Анонсирован (http://vsftpd.beasts.org/) релиз быстрого и безопасного FTP сервера vsftpd 2.0.7. В новой версии исправлен ряд проблем с поддержкой SSL, приводящих к несовместимости с FileZilla и некоторыми другими FTP-клиентами. Также устранены проблемы сборки на платформах Slackware и Solaris 2.8, исправлена ошибка, приводящая к обрыву PASV соединений при высокой нагрузке на сервер, добавлена опция для удаления не до конца загруженных, из-за обрыва соединения, файлов.
URL: http://vsftpd.beasts.org/
Новость: http://www.opennet.me/opennews/art.shtml?num=17192
косяк с заливкой файлов анонимусом и последующей сменой прав на файл так и не исправили (игнорируется umask в конфиге)пример конфига
anonymous_enable=YES
local_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
secure_chroot_dir=/usr/local/share/vsftpd/empty
chroot_local_user=YES
listen=YES
write_enable=YES$ grep tunable_chown_upload_mode *
postlogin.c: vsf_sysutil_fchmod(new_file_fd, tunable_chown_upload_mode);
tunables.c:unsigned int tunable_chown_upload_mode = 0600;после загрузки файла анонимусом, меняется владелец файла (root к примеру), а права доступа на него 600 - то есть никто(кроме root) этот файл не прочтет через ftp
>после загрузки файла анонимусом, меняется владелец файла (root к примеру), а права
>доступа на него 600 - то есть никто(кроме root) этот файл
>не прочтет через ftpПо-моему, это как раз правильно. Залил кто-то файл - все, превед, пока root его не посмотрит, другим он доступен не будет, ибо нефиг. А иначе может получиться бесконтрольный (ну или почти бесконтрольный) и ничем не ограниченный варезообменник.
Возможность создания "бесконтрольного и ничем не ограниченного варезообменника" должна быть, и решение о его создании д.б. предоставлено админу FTP-сервера. В конечном счёте, с точки зрения юзеров варез не есть зло, а скорее наоборот, и в районных сетях такая схема вполне пригодна.
>в районных сетях такая схема вполне пригодна.Боюсь, BSA, RIAA, MPAA и прочие "крышевики" не оценят вашего оптимизма насчет таких схем и могут захотеть дать админу в бубен.С учетом современных реалий у них даже может получиться :(
Ну раз такое дело, то для этого есть директива anon_umask, которая служит как раз для того создания этого пресловутого "бесконтрольного и ничем не ограниченного варезообменника".
конечно в конфиге добавлены следующие строки
---
chown_uploads=YES
anon_upload_enable=YES
anon_umask=022
---
покажите ссылку на багрепорт
открыл для себя pure-ftpd, более функционального фтп-демона еще не видел
У vs упор не на функциональность, а на безопасность. Это tradeoff, между прочим.
У pure-ftpd упор на тоже. Другое дело, что релизов уже нет два с половиной года. Да и была у него проблема с yum много лет назад, так что тогда пришлось от него отказаться.
То что релизов давно не было тоже заметил, печально :(
А так он умеет много чего, виртуальные юзеры, виртуальные квоты, персональный лимит на пользователя, как по трафику, так и по квотам на дисковое пространство, персонально задавать апишник можно с которого юзер может подключаться и многое другое, надеюсь проект будет дальше развиваться.
> У vs упор не на функциональность, а на безопасность.
> Это tradeoff, между прочим.кроме "безопасности" они приделяют также большое
внимание "производительности" и "стабильности".например, для ftp.redhat.com выбрали vsftpd
именно поэтому - "for performance reasons".с функциональностью там тоже все более-менее нормально,
настолько, насколько это позволяет сделать ftp протокол.
Михаил!Это все потому, что в ALT'e vsftpd рулит? ((:
Лично мне был интересны и vsftpd, и pure-ftp лишь потому, что они внятно =работали= с ldap. =Победил= pure-ftp.
Не, это просто лёгкий скепсис в отношении к упоминании функциональности в обсуждении безопасности. :) Наверное, Ф*Б пропорционально усилиям в квадрате...А к pure тоже присматривался.
Ну в обшем - да, конфиги вертятся погибче и костылей типа поддержки кодировки поднаклепали ... Но вот раздать 2.6 Tb(!) за сутки имея 2500 concurent connections оно не сможет. сабж - делает, см. стат от RH на морде проекта.
Да и привык я уже, лет 5 последних - только его и пользую. Доволен.
Я так понимаю поддержка различных кодировок не реализована в данном ПО?
>Я так понимаю поддержка различных кодировок не реализована в данном ПО?Поддержка различных кодировок не реализована вообще-то в самом протоколе.
Верно, поэтому поддержка различных кодировок реализована в данном ПО http://vsftpd.devnet.ru/rus/
не надо врать! в RFC есть возможность использовать не ASCII.сам был фанатегом vsftpd, но на работе надо было поднимать авторизованный FTP доступ, так что выиграл pure-ftpd. так что не исходите пеной на другие хорошие продукты.
Ниасилил vurtual users в vsftpd? )
у меня все через LDAP, так что вирт юзеры не нужны. просто pure-ftpd более настраиваем для неананимусов. для ананимусов хорош vsftpd
>сам был фанатегомНе будьте :)
народ, а чем Вам не угодил proftpd?
По сравнению с vsftpd, безопасность proftpd ниже. Кроме того достаточно посмотреть что использует kernel.org, Redhat и тп, что бы зделать правильный выбор. Да, proftpd удобней в плане настройки конфигурации.. Но часто ли Вы занимаетесь реконфигурацией пущенного в работу FTP сервера?
Не нашел, как сделать chroot виртуального пользователя в каталог(например, /var/log/foo), не входящий в домашний каталог его системного пользователя (например, /home/user).
Вместе с vsftpd идут примеры использования использования vsftpd для виртуальных пользователей, через PAM с использованием Berkeley DB. Не нужно ничего искать, достаточно зайти в директорию примеров и почитать.
мне вот понадобилось чтобы ftpd не показывал файлы и каталоги с точкой, vs в отличие от pure этого не умеет
а чтобы фтп работал и на докачку и на просмотр от анонимуса, вот, нагуглил -[quote]странность заключается в том, что если убрать
chown_uploads=YES
chown_username=ftp
права на папке uploads превращаются в rw-r--r--
хотя владелец фолдера тот же ftp.
Для прав rw-rw-rw- Пришлось сделать umask=011
Ну а для докачки пришлось разрешить anon_other_write_enable=YES[/quote]