d/ файлик с настройками, так как обычно в других приложениях реквизиты указываются в конфигах.

Не уверен, что в 2015 году нужен FTP. Разве что в каких-то редких случаях.

Как файлопомойка почему бы и нет?

повышеному вниманию

Повышенным вниманием

Но автор немного лукавит о простоте настроек vsftpd. Он просто - если уже настраивал.

Глупости:) Даже с маном можно поднять без напряга.

При большом количестве мелких файлов ощутимо тормозит. Даже SMB гораздо адекватнее выглядит для файлопомойки.

Тогда что лучше использовать для файлопомойки?samba?

Очень удобный ftp-сервер.

Сам использую в связке c berkeley db для виртуальных пользователей.

В гетерогенной сети однозначно лучше samba. Если только Linux-компьютеры, да ещё и не слишком слабые, то можно лишних сущностей не плодить, а использовать sftp опционально в связке с autofs.

сколько инвалидов положат серв?

Допустим, мы оказываем техподдержку. Постояннно нужно клиентам выклдывать файлы обновлений, настроек, документакии. Причём одни клиенты не должны видеть все файлы других. Но есть и общая для всех директория. С помощью ftp это всё легко реализуется. Чем его можно заменить?

Репы дистриба, которые использует каждя первая инсталляция это редкий случай? Там и в 2015 выбор невелик — ftp, http или rsync, и настройки не требует только первый. Хотя наверное для http можно взять какой-нибудь лёгкий сервер, но я не знаю, будет ли для него готовая песочница selinux. И по http не скачать несколько файликов по маске, а на rsync не дать ссылку.

Так например, чтобы ограничить доступ к директории или файлу, необходимо выставить требуемый chmod на сами файлы и директории, а не редактировать конфигурационные файлы сервера.

А когда настраиваешь виртуальных пользователей + pam? Как им разные права раздать?

Не уверен, что в 2015 году нужен FTP

Повышенной вездесущностью обладает он. Простотой неописуемой так же

Там какой то косяк был неизлечимый с таймстемпами, для загружаемых файлов

На openwrt много сюрпризов с кодировками и биндингом ip при запуске.
Опять же, нужно тщательно изучить мануал по принципу управления юзерами, их чрутами и т.п. - оно сильно отличается от других ftpd и «искаропки» работает совсем не так, как старые ftpd в юниксах.

При большом количестве мелких файлов ощутимо тормозит

Точно не клиент тормозит???

скопируй файл на 40Гб. по sftp.

Регулярно делаю клоны терабайтных рейдов способом dd if | ssh | dd of. В чём должна быть проблема?

А если через nginx с webdav модулем? Клиент есть изкоробки в вин/макос.

Vsftpd

Вот смешно мне с этого названия всегда, когда я его вижу. Ещё бы назвали его «The Great Very Secure FTP Daemon». Или «Very-Very Secure FTP Daemon»

Если ты точно уверен, что тебе нужен фтп — рассмотри ещё pureftpd и выбери один из этой тройки.

В новой версии 3.0.3 было внесено не так много изменений, судя по их отсутствию в CHANGELOG

Спуфинг, скажи честно — ты дурак или просто не читал чейнджлог того, о чём новость постишь? Там же английским по белому написано, что список изменений — между отметками версий.

Вот он:

- Increase VSFTP_AS_LIMIT to 200MB; various reports.
- Make the PWD response more RFC compliant; report from Barry Kelly <barry@modeltwozero.com>.
- Remove the trailing period from EPSV response to work around BT Internet issues; report from Tim Bishop <tdb@mirrorservice.org>.
- Fix syslog_enable issues vs. seccomp filtering. Report from Michal Vyskocil <mvyskocil@suse.cz>. At least, syslogging seems to work on my Fedora now.
- Allow gettimeofday() in the seccomp sandbox. I can't repro failures, but I probably have a different distro / libc / etc. and there are multiple reports.
- Some kernels support PR_SET_NO_NEW_PRIVS but not PR_SET_SECCOMP, so handle this case gracefully. Report from Vasily Averin <vvs@odin.com>.
- List the TLS1.2 cipher AES128-GCM-SHA256 as first preference by default.
- Make some compile-time SSL defaults (such as correct client shutdown handling) stricter.
- Disable Nagle algorithm during SSL data connection shutdown, to avoid 200ms delays. From Tim Kosse <tim.kosse@filezilla-project.org>.
- Kill the FTP session if we see HTTP protocol commands, to avoid cross-protocol attacks. A report from Jann Horn <jann@thejh.net>.
- Kill the FTP session if we see session re-use failure. A report from Tim Kosse <tim.kosse@filezilla-project.org>. (vsftpd-3.0.3pre1)
- Enable ECDHE, Tim Kosse <tim.kosse@filezilla-project.org>.
- Default cipher list is now just ECDHE-RSA-AES256-GCM-SHA384.
- Minor SSL logging improvements.
- Un-default tunable_strict_ssl_write_shutdown again. We still have tunable_strict_ssl_read_eof defaulted now, which is the important one to prove upload integrity. (vsftpd-3.0.3pre2)

beastie, к тебе это тоже относится, хоть и меньше. Плохой модератор, фу таким быть.

At this point: v3.0.3 released!
===============================

а дальше пусто. или вы хотите сказать, что я не осилил уникальное оформление changelog'а автора, когда он сперва пишет изменения, а затем уже заголовок о релизе под всем этим?

если посмотреть на самое первое «сообщение» в changelog, то все верно: сперва идёт заголовок, затем список измнений. и так везде. у всех. и далее ниже по тексту.

а то что вы накатили, это относится к предыдущему 3.0.2

Спуфинг, я понял — ты таки дурак. Автор пишет, как в дневничке:

1. Выложил версию 0.0.1.
2. Добавил что-то.
3. Добавил ещё что-то.
4. Выложил версию 0.0.2.

если посмотреть на самое первое «сообщение» в changelog, то все верно: сперва идёт заголовок, затем список измнений. и так везде. у всех. и далее ниже по тексту.

А у версии 0.0.1 нет списка изменений! По сравнению с чем он там должен быть?

Ещё вопрос: тебя с твоей версией пометка «(vsftpd-3.0.3pre2)» на последней строчке того, что, как ты думаешь, является списком изменений для 3.0.2, не смущает ни капли?

дневничок, ясно, понятно, кто ж знал. :)

Английским по белому написано же! «At this point» перед каждым номером версии никаких мыслей не вызвало? =)

а вы америки госдолг видели? а на быдланете вообще новость позднее появилась!

Это к чему?

оправдываюсь, что не всё так плохо, простите.

Vsftpd используется как ftp-сервер по умолчанию на серверах многих известных проектов, таких как Linux, Red Hat, Debian
Linux, Red Hat, Debian

я правда не понял.

Не уверен, что в 2015 году нужен FTP. Разве что в каких-то редких случаях.

Универсальный протокол обмена файлами между компами. Жутко редкий случай, правда?

Vsftpd используется как ftp-сервер по умолчанию на серверах многих известных проектов, таких как Linux, Red Hat, Debian
Linux, Red Hat, Debian

Red Hat не Linux
GNU не Unix
Снегири не гири.

Ну что за мир!

в таком варианте проблем нет. а вот с fish:// sshfs и прочими поделками проблема в скорорсти передачи в 100к\с и в том что оно все в память норовит загрузить перед передачей.

Debian тоже не Linux )

он GNU/LINUX ))

а ос Linux мне бы оч хотелось увидеть)

а вот с fish://

Кде? Не надо «fish://», надо «sftp://».

sshfs и прочими поделками

o_O

проблема в скорорсти передачи в 100к\с

В проц упирается? Поставь другое шифрование, раз ты с калькулятора и тебе файлы не жалко.

все в память норовит загрузить перед передачей

O_o

а ос Linux мне бы оч хотелось увидеть)

Попроси Школьник-куна, чтобы он следующей версии своей бугуртоси дал кодовое имя «Лялих». Будет смешно.

Intel Xeon E5. сеть гигабит. не в шифрование оно упирается а в кривые руки программистов писавших реализацию.

Так например, чтобы ограничить доступ к директории или файлу, необходимо выставить требуемый chmod на сами файлы и директории, а не редактировать конфигурационные файлы сервера.

Вот это поворт!!!

Тогда что лучше использовать для файлопомойки?samba?

scp

Чем его можно заменить?

nfs || webdav

Вебнёй типа owncloud, например.

Не уверен, что в 2015 году нужен FTP. Разве что в каких-то редких случаях.

К примеру, хостинг, 10 пользователей. Каждому нужен аккаунт с доступом в web папку под своим логином и паролем, от которых вебсервер запускает приложение.

Если ты им создашь юзерские аккаунты с хомяками в этих папках и будешь логинить через SSH - им придется еще и шелл ставить, иначе не войдут. А теперь представь еще что к всему этому есть доступ из веба... А то что иногда всплывают Local Privilege Escalation еще? Лучше дать им FTP, за который они не выйдут.

Второй случай - крупный проект, есть админы, есть контентщики. Вебсервер стартует под пользователем www-data, стандартным, снова же без шелла. Админы не хотят давать контентщикам доступ к серверу и ssh.


Я может чего-то не понимаю? Как это кроме фтп все оформить? Можно сделать sudo sftp-server NOPASSWD и в winscp засунуть, чтобы юзер мог писать, но он с тем же успехом получит доступ ко всему на сервере. Это только админам годится и то не рекомендовал бы.

Да блин, неужели вы до сих пор не доперли, что имеются в виду kernel.org, redhat.com и его зеркала и т.д.?

Vsftpd отличается своей простотой настройки

вообще в своём уме?

Использую дома proftpd для связи компа со смартфоном. Уже лет 5 как. Доволен. Vsftpd не осилил за 5 минут. Плюнул. Proftpd как-то был более интуитивно понятен. Всё быстро поднялось, запустилось, заиграло... лучшее - враг хорошего!)) Наладил - не лезу.

не устали обновлять по security?

у меня одно время остяли оба сервера, использовался vsftpd. proftpd снес после того как он несколько раз попал в GLSA