subject:"Re\: ProFTPD"

Re: proftpd + inetd + ssl/tls и другие вопросы.

2015-11-25 Пенетрантность Oleksandr Gavenko

On 2015-11-25, Artem Chuprina wrote:

>  OG> without::
>
>  OG>   $ lftp -e 'set ssl:verify-certificate no' ftp://u...@myvps.com
>
>  OG> Note that ftp:// URL domain name SHOULD match certificate CN name or you 
> get error::
>
>  OG>   Fatal error: Certificate verification: certificate common name doesn't 
> match
>  OG> requested host name ‘myvps.com’
>
> Тут есть еще такая штука, как X509v3 Subject Alternative Name.  У меня, 
> например,
>
> X509v3 Subject Alternative Name: 
> DNS:nest.lasgalen.net, DNS:jabber.lasgalen.net, 
> DNS:mail.lasgalen.net
>
> В конфиге это задается
>
> subjectAltName=DNS:nest.lasgalen.net,DNS:jabber.lasgalen.net,DNS:mail.lasgalen.net
>

Я помучился что бы получить widlcard в имени домена:

  $ openssl req -sha256 -days 1000 -nodes -newkey rsa:4096 -extensions v3_req 
-subj 
"/C=UA/ST=User/L=City/O=Corp/OU=SubCorp/CN=myvps.com/emailAddress=i...@myvps.com"
 \
  -reqexts SAN  -config <( cat /etc/ssl/openssl.cnf; echo "[SAN]"; echo 
"subjectAltName = email:copy,DNS:*.myvps.com,DNS:myvps.com" ) \
  -keyout http-server-key.pem -out http-server-cert.csr

Для переноса subjectAltName при подписывании нужно добавить немножко в файл
настроек::

  [ ca ]
  default_ca= CA_default

  [ CA_default ]
  new_certs_dir = .
  database = index.txt
  serial = serial.txt

  default_md= default
  policy= policy_anything
  certificatePolicies = policy_anything

  x509_extensions   = usr_cert
  copy_extensions = copy  # <== trick to move subjectAltName unchanged 
or "openssl ca" strip any x509 v3 extensions

  [ policy_anything ]
  countryName   = optional
  stateOrProvinceName   = optional
  localityName  = optional
  organizationName  = optional
  organizationalUnitName= optional
  commonName= supplied
  emailAddress  = optional
  # subjectAltName  = supplied

  [ usr_cert ]

  basicConstraints=CA:FALSE
  nsCertType = server

Подпись выполняется той же последовательностью:

  $ openssl ca -days 1000 -config openssl.cnf -cert ca-root-cert.pem -keyfile 
ca-root-key.pem -out http-server-cert.pem -in http-server-cert.csr

Пробовал задавать патерны DNS: через переменную окружения, добавив настройку в
блок "[usr_cert]": 

  subjectAltName=${ENV::sanvar}

Но по:

  $ env sanvar='DNS=myvps.com' openssl ca -days 1000 -config openssl.cnf -cert 
ca-root-cert.pem -keyfile ca-root-key.pem -out http-server-cert.pem -in 
http-server-cert.csr

получал ошибку:

  Error Loading extension section usr_cert
  139621097580176:error:0E06D06C:configuration file 
routines:NCONF_get_string:no value:conf_lib.c:324:group=CA_default 
name=email_in_dn
  139621097580176:error:2207507C:X509 V3 routines:v2i_GENERAL_NAME_ex:missing 
value:v3_alt.c:531:
  139621097580176:error:22098080:X509 V3 routines:X509V3_EXT_nconf:error in 
extension:v3_conf.c:95:name=subjectAltName, value=DNS=myvps.com

Эксперименты показали что такая запись работает:

  subjectAltName = email:copy,DNS:${ENV::sanvar}

Я полагаю что подстановка выполняется после парсинга файла и вводить
синтаксическую структуру через подстановку переменной - нельзя. Хотя в блогах
есть примеры, в которых приводится указанная конструкция - т.е. это зависит от
версии openssl.

Но т.к. заранее не знаешь число DNS: параметров - лучше работать через трюк с
"<(...)" в Bash.

Я хотел добится того что openssl.cnf был неизменямым и домены/адреса
поставлялись через аргументы.

Сформированый подписаный сертификат позволил открывать страницы myvps.com и
blog.myvps.com без ругани о недоверенном сертификате (при условии что
ca-root-cert.pem проимпортирован как доверенный).

> Сколь я помню, при наличии subjectAltName CN игнорируется (в смысле,
> если имя хоста совпадает с CN, но отсутствует в subjectAltName,
> сертификат считается непригодным для этого хоста).
>

Вроде так и есть:

  http://wiki.cacert.org/FAQ/subjectAltName

  subjectAltName must always be used (RFC 2818 4.2.1.7, 1. paragraph). CN is
  only evaluated if subjectAltName is not present and only for compatibility
  with old, non-compliant software. So if you set subjectAltName, you have to
  use it for all host names, email addresses, etc., not just the "additional"
  ones. 

  http://stackoverflow.com/a/5937270/173149

  RFC 5280, section 4.1.2.6 says "The subject name MAY be carried in the
  subject field and/or the subjectAltName extension". This means that the
  domain name must be checked against both SubjectAltName extension and
  Subject property (namely it's common name parameter) of the certificate.
  These two places complement each other, and not duplicate it. And
  SubjectAltName is a proper place to put additional names, such as
  www.domain.com or www2.domain.com

  Update: as per RFC 6125, published in '2011 the validator must check SAN
  first, and if SAN exists, then CN should not be checked. Note, that the RFC
  6125 is relatively recent and there still exist certificates and CAs that
  issue

Re: proftpd + inetd + ssl/tls и другие вопросы.

2015-11-25 Пенетрантность Oleksandr Gavenko

On 2015-11-25, Oleksandr Gavenko wrote:

> Пробовал задавать патерны DNS: через переменную окружения, добавив настройку в
> блок "[usr_cert]": 
>
>   subjectAltName=${ENV::sanvar}
>
> Но по:
>
>   $ env sanvar='DNS=myvps.com' openssl ca -days 1000 -config openssl.cnf 
> -cert ca-root-cert.pem -keyfile ca-root-key.pem -out http-server-cert.pem -in 
> http-server-cert.csr
>
> получал ошибку:
>
>   Error Loading extension section usr_cert
>   139621097580176:error:0E06D06C:configuration file 
> routines:NCONF_get_string:no value:conf_lib.c:324:group=CA_default 
> name=email_in_dn
>   139621097580176:error:2207507C:X509 V3 routines:v2i_GENERAL_NAME_ex:missing 
> value:v3_alt.c:531:
>   139621097580176:error:22098080:X509 V3 routines:X509V3_EXT_nconf:error in 
> extension:v3_conf.c:95:name=subjectAltName, value=DNS=myvps.com
>
> Эксперименты показали что такая запись работает:
>
>   subjectAltName = email:copy,DNS:${ENV::sanvar}
>
> Я полагаю что подстановка выполняется после парсинга файла и вводить
> синтаксическую структуру через подстановку переменной - нельзя. Хотя в блогах
> есть примеры, в которых приводится указанная конструкция - т.е. это зависит от
> версии openssl.
>
> Но т.к. заранее не знаешь число DNS: параметров - лучше работать через трюк с
> "<(...)" в Bash.

Затупил, в синтаксисе напутал, если поставить знак ":" - то работает:

  $ env sanvar='DNS:myvps.com,DNS:*.myvps.com' openssl ca ...

-- 
Best regards!

Re: proftpd + inetd + ssl/tls и другие вопросы.

2015-11-25 Пенетрантность Oleksandr Gavenko

On 2015-11-25, Artem Chuprina wrote:

> Вот меня в нижеприведенном прям смущает, что конфиг совсем
> минималистичный.  openssl нынче что, сам догадывается поставить
> правильное назначение сертификата в зависимости от того, делают его
> самоподписанным или подписывают заявку?

> Можно посмотреть вывод openssl x509 -text -noout этих обоих сертификатов
> в части X509v3 extensions?
>
> У меня для сертификата CA там показывают
>
> X509v3 Basic Constraints: 
> CA:TRUE
> X509v3 Key Usage: 
> Certificate Sign, CRL Sign
>

X509v3 extensions:
X509v3 Subject Key Identifier: 
D2:7C:EB:58:DD:F7:74:EA:01:3F:60:C6:73:D4:40:1F:88:38:96:AA
X509v3 Authority Key Identifier: 

keyid:D2:7C:EB:58:DD:F7:74:EA:01:3F:60:C6:73:D4:40:1F:88:38:96:AA

X509v3 Basic Constraints: 
CA:TRUE

> а для сертификата сервера 
>
> X509v3 Basic Constraints: 
> CA:FALSE
> Netscape Cert Type: 
> SSL Server
> X509v3 Extended Key Usage: 
> TLS Web Server Authentication

Нету секции "X509v3 extensions".



В lighttpd всунул сертификат сервера:

  $ cat /etc/ssl/private/proftpd.key /etc/ssl/certs/proftpd.crt > 
/etc/lighttpd/lighttpd.pem

Как отпостил ранее, созданый CA сертификат поместил в хранилище Debian.

curl / wget стали загружать страницы с HTTPS без -k / --no-check-certificate

Я всунул CA сертификат в Iceweasel (через preference -> advanced ->
certificates -> authorities).

Страницы просто сразу открывались (без предложения доверять сертификату
сервера).

-- 
Best regards!

Re: proftpd + inetd + ssl/tls и другие вопросы.

2015-11-25 Пенетрантность Artem Chuprina

Max Kosmach -> debian-russian@lists.debian.org  @ Wed, 25 Nov 2015 10:01:43 
+0300:

 >>> Сделать честно не то чтобы офигительно сложно, но я не знаю простых
 >>> энд-юзерских инструментов для этого.  Сам тупо пользуюсь openssl, но я
 >>> этой криптографией занимался профессионально, и понимаю, что делать с
 >>> его ключами и конфигом.  А так-то openssl как утилита - штука
 >>> отладочная, для реальной работы не предазначенная.  Хотя может.
 >> Можно посмотреть на tinyca. Оно с гуём относительно просто создаёт свой
 >> CA и этим CA подписывает.
 >> На сколько я помню, tinyca не умеет работать с сертификатами на
 >> несколько имён, но т.к. она (программа) является лишь гуём для вызова
 >> openssl - это решаемо.

 MK> Еще есть простой набор скриптов easy-rsa из openvpn. Есть отдельным 
пакетом в
 MK> Debian. В первом приближении самодостаточен и прост в использовании и легко
 MK> модифицируется под сови нужды.

Тоже, кстати, вариант.  Но там, я подозреваю, придется чуть-чуть
поотрывать настройки, сделанные именно под OpenVPN.  Хотя, возможно, в
свежих версиях они уже более толковые.

Re: proftpd + inetd + ssl/tls и другие вопросы.

2015-11-24 Пенетрантность Oleksandr Gavenko

On 2015-11-24, Artem Chuprina wrote:

> Тут, вероятно, для начала нужен некоторый ликбез.
>
> Клиенты доверяют сертификату сервера, если этот сертификат подписан
> доверенным центром сертификации.  Вот то самое "ca" в ca-certificates.
> Certification Authority.  У CA тоже есть сертификат, и подпись на
> сертификате сервера проверяется об этот сертификат (там содержится
> открытый ключ подписи).
>
> Для построения цепочки доверия нужно выполнение нескольких условий.
> Применительно к твоей ситуации, не выполнено в первую очередь условие
> "сертификат сервера и сертификат CA - разные сертификаты, с разными
> разрешенными областями применения".
>
> Чтобы нормально работало, надо сделать честный сертификат CA,
> распространить его по клиентам, в норме - установить в набор доверенных
> корневых (это то, что ты пытался сделать с сертификатом сервера),
> сделать честный серверный сертификат и подписать его ключом CA.
>
> Или купить серверный сертификат у какого-нибудь известного CA, про
> которого большинство клиентов знает из коробки.  Это минус необходимость
> устанавливать свой сертификат CA на клиентов - довольно сложная операция
> для юзера на винде (вероятно, разная для разных версий винды),
> работоспособная не в каждом андроиде, и т.п.
>
> Я не знаю точно, что именно делает proftpd-gencert, но почти наверняка
> он делает самоподписанный сертификат сервера, на котором можно защищать
> соединение, но которому в нормальной инфраструктуре никто не будет
> доверять.
>
> Сделать честно не то чтобы офигительно сложно, но я не знаю простых
> энд-юзерских инструментов для этого.  Сам тупо пользуюсь openssl, но я
> этой криптографией занимался профессионально, и понимаю, что делать с
> его ключами и конфигом.  А так-то openssl как утилита - штука
> отладочная, для реальной работы не предазначенная.  Хотя может.
>
> Вроде бы, в комплекте gnutls было что-то попроще для построения PKI.

Да, схема то закручена. Вместо прямого доверия cертификату сервера (как я
думал выше что получится) мы доверяем всем сетрификатам подписаными доверенным
CA.

В общем ниже сырой материал, подготовленый для блогозаписи.

Может есть проще (я встречал упоминание о ca.pl скрипте) но так сработало.
openssl.cnf подбирал копированием /usr/lib/ssl/openssl.cnf подряд по
выпадающим ошибкам от "openssl ca". Остальное извлек из кучи вкладок браузера.

Я тоже занимался криптографией (БИФИТ, оптимизация криптопримитивов), но
сменил работу в то время как подоспели прикладные задачи (связать примитивы в
публичные API и PKI), не успел помучится с x509 и PKI ))



Create CA root self-signed certificate::

  $ openssl req -x509 -sha256 -days 1000 -nodes -newkey rsa:4096 -keyout 
ca-root-key.pem -out ca-root-cert.pem
  ...
  $ ls ca-root-*.pem
  ca-root-cert.pem  ca-root-key.pem

Dump content::

  $ openssl x509 -text -noout -in ca-root-cert.pem
  ...
  $ openssl pkey -text -noout -in ca-root-key.pem
  ...

Check certificate purpose::

  $ openssl x509 -purpose -in ca-root-cert.pem
  ...

Generate server key and certificate::

  $ openssl req -sha256 -days 1000 -nodes -newkey rsa:4096 -keyout 
server-key.pem -out server-cert.csr
  $ ls server-*.pem
  server-cert.csr  server-key.pem

Dump content::

  $ openssl req -text -noout -in server-cert.csr
  ...
  $ openssl pkey -text -noout -in server-key.pem
  ...

To fill subject automatically::

  $ openssl req -sha256 -days 1000 -nodes -newkey rsa:4096 -subj 
"/C=UA/ST=User/L=City/O=Corp/OU=SubCorp/CN=myvps.com" -keyout server-key.pem 
-out server-cert.csr


Prepare use minimal ``openssl.cnf``::

  [ ca ]
  default_ca  = CA_default

  [ CA_default ]
  new_certs_dir = .
  database = index.txt
  serial = serial.txt

  default_md  = default
  policy  = policy_anything

  [ policy_anything ]
  countryName = optional
  stateOrProvinceName = optional
  localityName= optional
  organizationName= optional
  organizationalUnitName  = optional
  commonName  = supplied
  emailAddress= optional

Prepare some CA database files::

  $ echo 01 > serial.txt
  $ touch touch index.txt index.txt.attr

Sign server CSR with CA key::

  $ openssl ca -days 1000 -config openssl.cnf -cert ca-root-cert.pem -keyfile 
ca-root-key.pem -out server-cert.pem -in server-cert.csr

Dump signed server certificate::

  $ openssl x509 -text -noout -in server-cert.pem
  ...

Copy CA certificate to Debian tructed store::

  $ sudo cp ca-root-cert.pem /usr/share/ca-certificates/my/my-ca-root-cert.crt

and register certificate::

  $ sudo dpkg-reconfigure ca-certificate

Copy signed server key + certificate to server and resister it::

  $ scp server-key.pem server-cert.pem user@vps
  $ ssh user@vps
  % sudo cp server-cert.pem  /etc/ssl/certs/proftpd.crt
  % sudo cp server-key.pem  /etc/ssl/private/proftpd.key

After all I can run::

  $ lftp ftp://u...@myvps.com
  lftp u...@myvps.com:~> ls
  -rw-r-   1 ftp  ftp   276 Nov 24 20:16 index.html

Re: proftpd + inetd + ssl/tls и другие вопросы.

2015-11-24 Пенетрантность Oleksandr Gavenko

On 2015-11-24, Victor Wagner wrote:

>> Если разобраться с сертификатами, то мне ftps кажется тоже хорошим
>> решением, особенно учитывая что через ftp-сервер можно задавать права
>> доступа, ложить файлы с нужными владельцами и правами и использовать
>> свою базу авторизации (ftpasswd).
>  
> Если разобраться с сертификатами то DAV в общем-то решает все те же
> задачи, только лучше.

У меня когда-то была идея на SVN+WebDAV внедрить репозиторий для артефактов
сборки (вместо FTP, т.к. были случаи когда подменялись библиотеки участвующие
в релизной сборке - нельзя было понять произошло ли это событие и кем/когда).

В SVN хранилище есть контрольные суммы (на сколько я помню также от контента),
позволяет выявить повреждения.

Хранится история кто и когда поместил файл.

Хуками можно запретить перезаписывание файла.

Еще правильней было бы просто подписывать ключем релизера хеши от файлов и в
релизной сборке проверять подписи от довереных pgp клочей, но я такого не
видел в комерческих предприятиях.

Зато встречал стягивание по HTTP (без S) библиотек с Maven-репозиториев.

-- 
Best regards!

Re: proftpd + inetd + ssl/tls и другие вопросы.

2015-11-24 Пенетрантность Artem Chuprina

Oleksandr Gavenko -> debian-russian@lists.debian.org  @ Wed, 25 Nov 2015 
01:50:18 +0200:

Вот меня в нижеприведенном прям смущает, что конфиг совсем
минималистичный.  openssl нынче что, сам догадывается поставить
правильное назначение сертификата в зависимости от того, делают его
самоподписанным или подписывают заявку?

Можно посмотреть вывод openssl x509 -text -noout этих обоих сертификатов
в части X509v3 extensions?

У меня для сертификата CA там показывают

X509v3 Basic Constraints: 
CA:TRUE
X509v3 Key Usage: 
Certificate Sign, CRL Sign

а для сертификата сервера 

X509v3 Basic Constraints: 
CA:FALSE
Netscape Cert Type: 
SSL Server
X509v3 Extended Key Usage: 
TLS Web Server Authentication

 OG> В общем ниже сырой материал, подготовленый для блогозаписи.

 OG> Может есть проще (я встречал упоминание о ca.pl скрипте) но так сработало.
 OG> openssl.cnf подбирал копированием /usr/lib/ssl/openssl.cnf подряд по
 OG> выпадающим ошибкам от "openssl ca". Остальное извлек из кучи вкладок 
браузера.

 OG> Я тоже занимался криптографией (БИФИТ, оптимизация криптопримитивов), но
 OG> сменил работу в то время как подоспели прикладные задачи (связать 
примитивы в
 OG> публичные API и PKI), не успел помучится с x509 и PKI ))

 OG> 

 OG> Create CA root self-signed certificate::

 OG>   $ openssl req -x509 -sha256 -days 1000 -nodes -newkey rsa:4096 -keyout
 OG> ca-root-key.pem -out ca-root-cert.pem
 OG>   ...
 OG>   $ ls ca-root-*.pem
 OG>   ca-root-cert.pem  ca-root-key.pem

 OG> Dump content::

 OG>   $ openssl x509 -text -noout -in ca-root-cert.pem
 OG>   ...
 OG>   $ openssl pkey -text -noout -in ca-root-key.pem
 OG>   ...

 OG> Check certificate purpose::

 OG>   $ openssl x509 -purpose -in ca-root-cert.pem
 OG>   ...

 OG> Generate server key and certificate::

 OG>   $ openssl req -sha256 -days 1000 -nodes -newkey rsa:4096 -keyout 
server-key.pem -out server-cert.csr
 OG>   $ ls server-*.pem
 OG>   server-cert.csr  server-key.pem

 OG> Dump content::

 OG>   $ openssl req -text -noout -in server-cert.csr
 OG>   ...
 OG>   $ openssl pkey -text -noout -in server-key.pem
 OG>   ...

 OG> To fill subject automatically::

 OG>   $ openssl req -sha256 -days 1000 -nodes -newkey rsa:4096 -subj
 OG> "/C=UA/ST=User/L=City/O=Corp/OU=SubCorp/CN=myvps.com" -keyout 
server-key.pem
 OG> -out server-cert.csr


 OG> Prepare use minimal ``openssl.cnf``::

 OG>   [ ca ]
 OG>   default_ca  = CA_default

 OG>   [ CA_default ]
 OG>   new_certs_dir = .
 OG>   database = index.txt
 OG>   serial = serial.txt

 OG>   default_md  = default
 OG>   policy  = policy_anything

 OG>   [ policy_anything ]
 OG>   countryName = optional
 OG>   stateOrProvinceName = optional
 OG>   localityName= optional
 OG>   organizationName= optional
 OG>   organizationalUnitName  = optional
 OG>   commonName  = supplied
 OG>   emailAddress= optional

 OG> Prepare some CA database files::

 OG>   $ echo 01 > serial.txt
 OG>   $ touch touch index.txt index.txt.attr

 OG> Sign server CSR with CA key::

 OG>   $ openssl ca -days 1000 -config openssl.cnf -cert ca-root-cert.pem 
-keyfile
 OG> ca-root-key.pem -out server-cert.pem -in server-cert.csr

 OG> Dump signed server certificate::

 OG>   $ openssl x509 -text -noout -in server-cert.pem
 OG>   ...

 OG> Copy CA certificate to Debian tructed store::

 OG>   $ sudo cp ca-root-cert.pem 
/usr/share/ca-certificates/my/my-ca-root-cert.crt

 OG> and register certificate::

 OG>   $ sudo dpkg-reconfigure ca-certificate

 OG> Copy signed server key + certificate to server and resister it::

 OG>   $ scp server-key.pem server-cert.pem user@vps
 OG>   $ ssh user@vps
 OG>   % sudo cp server-cert.pem  /etc/ssl/certs/proftpd.crt
 OG>   % sudo cp server-key.pem  /etc/ssl/private/proftpd.key

 OG> After all I can run::

 OG>   $ lftp ftp://u...@myvps.com
 OG>   lftp u...@myvps.com:~> ls
 OG>   -rw-r-   1 ftp  ftp   276 Nov 24 20:16 index.html
 OG>   lftp u...@myvps.com:/> exit

 OG> without::

 OG>   $ lftp -e 'set ssl:verify-certificate no' ftp://u...@myvps.com

 OG> Note that ftp:// URL domain name SHOULD match certificate CN name or you 
get error::

 OG>   Fatal error: Certificate verification: certificate common name doesn't 
match
 OG> requested host name ‘myvps.com’

Тут есть еще такая штука, как X509v3 Subject Alternative Name.  У меня, 
например,

X509v3 Subject Alternative Name: 
DNS:nest.lasgalen.net, DNS:jabber.lasgalen.net, 
DNS:mail.lasgalen.net

В конфиге это задается

subjectAltName=DNS:nest.lasgalen.net,DNS:jabber.lasgalen.net,DNS:mail.lasgalen.net

Сколь я помню, при наличии subjectAltName CN игнорируется (в смысле,
если имя хоста совпадает с CN, но отсутствует в subjectAltName,
сертификат считается непригодным для этого хоста).

Re: proftpd + inetd + ssl/tls и другие вопросы.

2015-11-24 Пенетрантность Mikhail A Antonov

24.11.2015 09:01, Artem Chuprina пишет:
> Сделать честно не то чтобы офигительно сложно, но я не знаю простых
> энд-юзерских инструментов для этого.  Сам тупо пользуюсь openssl, но я
> этой криптографией занимался профессионально, и понимаю, что делать с
> его ключами и конфигом.  А так-то openssl как утилита - штука
> отладочная, для реальной работы не предазначенная.  Хотя может.
Можно посмотреть на tinyca. Оно с гуём относительно просто создаёт свой
CA и этим CA подписывает.
На сколько я помню, tinyca не умеет работать с сертификатами на
несколько имён, но т.к. она (программа) является лишь гуём для вызова
openssl - это решаемо.

-- 
Best regards,
Mikhail
-
WWW: http://www.antmix.ru/
XMPP: ant...@stopicq.ru



signature.asc
Description: OpenPGP digital signature

Re: proftpd + inetd + ssl/tls и другие вопросы.

2015-11-24 Пенетрантность Max Kosmach

25.11.2015 9:53, Mikhail A Antonov пишет:

24.11.2015 09:01, Artem Chuprina пишет:

Сделать честно не то чтобы офигительно сложно, но я не знаю простых
энд-юзерских инструментов для этого. Сам тупо пользуюсь openssl, но я
этой криптографией занимался профессионально, и понимаю, что делать с
его ключами и конфигом. А так-то openssl как утилита - штука
отладочная, для реальной работы не предазначенная. Хотя может.

Можно посмотреть на tinyca. Оно с гуём относительно просто создаёт свой
CA и этим CA подписывает.
На сколько я помню, tinyca не умеет работать с сертификатами на
несколько имён, но т.к. она (программа) является лишь гуём для вызова
openssl - это решаемо.

Еще есть простой набор скриптов easy-rsa из openvpn. Есть отдельным пакетом в Debian. В первом приближении самодостаточен и прост в использовании и
легко модифицируется под сови нужды.

--
С уважением,
Космач Максим

Re: proftpd + inetd + ssl/tls и другие вопросы.

2015-11-24 Пенетрантность Andrey Melnikoff

Oleksandr Gavenko  wrote:

> Выяснил что plain ftp передает пароль в открытом виде в момент авторизации.
Он так лет 30+ последних делает.

> Есть https://ru.wikipedia.org/wiki/FTPS в разных версиях / режимах работы.

> Не могу вьехать что делать что бы proftpd + inetd работал безопасно.
Выкинуть. Это им поможет.
А использовать вместо - sftp. Софтин под винду - валом.

Re: proftpd + inetd + ssl/tls и другие вопросы.

2015-11-24 Пенетрантность Victor Wagner

On Tue, 24 Nov 2015 02:30:58 +0200
Oleksandr Gavenko  wrote:

> Выяснил что plain ftp передает пароль в открытом виде в момент
> авторизации.
> 
> Есть https://ru.wikipedia.org/wiki/FTPS в разных версиях / режимах
> работы.
> 
> Не могу вьехать что делать что бы proftpd + inetd работал безопасно.

1. Не использовать ftp для неанонимного доступа.
2. Сделать так, чтобы директории, доступные для анонима на запись, не
были доступны для него же на чтение (а то превратят сервер в хаб для
обмена порнухой)
3. Во всех остальных случаях использовать протоколы, отличные от ftp.

Re: proftpd + inetd + ssl/tls и другие вопросы.

2015-11-24 Пенетрантность Oleksandr Gavenko

On 2015-11-24, Tim Sattarov wrote:

> а SFTP или Rsync over SSH не нравится ?

Нет опыта работы, сейчас поискал как ограничивать доступ, вот что есть:

Для SFTP решение в виде:

  $ sudo groupadd sftp
  $ sudo usermod username -g sftp
  $ sudo usermod username -s /bin/false
  $ sudo usermod username -d /home/username

  $ cat /etc/ssh/sshd_config
  ...
  Match Group sftp
  ChrootDirectory %h
  ForceCommand internal-sftp
  AllowTcpForwarding no
  ...

Или 

  $ cat /etc/ssh/sshd_config
  ...
  Match User restricted
  ChrootDirectory /srv/data/ANY-PATH
  ForceCommand internal-sftp
  AllowTcpForwarding no
  ...

Для rsync:

  https://www.debian.org/mirror/push_server 

  $ cat /etc/rsyncd.conf

  uid = nobody
  gid = nogroup
  max connections = 25
  socket options = SO_KEEPALIVE

  [debian]
path = /srv/debian/mirror
comment = The Debian Archive (~250 GB)
auth users = authorized_account1,authorized_account2,authorized_accountN
read only = true
secrets file = /etc/rsyncd/debian.secrets

  $ cat /etc/rsyncd/debian.secrets

  authorized_account1:a_password
  authorized_account2:another_password
  authorized_accountN:password

  $ cat /etc/initd

  rsync  stream  tcp nowait  root /usr/bin/rsync rsyncd 
--daemon

Как видно для rsync есть возможность задать синтетические авторизационные
данные, для sftp - только пользователи системы. Этим rsync больше нравится.

-- 
Best regards!

Re: proftpd + inetd + ssl/tls и другие вопросы.

2015-11-24 Пенетрантность Oleksandr Gavenko

On 2015-11-24, Tim Sattarov wrote:

> тут бы я посмотрел на ftp:ssl-* значения
> curl попробовать с -k
>
> и смотреть как работает SSL соединение с помощью openssl
>
> openssl s_client -connect vps:990

Спасибо за подсказку, отладил эту проблему:

  bash# openssl s_client -connect vps:990
  CONNECTED(0003)
  140416106407568:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown 
protocol:s23_clnt.c:794:
  ---
  no peer certificate available
  ---
  No client certificate CA names sent

  bash# lftp -e 'set ssl:verify-certificate no' ftp://user@vps:990
  lftp user@vps:~> ls
  drwxr-xr-x   5 user user 4096 Nov 22 18:04 devel
  drwxr-xr-x   2 user user 4096 Oct 10 16:14 tmp
  lftp user@vps:/> exit

Т.е. на ftps у меня не FTP через SSL/TLS, а некое расширение протокола FTP с
SSL/TLS.

Собвтвенно это возвращает меня к вопросу - что же это такое протокол FTPS,
какие клиенты/серверы поддерживают?

-- 
Best regards!

Re: proftpd + inetd + ssl/tls и другие вопросы.

2015-11-24 Пенетрантность Oleksandr Gavenko

On 2015-11-24, Victor Wagner wrote:

> 1. Не использовать ftp для неанонимного доступа.
> 2. Сделать так, чтобы директории, доступные для анонима на запись, не
> были доступны для него же на чтение (а то превратят сервер в хаб для
> обмена порнухой)

Ясно. Я ранее знал практике публичных бесплатных хостингов - позволять
загружать странички через небозопасный FTP. На ум приходит narod.ru и blogspot
до покупки Google'ом.

Ожидал что есть TLS расширение, обеспечивающие безопасность.

Есть стандарт

https://tools.ietf.org/html/rfc2228
FTP Security Extensions

со страшными словами GSSAPI/Kerberos 4, который судя по:

http://www.proftpd.org/docs/rfc.html

не реализован полностью в proftpd. В то же время есть

https://tools.ietf.org/html/rfc4217

который реализован в модуле mod_tls (и согласован с командой AUTH от rfc2228):

http://www.proftpd.org/docs/howto/TLS.html

Оказывается что rfc4217 это не FTP в обертке TLS, а гибрид:

12.1. Establishing a Protected Session

Client Server
control data data control
==

socket()
bind()
socket()
connect() > accept()
< 220
AUTH TLS >
< 234
TLSneg() <> TLSneg() <== Тут зашифровано?
PBSZ 0 >
< 200
PROT P >
< 200
USER fred >
< 331
PASS pass >
< 230

И далее у нас есть возможность передавать данные либо открыто, либо защищенно
по data-каналу.

Стандарта на обертку FTP в TLS, судя по выдержке:

Negotiation is not supported with implicit FTPS configurations. A client is
immediately expected to challenge the FTPS server with a TLS ClientHello
message. If such a message is not received by the FTPS server, the server
should drop the connection.

из:

https://en.wikipedia.org/wiki/FTPS

и:

A. Deprecated SSL negotiation mechanisms

There are two other mechanisms that have been used for FTP over SSL,
these mechanisms do not conform to [RFC-2228] and so are now
deprecated. They are documented below.

i) Implicit SSL protection of the FTP session

There is a port, registered with the IANA, for secure FTP using
ssl {FTP-TLSPORT}. This approach can be likened to the [RFC-2818]
approach for https, in that the SSL negotiation happens upon
connection (for the control and all data connections). This
approach is not favoured by the IETF and should not be used for
new FTP-TLS implementations.
из:

https://tools.ietf.org/html/draft-murray-auth-ftp-ssl-07#appendix-A

нету и нету соответственно нормальных реализаций.

lftp и curl на ftps:// пытаются "пожать руку", proftpd такого скоре всего не
умеет (я в документации не нашел способа).

> 3. Во всех остальных случаях использовать протоколы, отличные от ftp.

Я слышал и некоторые использовал:

* smb - на сколько толстый сервер? У меня vps с 256 MiB RAM и доступ на
запись к файлам не основная задача. Как с безопасностью при авторизации?

* sftp - требует создавать пользователя в системе под каждый разделяемый
ресурс.

* rsync - не знаю визуальных оболочек, например как ftp/sftp в MC и
интерактивных приложений как sftp/lftp. Для безопасности вроде нужно
тунелировать через ssh.

* webdav - требует постоянно работающего apache, нужно настраивать SSL.

Из всего только sftp выглядит простым решением.

Если разобраться с сертификатами, то мне ftps кажется тоже хорошим решением,
особенно учитывая что через ftp-сервер можно задавать права доступа, ложить
файлы с нужными владельцами и правами и использовать свою базу авторизации
(ftpasswd).

--
Best regards!

Re: proftpd + inetd + ssl/tls и другие вопросы.

2015-11-24 Пенетрантность Victor Wagner

On Tue, 24 Nov 2015 15:31:59 +0200
Oleksandr Gavenko  wrote:

> Я слышал и некоторые использовал:
> 
>  * smb - на сколько толстый сервер? У меня vps с 256 MiB RAM и доступ
> на запись к файлам не основная задача. Как с безопасностью при
> авторизации?

С прошлого века не слышал, чтобы пользовались не в локальной сети. 

>  * sftp - требует создавать пользователя в системе под каждый
> разделяемый ресурс.

Не вижу никаких преимуществ перед scp или rsync over ssh

И для той, и для другой нужно работать с системными пользователями.
Совершенно не обязательно "пользователя на каждый разделяемый ресурс".
Можно пользователя на каждого пользователя и группу на каждый
разделяемый ресурс.

>  * rsync - не знаю визуальных оболочек, например как ftp/sftp в MC и
>интерактивных приложений как sftp/lftp. Для безопасности вроде
> нужно тунелировать через ssh.

Вот у rsync протокол аутентификации достаточно безопасный. Так что если
контент светить не жалко, можно использовать и без ssh.

>  * webdav - требует постоянно работающего apache, нужно настраивать
> SSL.

webdav - не знаю удобных клиентов. cadaver неудобный какой-то,
монтирование с помощью davfs не гарантирует своевременной доставки
файлов. С клиентом который бы позволял читать-писать файлы только через
опции командной строки - вообще все плохо. В vim netrw пытается cadaver
использовать, но у него не получается.

А вот в качестве сервера apache cовершенно необязателен. Можно и nginx
какой-нибудь.

А SSL настраиватьп придется и в случае если FTPS использовать. SSL в
любом случае надо настраивать, если хочешь использовать серверную
сторону протокола. Иначе она ничего не защищает.

Еще бы хорошо на клиентской стороне понимать что и зачем, а то опять же
не защищает.

> Если разобраться с сертификатами, то мне ftps кажется тоже хорошим
> решением, особенно учитывая что через ftp-сервер можно задавать права
> доступа, ложить файлы с нужными владельцами и правами и использовать
> свою базу авторизации (ftpasswd).

Если разобраться с сертификатами то DAV в общем-то решает все те же
задачи, только лучше.

Re: proftpd + inetd + ssl/tls и другие вопросы.

2015-11-23 Пенетрантность Tim Sattarov


On 23/11/15 07:30 PM, Oleksandr Gavenko wrote:


   bash# lftp ftp://user@vps
   Password:
   lftp user@vps:~> ls
   ls: Fatal error: Certificate verification: Not trusted
   lftp user@vps:~> exit

тут бы я посмотрел на ftp:ssl-* значения
curl попробовать с -k

и смотреть как работает SSL соединение с помощью openssl

openssl s_client -connect vps:990

Re: proftpd + inetd + ssl/tls и другие вопросы.

2015-11-23 Пенетрантность Tim Sattarov


On 23/11/15 07:30 PM, Oleksandr Gavenko wrote:

Выяснил что plain ftp передает пароль в открытом виде в момент авторизации.

Есть https://ru.wikipedia.org/wiki/FTPS в разных версиях / режимах работы.

Не могу вьехать что делать что бы proftpd + inetd работал безопасно.



а SFTP или Rsync over SSH не нравится ?

Re: proftpd + inetd + ssl/tls и другие вопросы.

2015-11-23 Пенетрантность Tim Sattarov


On 23/11/15 07:30 PM, Oleksandr Gavenko wrote:


   bash# lftp ftp://user@vps
   Password:
   lftp user@vps:~> ls
   ls: Fatal error: Certificate verification: Not trusted
   lftp user@vps:~> exit

тут бы я посмотрел на ftp:ssl-* значения
curl попробовать с -k

и смотреть как работает SSL соединение с помощью openssl

openssl s_client -connect vps:990

Re: proftpd + inetd + ssl/tls и другие вопросы.

2015-11-23 Пенетрантность Artem Chuprina

Oleksandr Gavenko -> debian-russian@lists.debian.org  @ Tue, 24 Nov 2015 
02:30:58 +0200:

 OG> Выяснил что plain ftp передает пароль в открытом виде в момент авторизации.

 OG> Есть https://ru.wikipedia.org/wiki/FTPS в разных версиях / режимах работы.

 OG> Не могу вьехать что делать что бы proftpd + inetd работал безопасно.

 OG> В общем на сервере выполнил:

 OG>   $ sudo proftpd-gencert

 OG> /etc/proftpd/proftpd.conf::

 OG>   Include /etc/proftpd/tls.conf

 OG> /etc/proftpd/tls.conf::

 OG>   TLSEngine   on
 OG>   TLSLog  /var/log/proftpd/tls.log
 OG>   TLSProtocol SSLv23

По нынешним временам SSL v2 и v3 считается за "шифрование отсутствует".
В смысле, дыры и их эксплойты в этих версиях протокола известны.

 OG>   TLSRSACertificateFile   /etc/ssl/certs/proftpd.crt
 OG>   TLSRSACertificateKeyFile/etc/ssl/private/proftpd.key
 OG>   TLSOptions  NoCertRequest EnableDiags
 OG>   TLSVerifyClient off
 OG>   TLSRequired on

 OG> Пробую:

 OG>   bash# lftp ftp://user@vps
 OG>   Password:
 OG>   lftp user@vps:~> ls
 OG>   ls: Fatal error: Certificate verification: Not trusted
 OG>   lftp user@vps:~> exit

 OG>   bash# lftp -e 'set ssl:verify-certificate no' ftp://user@vps
 OG>   Password:
 OG>   lftp user@vps:~> ls
 OG>   drwxr-xr-x   5 user user 4096 Nov 22 18:04 devel
 OG>   drwxr-xr-x   2 user user 4096 Oct 10 16:14 tmp

 OG> Обычная команда `ftp` из `/usr/bin/netkit-ftp` не поддерживает SSL:

 OG>   bash# ftp -n vps
 OG>   Connected to vps.
 OG>   220 ProFTPD 1.3.5 Server (Debian) [149.202.132.30]
 ftp>> ls
 OG>   550 SSL/TLS required on the control channel
 OG>   ftp: bind: Address already in use
 ftp>> user user
 OG>   ^C
 OG>   421 Service not available, remote server has closed connection
 ftp>> exit

 OG> `curl` тоже работает::

 OG>   $ curl --ftp-ssl -k --netrc ftp://user@vps/.bashrc

 OG> Нужно ли в inetd.conf использовать ftps или ftp:

 OG>   ftpstream  tcp nowait  root /usr/sbin/tcpd /usr/sbin/proftpd 
  
 OG>   ftpsstream  tcp nowait  root /usr/sbin/tcpd /usr/sbin/proftpd

 OG> У меня на ftps ошибки:

 OG>   bash# curl --ftp-ssl -k --netrc ftps://user@vps/.bashrc
 OG>   curl: (35) gnutls_handshake() failed: An unexpected TLS packet was 
received.

 OG>   bash# lftp ftps://user@vps
 OG>   lftp user@vps:~> ls
 OG>   ls: Fatal error: gnutls_handshake: An unexpected TLS packet was received.

 OG> Такое ощущение что для ftps:// используется другой протокол, чем на ftp:// 
с
 OG> включенным SSL.

Да.  ftps начинается с SSL/TLS handshake, и уже только после того, как
защищенное соединение установилось, начинается диалог по протоколу FTP.
В случае с ftp сначала начинается диалог по FTP, внутри него выдается
просьба поднять TLS, и после того, как он поднят, продолжается диалог по
FTP.

 OG> Как правильно запретить общение открытым текстом и настроить SSL/TLS в 
proftpd?

По идее, при настройке TLSRequired on разницы в безопасности быть не
должно - FTP не поддерживает вроде бы pipelining, на USER сервер выдаст
вон то, что он выдает команде ftp, и до пароля дело не дойдет.

 OG> Далее вопрос как в Debian сделать публичный ключ proftpd доверенным на
 OG> клиентах?

 OG> Я пробовал как:

 OG>   $ sudo mkdir /usr/share/ca-certificates/vps
 OG>   $ sudo scp user@vps:/etc/ssl/certs/proftpd.crt 
/usr/share/ca-certificates/vps/proftpd.crt
 OG>   $ sudo dpkg-reconfigure ca-certificates
 OG>   $ sudo update-ca-certificates --fresh

 OG> Но curl и lftp игнорируют Дебиановские соглашения о сертификатах. Или я
 OG> неверно готовлю. При том proftpd.crt виден в конце:

Второе.

Тут, вероятно, для начала нужен некоторый ликбез.

Клиенты доверяют сертификату сервера, если этот сертификат подписан
доверенным центром сертификации.  Вот то самое "ca" в ca-certificates.
Certification Authority.  У CA тоже есть сертификат, и подпись на
сертификате сервера проверяется об этот сертификат (там содержится
открытый ключ подписи).

Для построения цепочки доверия нужно выполнение нескольких условий.
Применительно к твоей ситуации, не выполнено в первую очередь условие
"сертификат сервера и сертификат CA - разные сертификаты, с разными
разрешенными областями применения".

Чтобы нормально работало, надо сделать честный сертификат CA,
распространить его по клиентам, в норме - установить в набор доверенных
корневых (это то, что ты пытался сделать с сертификатом сервера),
сделать честный серверный сертификат и подписать его ключом CA.

Или купить серверный сертификат у какого-нибудь известного CA, про
которого большинство клиентов знает из коробки.  Это минус необходимость
устанавливать свой сертификат CA на клиентов - довольно сложная операция
для юзера на винде (вероятно, разная для разных версий винды),
работоспособная не в каждом андроиде, и

Re: proftpd и nss-pgsql2 не др ужат?

2010-06-05 Пенетрантность Denis Feklushkin

On Fri, 4 Jun 2010 13:11:26 +0800
Denis Feklushkin denis.feklush...@gmail.com wrote:

 proftpd не может по nss получать имена юзеров из postgresql и, 
 соответственно, не может их показать клиенту если их нет в кэше nscd.
 при этом в лог сыпятся сообщения о невозможности подключиться к базе:
 
 # proftpd -n -d 1
  - mod_tls/2.1.2: compiled using OpenSSL version 'OpenSSL 0.9.8g 19 Oct 2007' 
 headers, but linked to OpenSSL version 'OpenSSL 0.9.8n 24 Mar 2010' library
 s---m.com - ProFTPD 1.3.1 (stable) (built Thu Oct 29 09:01:50 UTC 2009) 
 standalone mode STARTUP
 s---m.com (dnm.238.103.124.92.dsl.krasnet.ru[:::92.124.103.238]) - FTP 
 session opened.
 
 Could not connect to database
 
 Could not connect to database
 s---m.com (dnm.238.103.124.92.dsl.krasnet.ru[:::92.124.103.238]) - USER 
 fakeuser: Login successful.
 
 и дальше обычный лог...
 
 
 В результате невозможности соединиться с базой имена владельцев файлов и 
 группы клиенту фтп не видны:
 
 $ lftp fakeu...@s---m.com
 Пароль: 
 lftp fakeu...@s---m.com:~ ls   
 drwxrwx---   3 ftp  (?)  4096 Jun  4 01:09 by_id 
 
 
 С другими юзерами nss отлично работает на этом хосте, даже с юзером proftpd:
 
 s12:~# su -p proftpd
 s12:~$ ls -l /srv/dhcs/node/sites/by_id/
 итого 4
 drwxrws--- 3 ftp srv-813 4096 Июн  4 09:09 813
 
 и даже база nss этому юзеру доступна как и всем прочим:
 
 s12:~$ psql connect_timeout=3 host=s---m.com dbname=nss user=nss/dhcs 
 sslmode=verify-full sslrootcert=/etc/ssl/certs/my_cacert.pem
 psql (8.4.4)
 SSL connection (cipher: DHE-RSA-AES256-SHA, bits: 256)
 Type help for help.
 
 nss= select 'test';
  ?column? 
 --
  test
 (1 row)
 
 nss= \q
 could not save history to file /var/run/proftpd/.psql_history: Отказано в 
 доступе
 s12:~$ id
 uid=105(proftpd) gid=65534(nogroup) группы=65534(nogroup)
 
 
 Что за ерунда происходит?
 
 (Я подозреваю что дело в какой-то особой защите proftpd от взлома, 
 запрещающей исходящие соединения но точно не уверен)

В логах postgresql при каждой попытке доступа к базе из профтпд появляется 
такое:

2010-06-05 22:05:52 UTC [unknown] [unknown] LOG:  could not accept SSL 
connection: tlsv1 alert decrypt error


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100606061530.2acb0...@gmail.com

Re: proftpd ругается после апдейта до etch

2007-04-27 Пенетрантность Andrey Melnikoff

Vadim Vatlin [EMAIL PROTECTED] wrote:
 BTW я ошибаюсь или действительно письмо автора
 на murphy.debian.org пролежало 3 дня ??
Да. Именно так.



-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: proftpd ругается после ап дейта до etch

2007-04-27 Пенетрантность telek

Пока письмо где-то болталось я разобрался... эта ошибка вылазила из-за 
того, что не было явно указано в конфиге тип сервера БД. Я использовал 
МайСКуЛ, а по умолчанию конектится к Постгрису...


telek пишет:

Приветствую гуру.
proftpd перестал запускаться после апдейта до etch... что ему не хватает?

Ругается так:

debian:/etc# proftpd
- IPv6 getaddrinfo 'localhost.localdomain' error: No address 
associated with hostname

localhost.localdomain
- fatal: Socket operation on non-socket




--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: proftpd ругаетс я после апдейта до etch

2007-04-26 Пенетрантность Vadim Vatlin

BTW я ошибаюсь или действительно письмо автора
на murphy.debian.org пролежало 3 дня ??

-- 
Ватлин В.Г.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: proftpd

2006-11-09 Пенетрантность Dmitrii Varvashenia


09.11.06, oleg[EMAIL PROTECTED] написал(а):

proftpd установлен из пакетов.
коннект с самим сервером происходит через раз...
клиент говорит - ошибка соединения
поискав в гугле нашел одно объяснение, смысл ее в том что срабатывает
какая антихакерская приблуда (не помню как называется), лечение
производится путем установки сервера из исходников с выключением этой
приблуды.

вопрос - есть ли способ лечения без установки из исходников?

Очень похоже что это mod_delay которому нужно сказать off в конфиге.
Только лучше в сперва погуглить на предмет чем это грозит.

--
WBR, Dmitrii
+375 29 40-LINUX

Re: proftpd

2006-11-09 Пенетрантность oleg


Здравствуйте, Dmitrii Varvashenia
Ответ на Ваше письмо от 09.11.2006 13:40

09.11.06, oleg[EMAIL PROTECTED] написал(а):

proftpd установлен из пакетов.
коннект с самим сервером происходит через раз...
клиент говорит - ошибка соединения
поискав в гугле нашел одно объяснение, смысл ее в том что срабатывает
какая антихакерская приблуда (не помню как называется), лечение
производится путем установки сервера из исходников с выключением этой
приблуды.

вопрос - есть ли способ лечения без установки из исходников?

Очень похоже что это mod_delay которому нужно сказать off в конфиге.
Только лучше в сперва погуглить на предмет чем это грозит.

Великий сенкс - именно он, только моя ошибка была в поиске как именно 
отключить mod_delay, такой опции в кофиге нет, есть


tcpNoDelay -- Control the use of TCP_NODELAY
tcpNoDelay [ tcpNoDelay on|off]
Module mod_core

  The tcpNoDelay directive controls the use of the TCP_NODELAY socket 
option (which disables the Nagle algorithm). ProFTPd uses
  TCP_NODELAY by default, which usually is a benefit but this can 
occasionally lead to problems with some clients, so tcpNoDelay
  is provided as a way to disable this option. You will not normally 
need to use this directive but if you have clients reporting

  unusually slow connections, try setting this to off.

ВРОДЕ помогло!

Олег

Re: proftpd

2006-11-09 Пенетрантность Dmitrii Varvashenia


09.11.06, oleg[EMAIL PROTECTED] написал(а):

Здравствуйте, Dmitrii Varvashenia
Ответ на Ваше письмо от 09.11.2006 13:40
 09.11.06, oleg[EMAIL PROTECTED] написал(а):
 вопрос - есть ли способ лечения без установки из исходников?
 Очень похоже что это mod_delay которому нужно сказать off в конфиге.
 Только лучше в сперва погуглить на предмет чем это грозит.
Великий сенкс - именно он, только моя ошибка была в поиске как именно
отключить mod_delay, такой опции в кофиге нет, есть

Хм..  на сколько я помню в /etc/proftpd.conf пишется mod_delay off и всё.
Хотя быстрый взгляд на гугль выдал вот такую конструкцию:
IfModule mod_delay.c
DelayEngine off
/IfModule

--
WBR, Dmitrii
+375 29 40-LINUX

Re: proftpd

2006-11-09 Пенетрантность Artem Chuprina

oleg - Dmitrii Varvashenia @ Thu, 09 Nov 2006 16:05:23 +0200:

proftpd установлен из пакетов.
коннект с самим сервером происходит через раз...
клиент говорит - ошибка соединения
поискав в гугле нашел одно объяснение, смысл ее в том что срабатывает
какая антихакерская приблуда (не помню как называется), лечение
производится путем установки сервера из исходников с выключением этой
приблуды.

вопрос - есть ли способ лечения без установки из исходников?
Очень похоже что это mod_delay которому нужно сказать off в конфиге.
Только лучше в сперва погуглить на предмет чем это грозит.

o Великий сенкс - именно он, только моя ошибка была в поиске как именно
o отключить mod_delay, такой опции в кофиге нет, есть

o tcpNoDelay -- Control the use of TCP_NODELAY
o tcpNoDelay [ tcpNoDelay on|off]
o Module mod_core

oThe tcpNoDelay directive controls the use of the TCP_NODELAY socket
option
o(which disables the Nagle algorithm). ProFTPd uses
oTCP_NODELAY by default, which usually is a benefit but this can
ooccasionally lead to problems with some clients, so tcpNoDelay
ois provided as a way to disable this option. You will not normally need
to
ouse this directive but if you have clients reporting
ounusually slow connections, try setting this to off.

o ВРОДЕ помогло!

Мнда. Это в обратную сторону...

--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]

Хакинг и кракинг ульев с последующим чавкингом мёда, безусловно, является злым
розыгрышем. Особенно с точки зрения пасечника.
http://knjazna.livejournal.com/44647.html?thread=630375#t630375

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: proftpd

2006-11-09 Пенетрантность Alexander Gerasiov

oleg wrote:
 Добрый день!
 
 proftpd установлен из пакетов.
 коннект с самим сервером происходит через раз...
 клиент говорит - ошибка соединения
А у меня все работает.
Доктор, что я делаю не так?
 поискав в гугле нашел одно объяснение, смысл ее в том что срабатывает
 какая антихакерская приблуда (не помню как называется), лечение
 производится путем установки сервера из исходников с выключением этой
 приблуды.
 
 вопрос - есть ли способ лечения без установки из исходников?


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: proftpd: ftp файл сервер для Win клиентов, файлы cp1251

2006-09-18 Пенетрантность Покотиленко Костик

В Птн, 15/09/2006 в 15:35 +0700, Roman Busyguin пишет:
 На Fri, 15 Sep 2006 11:24:31 +0300
 Покотиленко Костик [EMAIL PROTECTED] записано:

 Вот это должно помочь:
 apt-get install apt-howto-ru
 
 Посмотрите в раздел сборки пакетов из исходных кодов.

Как сказать

dpkg-buildpackage -rfakeroot -uc -b

Сделать

--with-modules=mod_codeconv

-- 
Покотиленко Костик [EMAIL PROTECTED]


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: proftpd: ftp файл сервер дл я Win клиентов, файлы cp1251

2006-09-18 Пенетрантность Alexey Trunyov

On Mon, 18 Sep 2006 15:34:20 +0300
Покотиленко Костик [EMAIL PROTECTED] wrote:

 Как сказать
 
 dpkg-buildpackage -rfakeroot -uc -b
 
 Сделать
 
 --with-modules=mod_codeconv

Это был вопрос?
Если да, то, скорее всего, поправить debian/rules.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: proftpd: ftp файл сервер для Win клиентов, файлы cp1251

2006-09-18 Пенетрантность Artem Chuprina

Покотиленко Костик - Roman Busyguin  @ Mon, 18 Sep 2006 15:34:20 +0300:

  Покотиленко Костик [EMAIL PROTECTED] записано:

  Вот это должно помочь:
  apt-get install apt-howto-ru
  
  Посмотрите в раздел сборки пакетов из исходных кодов.

 ПК Как сказать

 ПК dpkg-buildpackage -rfakeroot -uc -b

 ПК Сделать

 ПК --with-modules=mod_codeconv

Если я правильно понял твой диалект русского языка, то $EDITOR
debian/rules, найти там строчку с вызовом configure, и туда дописать.
После чего dpkg-buildpackage и так далее.

-- 
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]

Красивая женщина - это пир для глаз
во время чумы для ушей.
Кнышев.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: proftpd: ftp файл сервер для Win клиентов, файлы cp1251

2006-09-18 Пенетрантность Покотиленко Костик

В Пнд, 18/09/2006 в 16:53 +0400, Artem Chuprina пишет:
 Покотиленко Костик - Roman Busyguin  @ Mon, 18 Sep 2006 15:34:20 +0300:
 
   Покотиленко Костик [EMAIL PROTECTED] записано:
 
   Вот это должно помочь:
   apt-get install apt-howto-ru
   
   Посмотрите в раздел сборки пакетов из исходных кодов.
 
  ПК Как сказать
 
  ПК dpkg-buildpackage -rfakeroot -uc -b
 
  ПК Сделать
 
  ПК --with-modules=mod_codeconv
 
 Если я правильно понял твой диалект русского языка, то $EDITOR
 debian/rules, найти там строчку с вызовом configure, и туда дописать.
 После чего dpkg-buildpackage и так далее.

Да, диалект у меня проскочил уникальный :-). Спасибо за понимание и
совет, помогло.

-- 
Покотиленко Костик [EMAIL PROTECTED]


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: proftpd: ftp файл сервер для Win клиентов, файлы cp1251

2006-09-18 Пенетрантность Покотиленко Костик

В Пнд, 18/09/2006 в 20:55 +0800, Alexey Trunyov пишет:
 On Mon, 18 Sep 2006 15:34:20 +0300
 Покотиленко Костик [EMAIL PROTECTED] wrote:
 
  Как сказать
  
  dpkg-buildpackage -rfakeroot -uc -b
  
  Сделать
  
  --with-modules=mod_codeconv
 
 Это был вопрос?
 Если да, то, скорее всего, поправить debian/rules.

Да, спасибо.

-- 
Покотиленко Костик [EMAIL PROTECTED]


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: proftpd: ftp файл сервер д ля Win клиентов, файл ы cp1251

2006-09-15 Пенетрантность Roman Busyguin

Воспользуйтесь патчем
http://www.linuxportal.vrn.ru/proftpd-1.3.0-rus.patch.html

На Fri, 15 Sep 2006 10:43:44 +0300
Покотиленко Костик [EMAIL PROTECTED] записано:

 Привет,
 
 Настроил proftpd для работы файл-сервером для Win клиентов. Файловая
 система ext3, локаль koi8-u.
 
 Win клиенты пишут файлы с русскими именами в cp1251. Мне в принципе всё
 равно, что они в консоле не в той кодировке, главное, чтобы клиенты
 нормально видели.
 
 Так вот, файлы в имени которых встречается символ 'я' или 'ч'
 каверкаются: символы 'я' и 'ч' пропадают, также в имени таких файлах
 пропадают пробелы и точки.
 
 Например, спелое яблоко.jpg становится спелоеблокоjpg, или великий
 человек.gif становится великийеловекgif.
 
 Что не так?
 


-- 
Roman Busyguin


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: proftpd: ftp файл сервер для Win клиентов, файлы cp1251

2006-09-15 Пенетрантность Покотиленко Костик

В Птн, 15/09/2006 в 14:52 +0700, Roman Busyguin пишет:
Воспользуйтесь патчем
http://www.linuxportal.vrn.ru/proftpd-1.3.0-rus.patch.html

Спасибо.

По ходу дела не подскажете ли как это сделать в Debian, там вроде это
более или менее автоматически. Как-то раз устанавливал deb-src, но забыл
команды?

На Fri, 15 Sep 2006 10:43:44 +0300
Покотиленко Костик [EMAIL PROTECTED] записано:

Привет,

Настроил proftpd для работы файл-сервером для Win клиентов. Файловая
система ext3, локаль koi8-u.

Win клиенты пишут файлы с русскими именами в cp1251. Мне в принципе всё
равно, что они в консоле не в той кодировке, главное, чтобы клиенты
нормально видели.

Так вот, файлы в имени которых встречается символ 'я' или 'ч'
каверкаются: символы 'я' и 'ч' пропадают, также в имени таких файлах
пропадают пробелы и точки.

Например, спелое яблоко.jpg становится спелоеблокоjpg, или великий
человек.gif становится великийеловекgif.

Что не так?

--
Roman Busyguin

--
Покотиленко Костик [EMAIL PROTECTED]

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: proftpd: ftp файл сервер д ля Win клиентов, файл ы cp1251

2006-09-15 Пенетрантность Roman Busyguin

На Fri, 15 Sep 2006 11:24:31 +0300
Покотиленко Костик [EMAIL PROTECTED] записано:

В Птн, 15/09/2006 в 14:52 +0700, Roman Busyguin пишет:
Воспользуйтесь патчем
http://www.linuxportal.vrn.ru/proftpd-1.3.0-rus.patch.html

Спасибо.

Вот это должно помочь:
apt-get install apt-howto-ru

Посмотрите в раздел сборки пакетов из исходных кодов.

На Fri, 15 Sep 2006 10:43:44 +0300
Покотиленко Костик [EMAIL PROTECTED] записано:

Привет,

Настроил proftpd для работы файл-сервером для Win клиентов. Файловая
система ext3, локаль koi8-u.

Например, спелое яблоко.jpg становится спелоеблокоjpg, или великий
человек.gif становится великийеловекgif.

Что не так?

--
Roman Busyguin

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: proftpd: ftp файл сервер для Win клиентов, файлы cp1251

2006-09-15 Пенетрантность Покотиленко Костик

В Птн, 15/09/2006 в 15:35 +0700, Roman Busyguin пишет:
На Fri, 15 Sep 2006 11:24:31 +0300
Покотиленко Костик [EMAIL PROTECTED] записано:

В Птн, 15/09/2006 в 14:52 +0700, Roman Busyguin пишет:
Воспользуйтесь патчем
http://www.linuxportal.vrn.ru/proftpd-1.3.0-rus.patch.html

Спасибо.

Вот это должно помочь:
apt-get install apt-howto-ru

Посмотрите в раздел сборки пакетов из исходных кодов.

Спасибо.

На Fri, 15 Sep 2006 10:43:44 +0300
Покотиленко Костик [EMAIL PROTECTED] записано:

Привет,

Настроил proftpd для работы файл-сервером для Win клиентов. Файловая
система ext3, локаль koi8-u.

Например, спелое яблоко.jpg становится спелоеблокоjpg, или великий
человек.gif становится великийеловекgif.

Что не так?

--
Roman Busyguin

--
Покотиленко Костик [EMAIL PROTECTED]

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: proftpd: ftp файл сервер для Win клиентов, файлы cp1251

2006-09-15 Пенетрантность Artem Chuprina

Покотиленко Костик - debian-russian@lists.debian.org @ Fri, 15 Sep 2006
10:43:44 +0300:

ПК Привет,

ПК Настроил proftpd для работы файл-сервером для Win клиентов. Файловая
ПК система ext3, локаль koi8-u.

ПК Win клиенты пишут файлы с русскими именами в cp1251. Мне в принципе всё
ПК равно, что они в консоле не в той кодировке, главное, чтобы клиенты
ПК нормально видели.

ПК Так вот, файлы в имени которых встречается символ 'я' или 'ч'
ПК каверкаются: символы 'я' и 'ч' пропадают, также в имени таких файлах
ПК пропадают пробелы и точки.

ПК Например, спелое яблоко.jpg становится спелоеблокоjpg, или великий
ПК человек.gif становится великийеловекgif.

ПК Что не так?

Как кто-то не так давно рассказывал, задача в общем виде решения не
имеет. Интерпретация символа я виндовой кодировки AKA 0xff клиентом
зависит от того, соблюдает ли оный клиент некоторые тонкости протокола
FTP. Т.е. что так, что эдак будет работать только часть клиентов.

--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]

А еще следует потребовать, чтобы программисты, перед тем, как писать код,
внимательно прочли спецификацию: с сыром - это чизбургер.
Игус в [EMAIL PROTECTED]

--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: proftpd with mod_clamav

2006-04-11 Пенетрантность Никита


Никита пишет:

Привет.
Готовый скомпиленный пакет кто нибудь встречал?




Нашел, если кому надо - вот
http://sven.stormbind.net/debian/proftpdclamsarge/proftpd_1.2.10-19.clamav.1_i386.changes
http://sven.stormbind.net/debian/proftpdclamsarge/proftpd_1.2.10-19.clamav.1_i386.deb

Re: proftpd и ограничение скорости

2005-10-29 Пенетрантность Anton Petrusevich

On Saturday 29 October 2005 11:11, Yura wrote:
 Заметил что в sarge proftpd не позволяет качать со скоростью  20K на и
 потом, как пофиксить ???

С обоих сторон debian sarge, wget тянет с proftpd:117.76K/s
Может не в proftpd дело?
-- 
Anton

Re: proftpd и ограничение скорости

2005-10-29 Пенетрантность Mihail A Antonov

 Заметил что в sarge proftpd не позволяет качать со скоростью  20K на и
 потом, как пофиксить ???

AP С обоих сторон debian sarge, wget тянет с proftpd:117.76K/s
AP Может не в proftpd дело?

sarge (stable) = 3.1 (testing) ncftp: 7,06 MB/s
Обратно также. Совсем не в proftpd.
Посмотри top пока тянешь.

-- 
Best regards,
   Mihail.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: proftpd и ограничение скорости

2005-10-29 Пенетрантность Anton Petrusevich

On Saturday 29 October 2005 13:34, Mihail A Antonov wrote:
  Заметил что в sarge proftpd не позволяет качать со скоростью  20K на и
  потом, как пофиксить ???
 AP С обоих сторон debian sarge, wget тянет с proftpd:117.76K/s
 AP Может не в proftpd дело?
 sarge (stable) = 3.1 (testing) ncftp: 7,06 MB/s
 Обратно также. Совсем не в proftpd.

У меня dsl, больше 122kb/s не выдаёт.

 Посмотри top пока тянешь.

23985 www-data  15   0  4692 2704 3968 S  0.0  0.1   0:03.96 proftpd
 2616 www-data  16   0  4684 2384 3968 S  0.0  0.1   0:00.05 proftpd

со стороны сервера. wget, понятно, нисколько не кушает.
-- 
Anton

Re: ProFTPD - FIXED

2005-06-16 Пенетрантность Dmitrii Varvashenia


Hello, russian


Dmitrii Varvashenia wrote:

ProFTPD (Sarge):
  ( 
   3-4 ).   (IE, CuteFTP, 
3DFTP, TotalCommander).

 IE:
   . , 
, .


:
.

 -  - .
. 
, -  .


 ?

PS: ,  .  
  proftpd.
PPS:-   ,
.  .


   update  sarge .   ,  delay 
   ,   .


:)



cp /etc/proftpd.conf /backup/
apt-get --purge remove proftpd
apt-get install proftpd
/etc/init.d/proftpd stop
cp /backup/proftpd.conf /etc/
/etc/init.d/proftpd start

  - .

--
WBR, Dmitrii
ICQ: 193-74-771
Phone: +375-40-LINUX


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: ProFTPD - FIXED

2005-06-16 Пенетрантность Nizamov Shavkat



 cp /etc/proftpd.conf /backup/
 apt-get --purge remove proftpd
 apt-get install proftpd
 /etc/init.d/proftpd stop
 cp /backup/proftpd.conf /etc/
 /etc/init.d/proftpd start

 -   ?   ,
.  ?


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: ProFTPD - FIXED

2005-06-16 Пенетрантность Dmitrii Varvashenia


Edvins :

Nizamov Shavkat wrote:


cp /etc/proftpd.conf /backup/
apt-get --purge remove proftpd
apt-get install proftpd
/etc/init.d/proftpd stop
cp /backup/proftpd.conf /etc/
/etc/init.d/proftpd start

 -   ?   ,
.  ?


 -  - - .

  - ;-)

.(~10 ),   
   


  -  ... (, , ...)

--
WBR, Dmitrii
ICQ: 193-74-771
Phone: +375-40-LINUX


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: ProFTPD

2005-06-14 Пенетрантность Alexander


Dmitrii Varvashenia escribi:

Hello, russian.

ProFTPD (Sarge):
  (  
  3-4 ).   (IE, CuteFTP, 3DFTP, 
TotalCommander).

 IE:
   . , , 
.


:
.

 -  - .
. , 
-  .


 ?

   ...
   ,  .

NAT?



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: ProFTPD

2005-06-14 Пенетрантность Dmitrii Varvashenia


Alexander :

ProFTPD (Sarge):
  ( 
   3-4 ).   (IE, CuteFTP, 
3DFTP, TotalCommander).

 IE:
   . , 
, .


:
.

 -  - .
. 
, -  .


 ?

   ...
   ,  .
  auth.log   
  .

NAT?
  ..
  :  ftp  ssh ,  ip


--
WBR, Dmitrii
ICQ: 193-74-771
Phone: +375-40-LINUX


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: ProFTPD

2005-06-14 Пенетрантность Yuri Kozlov


On Tue, 14 Jun 2005 15:11:18 +0300
 Dmitrii Varvashenia [EMAIL PROTECTED] wrote:

Alexander :

ProFTPD (Sarge):
  ( 
   3-4 ).   (IE, CuteFTP, 
3DFTP, TotalCommander).

NAT?
  ..  
:  ftp  ssh ,   
   ip


,   tcpdump-
   .

Regards,
Yuri Kozlov


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: ProFTPD

2005-06-14 Пенетрантность Edvins


Dmitrii Varvashenia wrote:


Yuri Kozlov :


On Tue, 14 Jun 2005 15:11:18 +0300
 Dmitrii Varvashenia [EMAIL PROTECTED] wrote:


Alexander :


ProFTPD (Sarge):
  ( 
   3-4 ).   (IE, CuteFTP, 
3DFTP, TotalCommander).



NAT?



  ..  
:  ftp  ssh ,   
   ip





,   tcpdump-
   .



 proftpd   
 

 .

   ,   ftp   
 

 .  - .

:
Connected to xx.xx.xx.xx.
220 ProFTPD 1.2.10 Server (PDRLinux01) [xx.xx.xx.xx]
Name (65.15.95.236:root): superpuper
331 Password required for superpuper.
Password:
421 Service not available, remote server has closed connection
Login failed.
No control connection for command: No such file or directory

   syslog :
Jun 14 09:13:31 linux01 proftpd[2587]: linux01.domen.com  - 
mod_delay/0.4:

delaying for 27 usecs
Jun 14 09:13:31 linux01 proftpd[2587]: linux01.domen.com  - ProFTPD 
terminating

(signal 11)
Jun 14 09:13:31 linux01 proftpd[2587]: linux01.domen.com  - FTP 
session closed.
Jun 14 09:13:31 linux01 proftpd[2588]: linux01.domen.com  - FTP 
session opened.
Jun 14 09:13:31 linux01 proftpd[2588]: linux01.domen.com  - 
mod_delay/0.4:

delaying for 53 usecs
Jun 14 09:13:32 linux01 proftpd[2588]: linux01.domen.com  - ProFTPD 
terminating

(signal 11)
Jun 14 09:13:32 linux01 proftpd[2588]: linux01.domen.com  - FTP 
session closed.
Jun 14 09:13:32 linux01 proftpd[2589]: linux01.domen.com  - FTP 
session opened.
Jun 14 09:13:32 linux01 proftpd[2589]: linux01.domen.com  - 
mod_delay/0.4:

delaying for 25 usecs
Jun 14 09:13:33 linux01 proftpd[2589]: linux01.domen.com  - ProFTPD 
terminating

(signal 11)
Jun 14 09:13:33 linux01 proftpd[2589]: linux01.domen.com  - FTP 
session closed.
Jun 14 09:13:33 linux01 proftpd[2590]: linux01.domen.com  - FTP 
session opened.
Jun 14 09:13:33 linux01 proftpd[2590]: linux01.domen.com  - 
mod_delay/0.4:

delaying for 21 usecs
Jun 14 09:13:34 linux01 proftpd[2590]: linux01.domen.com  - ProFTPD 
terminating

(signal 11)
Jun 14 09:13:34 linux01 proftpd[2590]: linux01.domen.com  - FTP 
session closed.
Jun 14 09:13:35 linux01 proftpd[2591]: linux01.domen.com  - FTP 
session opened.
Jun 14 09:13:42 linux01 proftpd[2591]: linux01.domen.com  - 
mod_delay/0.4:

delaying for 54 usecs


  a Sarge. 
 FTP-  Actcive backports :(


Edvins


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: proftpd-pgsql

2005-04-27 Пенетрантность Alexander Gerasiov

drd wrote:
 Hello debian-russian,
 
 - 
sql...
 

AuthPAM off

 ,   .


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: proftpd

2004-09-07 Пенетрантность Sergey Pahomov


Вобщем все оказалось просто - проблемы решились после установки proftpd
с www.backports.org


Sergey Pahomov пишет:


Добрый день.
Есть проблема с proftpd.
А именно - не хочет понимать параметр GroupOwner.
прописываю в proftpd:

Directory /home/httpd/html
  Umask 002
  GroupOwnerwebadmin
/Directory

группа webadmin у нужных людей прописана как вторичная.
Все-равно, при записи файла на него ставиться основная группа юзера.
Установлен чистый woody + sec. updates.

В чем может быть загвоздка ?

--
Сергей.

Re: proftpd

2004-09-06 Пенетрантность Sergey Pahomov


Andrey N. Demushkin пишет:


The Weather is Good! Isn't It?

Monday, September 6, 2004, 10:23:01 AM, you wrote:

SP Добрый день.
SP Есть проблема с proftpd.
SP А именно - не хочет понимать параметр GroupOwner.
SP прописываю в proftpd:

SP Directory /home/httpd/html
SPUmask 002
SPGroupOwnerwebadmin
SP /Directory

SP группа webadmin у нужных людей прописана как вторичная.
SP Все-равно, при записи файла на него ставиться основная группа юзера.
SP Установлен чистый woody + sec. updates.

SP В чем может быть загвоздка ?
chmod g+s html


With best regards, Andrey N. Demushkin
--icq: 27072263
http://www.demushkin.ru

 


Можно конечно и так.
Но почему параметр-то не работает?.
и вот такая  запись
DefaultRoot~ users,!webadmin
по моему должна ограничивать всех из группы users, кроме тех кто еще 
состоят  в группе webadmin

но ограничивает ВСЕХ.
Такое впечатление что proftpd  смотрит только на основные группы, а 
вторичные он не воспринимает совсем.

Re: proftpd

2004-09-06 Пенетрантность Sergey Pahomov


О группах в системе.
Хотелось бы  proftpd  к ним привязать.

Andrey N. Demushkin пишет:


The Weather is Good! Isn't It?

Monday, September 6, 2004, 12:07:05 PM, you wrote:
 

 


SP Можно конечно и так.
SP Но почему параметр-то не работает?.
SP и вот такая  запись
SP DefaultRoot~ users,!webadmin
SP по моему должна ограничивать всех из группы users, кроме тех кто еще
SP состоят  в группе webadmin
SP но ограничивает ВСЕХ.
SP Такое впечатление что proftpd  смотрит только на основные группы, а
SP вторичные он не воспринимает совсем.
Стоп. О каких группах идет речь? Группы в системе или группы в
proftpd?




With best regards, Andrey N. Demushkin
--icq: 27072263
http://www.demushkin.ru

Re: Proftpd and symlinks

2004-04-01 Пенетрантность Volodya

On Wed, Mar 31, 2004 at 10:55:27PM +0400, Sergey V. Burchu wrote:
Wed, Mar 31, 2004 at 09:59:16PM +0400, you(Vladimir) wrote:
On Tuesday 30 March 2004 19:00, Sergey V. Burchu wrote:
Tue, Mar 30, 2004 at 06:26:57PM +0400, you(Vladimir) wrote:
Hello debian-russian !
Хотел поделится скачанными deb файлами с друзьями в локальной сети. Для
этого зделал симлинки командой lndir из /var/cache/apt/archives
в /home/ftp/pub/debian. Но proftpd при попытке скачать возврашает
симлинк, а не файл, на который он ссылается. Когда я добавляю
ShowSymlinks off в Anonymous файлы-ссылки вообще не видны. Ни Google
ни
proftpd-doc ответа не дал.
Подскажите, что зделать, где почитать...

man mount
/bind
Thanks, я так и зделал. Только лично мне кажется как-то криво... Как из
пушки
по воробьям.

Увы. Я долго искал нормальный способ.
Симлинки оно не понимает как apache, а делать hardlinks... влом если честно.
Так что на мой взгляд тут все нормально.
С каких пор Apache не понимает симлинки??

Проблема видимо в том что симлинки ведут за пределы chroot.

/\
\ /ASCII Ribbon Campaign
X against HTML email vCards
/ \

Re: Proftpd and symlinks

2004-03-31 Пенетрантность Vladimir

On Tuesday 30 March 2004 19:00, Sergey V. Burchu wrote:
 Tue, Mar 30, 2004 at 06:26:57PM +0400, you(Vladimir) wrote:
  Hello debian-russian !
  Хотел поделится скачанными deb файлами с друзьями в локальной сети. Для
  этого зделал симлинки командой lndir из /var/cache/apt/archives
  в /home/ftp/pub/debian. Но proftpd при попытке скачать возврашает
  симлинк, а не файл, на который он ссылается. Когда я добавляю
  ShowSymlinks off в Anonymous файлы-ссылки вообще не видны. Ни Google ни
  proftpd-doc ответа не дал.
  Подскажите, что зделать, где почитать...

 man mount
 /bind
Thanks, я так и зделал. Только лично мне кажется как-то криво... Как из пушки 
по воробьям.
 Эту опцию можно в fstab прописать.
 --
   Burchu Sergey.

-- 
   Vladimir

Re: Proftpd and symlinks

2004-03-31 Пенетрантность Sergey V. Burchu

Wed, Mar 31, 2004 at 09:59:16PM +0400, you(Vladimir) wrote:
 On Tuesday 30 March 2004 19:00, Sergey V. Burchu wrote:
  Tue, Mar 30, 2004 at 06:26:57PM +0400, you(Vladimir) wrote:
   Hello debian-russian !
   Хотел поделится скачанными deb файлами с друзьями в локальной сети. Для
   этого зделал симлинки командой lndir из /var/cache/apt/archives
   в /home/ftp/pub/debian. Но proftpd при попытке скачать возврашает
   симлинк, а не файл, на который он ссылается. Когда я добавляю
   ShowSymlinks off в Anonymous файлы-ссылки вообще не видны. Ни Google ни
   proftpd-doc ответа не дал.
   Подскажите, что зделать, где почитать...
 
  man mount
  /bind
 Thanks, я так и зделал. Только лично мне кажется как-то криво... Как из пушки 
 по воробьям.

Увы. Я долго искал нормальный способ.
Симлинки оно не понимает как apache, а делать hardlinks... влом если честно.
Так что на мой взгляд тут все нормально.
-- 
Burchu Sergey.

Re: Proftpd and symlinks

2004-03-30 Пенетрантность Volodya

On Tue, Mar 30, 2004 at 06:26:57PM +0400, Vladimir wrote:
 Hello debian-russian !
 Хотел поделится скачанными deb файлами с друзьями в локальной сети. Для этого 
 зделал симлинки командой lndir из /var/cache/apt/archives 
 в /home/ftp/pub/debian. Но proftpd при попытке скачать возврашает симлинк, а 
 не файл, на который он ссылается. Когда я добавляю ShowSymlinks off в 
 Anonymous файлы-ссылки вообще не видны. Ни Google ни proftpd-doc ответа не 
 дал.
 Подскажите, что зделать, где почитать...

А proftpd случайно не chrooted?

-- 

  /\
  \ /ASCII Ribbon Campaign
   X   against HTML email  vCards
  / \

Re: Proftpd and symlinks

2004-03-30 Пенетрантность .Nick


Volodya пишет:

On Tue, Mar 30, 2004 at 06:26:57PM +0400, Vladimir wrote:


Hello debian-russian !
Хотел поделится скачанными deb файлами с друзьями в локальной сети. Для этого 
зделал симлинки командой lndir из /var/cache/apt/archives 
в /home/ftp/pub/debian. Но proftpd при попытке скачать возврашает симлинк, а 
не файл, на который он ссылается. Когда я добавляю ShowSymlinks off в 
Anonymous файлы-ссылки вообще не видны. Ни Google ни proftpd-doc ответа не 
дал.

Подскажите, что зделать, где почитать...



А proftpd случайно не chrooted?


Именно!

Можно сделать так:
Положить debки в /home/ftp/pub/debian
И сделать ln -s /home/ftp/pub/debian /var/cache/apt/archives

--
WBR, .Nick
--
USU-Lug (Ural State University Linux Users Group)
http://usu-lug.org.ru/  mailto:[EMAIL PROTECTED]

Re: Proftpd and symlinks

2004-03-30 Пенетрантность Sergey V. Burchu

Tue, Mar 30, 2004 at 06:26:57PM +0400, you(Vladimir) wrote:
 Hello debian-russian !
 Хотел поделится скачанными deb файлами с друзьями в локальной сети. Для этого 
 зделал симлинки командой lndir из /var/cache/apt/archives 
 в /home/ftp/pub/debian. Но proftpd при попытке скачать возврашает симлинк, а 
 не файл, на который он ссылается. Когда я добавляю ShowSymlinks off в 
 Anonymous файлы-ссылки вообще не видны. Ни Google ни proftpd-doc ответа не 
 дал.
 Подскажите, что зделать, где почитать...

man mount
/bind

Эту опцию можно в fstab прописать.
-- 
Burchu Sergey.

Re: proftpd и буква -я- в кодировке win1251

2003-06-02 Пенетрантность Elena Egorova

Здравствуйте,

On Sun, Jun 01, 2003 at 06:42:13PM +0800, Sav EM wrote:
 День добпый, debian-russian.
 
 Есть маленькая проблемка.
 Стоит woody 3.01 на нем поднят proftpd из дистрибутива.
 Клиенты к ftp подключаются из M$ и когда передают на него документ c русским 
 именем содержащим букву я, то документ сохраняется на ftp с именем без 
 буквы я и символа следующего за ней.
 
 Есть ли у многоуважаемого ALL, решение данной проблемы?
 
 PS. в логах пишет что пользователь передал файл на сервер и ИМЯ ФАЙЛА УЖЕ БЕЗ 
 БУКВЫ Я

Код буквы я - 0xff, что, согласно протоколу FTP, является управляющий символом.
Так что никак.
Или написать свои собственные клиенты, которые работают в кодировке UTF8.

-- 
Elena Egorova,
SatGate LLC,
+7 0112 573073
+7 0112 573070

Re: ProFTPD

2002-11-25 Пенетрантность Michael Shigorin

On Fri, Nov 22, 2002 at 05:12:28PM +0200, Jan Solovjov wrote:
 это все гуд, но когда происходит передача данных одновременно с этих 
 двух устройств, проблемы могут быть.

Не возникает -- данные-то с zip'а только с/на винт и бегают
(другое дело, что через кэш).

Проблемы с производительностью решаются в стиле
а-что-ide-умеет-больше-одного-девайса-на-шлейф??? :-)

-- 
  WBR, Michael Shigorin [EMAIL PROTECTED]
  -- Linux.Kiev http://www.linux.kiev.ua/

Re: ProFTPD

2002-11-22 Пенетрантность Jan Solovjov

Andriy Ivashchenko wrote:

On Thu, 21 Nov 2002 23:53:19 +0200
Jan Solovjov [EMAIL PROTECTED] wrote:

Egor Tur wrote:

Hi.

Привет!

Почему при закачке по 100мбитному сегменту на ProFTPd скорость всего
450килобайт в секунду. При скачке с него - 5мегабайт? Чем эт
овызвано? Загрузка машины - нулевая.

смотрите в сторону свитчей/хабов, скорее всего беда в них.

пришло прямым реплейем ко мне...

и еще 5 копеек, которые могут помочь. СтОит поиграться с ifconfig на
предмет media, чтобы не auto. Попробовать явно указать (man ifconfig)
100BaseЧТО-ТО или 10BaseЧТО-ТО. На линухах это на некоторых драйверах и
вовсе не реализовано, но некоторые afaik поддерживают. BTW на FreeBSD
это реализовано интересней.

все может быть.
также посмотрите действительно медиа, некоторые свитчи/хабы и сетевухи
не умеют самостоятельно договариваться о скорости передачи данных и им
это надо объяснять вручную, например для 3com используется конфигуратор
(под дос).
также еще посмотрите не ссоряться ли сетевухи с кем-нибудь по
прерываниям и io.

PS
может кто еще что подскажет.
--
Jan Solovjov
mob. +37256159411
ICQ UIN: 92473601
sysadmin MagicNET Network | Registered Linux User: 202313

mailto:[EMAIL PROTECTED]

Re: ProFTPD

2002-11-22 Пенетрантность Michael Shigorin

On Thu, Nov 21, 2002 at 11:53:19PM +0200, Jan Solovjov wrote:
 если на этих машинах используются на одном шлейфе/контроллере разные 
 харды (старые и новые) - жди беды,

Если на одном шлейфе висит IBM 40/7200 (ATA66) и ZIP (PIO0) и
каждый работает на своей полной скорости в свое время -- что
делать, чтоб все стало плохо? :-)

PS: в р-не Documentation/ide.txt упоминалось, что проблемы с
разнорежимным железом на одном идешном шлейфе -- в основном
сказки, а реальности только при ну очень большом везении на это
самое железо.  Моей практикой это пока только подтверждалось :-)

-- 
  WBR, Michael Shigorin [EMAIL PROTECTED]
  -- Linux.Kiev http://www.linux.kiev.ua/

Re: ProFTPD

2002-11-22 Пенетрантность Michael Shigorin

On Fri, Nov 22, 2002 at 11:11:44AM +0200, Jan Solovjov wrote:
 Попробовать явно указать (man ifconfig) 100BaseЧТО-ТО или
 10BaseЧТО-ТО. На линухах это на некоторых драйверах и вовсе не
 реализовано, но некоторые afaik поддерживают. BTW на FreeBSD
 все может быть.

ethtool

-- 
  WBR, Michael Shigorin [EMAIL PROTECTED]
  -- Linux.Kiev http://www.linux.kiev.ua/

Re: ProFTPD

2002-11-22 Пенетрантность Jan Solovjov


Michael Shigorin wrote:


On Thu, Nov 21, 2002 at 11:53:19PM +0200, Jan Solovjov wrote:
 

если на этих машинах используются на одном шлейфе/контроллере разные 
харды (старые и новые) - жди беды,
   



Если на одном шлейфе висит IBM 40/7200 (ATA66) и ZIP (PIO0) и
каждый работает на своей полной скорости в свое время -- что
делать, чтоб все стало плохо? :-)

это все гуд, но когда происходит передача данных одновременно с этих 
двух устройств, проблемы могут быть.


Не возникало бы проблем, так и не писал бы об этом, причем проблемы были 
и у моего коллеги, на домашней тачке.




PS: в р-не Documentation/ide.txt упоминалось, что проблемы с
разнорежимным железом на одном идешном шлейфе -- в основном
сказки, а реальности только при ну очень большом везении на это
самое железо.  Моей практикой это пока только подтверждалось :-)

 



Вот это везение тут и вылезло, хотя лучше пускай тот человек, кто 
спрашивал совета, расскажет общественности как на самом деле и что ему 
помогло.


PS
люди спросили, мы предположили :) никто вживую машин не видел и ситуации 
самой тоже.


PPS
а вообще, это темные электронные силы :)

Re: ProFTPD

2002-11-21 Пенетрантность Egor Tur

Hi.
Почему при закачке по 100мбитному сегменту на ProFTPd скорость всего
450килобайт в секунду. При скачке с него - 5мегабайт? Чем эт овызвано?
Загрузка машины - нулевая.
У меня ситуация похожа, но только работа кажется зависит от погоды :(. Есть
сервер под debian и рядышком машины под slackware . На другом конце машины под
debian парочка под slackware и redhat . Под debian и redhat - сервера proftpd,
клиенты - netkit-ftp и ftp. Под slackware - сервера wu-ftpd. Так вот когда
файлы передаешь между машинами на одном конце сетки, то передача номально
происходит: ~10МB - по 100Мбитной сетке и ~1MB по 10Мбитной. Но когда между
концами сетки - то тормоза полные до 0.1 байта в секунду. Если между машинами
не под debian - то чуть лучше: 100-300 кбайт. Такая же ситуация при копировании
через scp ! В тоже время между windows машинами и сервером - 700-800 кбайт по
10Мбитной сетке.
Карточки сетевые разнообразные, в целях эксперимента тасовались между машинами.
Ядра на машинах 2.4.19 , 2.4.18 - debian , 2.4.19, 2.2.20 , 2.0.33 - slackware,
2.2.16- redhat - пересобранные.
Куда смотреть и как полечить ситуацию ума не приложу.
Thanx, если что подскажите.

Re: ProFTPD

2002-11-21 Пенетрантность Jan Solovjov

Egor Tur wrote:

Hi.

Привет!

Почему при закачке по 100мбитному сегменту на ProFTPd скорость всего
450килобайт в секунду. При скачке с него - 5мегабайт? Чем эт овызвано?
Загрузка машины - нулевая.

смотрите в сторону свитчей/хабов, скорее всего беда в них.

также стоит обратить внимание на файловую систему (физиеческую), то есть
на сами харды.
если на этих машинах используются на одном шлейфе/контроллере разные
харды (старые и новые) - жди беды,

тормоза будут постоянные.
может быть дело в этом - это как предположение. Попробуйте
поэксперементировать с этим тоже.
Думаю стоит посмотреть в сторону hdparm и стоит проверить также кабеля,
плохо обжатые фишки выдают иногда очень замысловатые фокусы.

Я долго использовал сервера под Slackware на разных ядрах и разные
версии ProFTPd - точно могу сказать - это проблемы железа, но не софта.
В данный момент используется сервер на Debian (sid) с ProFTPd с нехилой
нагрузкой и до кучи еще и самба там, работает очень стабильно и шустро,
средняя нагрузка на одну карту примерно 20 Мб, карт 4 штуки, на все
отдает примерно поровну.

У меня ситуация похожа, но только работа кажется зависит от погоды :(. Есть
сервер под debian и рядышком машины под slackware . На другом конце машины под
debian парочка под slackware и redhat . Под debian и redhat - сервера proftpd,
клиенты - netkit-ftp и ftp. Под slackware - сервера wu-ftpd. Так вот когда
файлы передаешь между машинами на одном конце сетки, то передача номально
происходит: ~10МB - по 100Мбитной сетке и ~1MB по 10Мбитной. Но когда между
концами сетки - то тормоза полные до 0.1 байта в секунду. Если между машинами
не под debian - то чуть лучше: 100-300 кбайт. Такая же ситуация при копировании
через scp ! В тоже время между windows машинами и сервером - 700-800 кбайт по
10Мбитной сетке.
Карточки сетевые разнообразные, в целях эксперимента тасовались между машинами.
Ядра на машинах 2.4.19 , 2.4.18 - debian , 2.4.19, 2.2.20 , 2.0.33 - slackware,
2.2.16- redhat - пересобранные.
Куда смотреть и как полечить ситуацию ума не приложу.
Thanx, если что подскажите.

Также сходи на google.com может там что по этому поводу проскакивало.

Re: ProFTPD

2002-11-18 Пенетрантность Валентин С . Рябинин

В Втр, 19.11.2002, в 10:03, Alex Dubrovsky написал:
 Почему при закачке по 100мбитному сегменту на ProFTPd скорость всего
 450килобайт в секунду. При скачке с него - 5мегабайт? Чем эт овызвано?
 Загрузка машины - нулевая.

кто клиент, какие сетевухи, какая длинна сегмента, свичи или хабы, LA на
компьютер, состояние физических соединений

всё это вы должны были перечислить :)

99% ситуаций по такому вопросу: клиент виндовс c дефолтными драйверами
для сетевой. поставьте последние драйвера производителя.

Re: ProFTPD

2002-11-18 Пенетрантность Viktor Vislobokov


Alex Dubrovsky wrote:
Почему при закачке по 100мбитному сегменту на ProFTPd скорость всего 
450килобайт в секунду. При скачке с него - 5мегабайт? Чем эт овызвано? 
Загрузка машины - нулевая.


  Тут виндозник на соседней машине заметил - как Far'ом так тормоза,
как командно-строчным ftp клиентом - все летает. Посмотри

  Еще есть хорошо известная проблема с 3COM картами, которые не
могут договорится с Cisco или Hub'ом на full_duplex 100Mbit для
чего приходится в параметры модуля драйвера этой карточки вводить
специальные опции типа full_duplex=1 или options=0x204


Виктор

Re: proftpd log analizer

2002-10-22 Пенетрантность Oleg P. Philon

Привет, коллеги.

On Tue, Oct 22, 2002 at 12:14:08PM +0300, Dmitry Korotkov wrote:
 Нужен какой-нибудь анализатор логов proftpd, чтобы всю информацию красиво в 
 WWW предоставлял.
 кто чем пользуется ?
 Что посоветуете ?

analog (почти) на все случаи жизни

Auf Wiederlesenophil aka Д-р Антикоммуний
--
Oleg P. Philon  http://gomelug.agava.ru/articles
Linux Lab, Gomel, Belarus   mailto:[EMAIL PROTECTED]
http://anticommunist.narod.ru   mailto:[EMAIL PROTECTED]

Re: proftpd log analizer

2002-10-22 Пенетрантность Constantin Cherkasoff

Hi!
OPP  Нужен какой-нибудь анализатор логов proftpd, чтобы всю информацию
OPP  красиво в WWW предоставлял. кто чем пользуется ?
OPP  Что посоветуете ?
OPP 
OPP analog (почти) на все случаи жизни

Не получив, однажды, желаемого от analog'а решил 
попробовать proftpd-mysql с целью log'ирования в mysql-таблицу.
Не получилось, возможно из-за кривизны пакета (сборки).
Руками пересобирать было лень :-[, поэтому написал свой парсер логов,
который сует что нужно в таблицу. 

Наверное лучше все-таки proftpd-(my|pro)sql...


--
coxx.

Re: proftpd q

2002-02-28 Пенетрантность Oleksandr Moskalenko

Pure-ftpd:
Хорошая: для виртуальных юзеров задается max number of connections для
каждого юзера.
Плохая: раньше эта фича была еще not implemented yet. Может быть в
последних релизах уже есть.
Можно написать в форум на sourceforge разработчики внесут ясность в этот
вопрос. А потом нам расскажите о результатах ;)
А еще можно просто взять и проверить работает или нет.
Синтаксис файла данных виртуальных юзеров вот такой:

account:password:uid:gid:gecos:home directory:upload
bandwidth:download bandwidth:upload ratio:download ratio:max number
of connections:files quota:size quota:authorized local IPs:refused
local IPs:authorized client IPs:refused client IPs:time

можно залезть и попробовать прописать max number of connections для
определенного юзера и проверить работает или нет.
restrictions

В форуме на Sourceforge куча запросов на эту возможность, но никакого
ответа. Она все еще не работает. А жаль, в общем хороший сервер.

Александр

Oleksandr Moskalenko [EMAIL PROTECTED]
pub 1024D/6C5F196B 2001-08-17 /* http://www.tagancha.org/pgp */
Oleksandr V. Moskalenko (Alex) [EMAIL PROTECTED]
Fingerprint = EE63 C471 ADBA 5D80 ADFB 1054 DA28 6F32 6C5F 196B

Re: proftpd q

2002-02-26 Пенетрантность Konstantin Sorokin

On Mon, Feb 25, 2002 at 05:16:53PM -0500, Oleksandr Moskalenko wrote:
 * CuPoTKa ([EMAIL PROTECTED]) wrote:
  Anton I. Karpov wrote:
  
  Добрый день.
  
  Как в proftpd ограничить количество одновременных подключений с одного IP
  для анонимного пользователя? В доке (proftpd-doc) ничего на эту тему не
  нашел.
  
  Если нельзя это сделать в proftpd, то посоветуйте ftp-сервер, в котором это
  возможно.
  
  Не знаю насчет proftpd у меня стоит pureftpd и в нем это и очень многое 
  другое делается очень просто.
  http://pureftpd.sourceforge.net/
  
   Поддерживаю. Pureftpd был самым гибким сервером из всех, что я
 пробовал. Как раз то что Вам нужно он сделает. Хотя, конечно, гибкости
 всегда не хватает, даже в нем. Например хотелось бы установить отдельные
 ограничения для конкретных пользователей, а он лишь разрешает всех под
 одну гребенку равнять.
 

Можно еще взглянуть на NetBSD'шный lukemftpd. В unstable есть.

-- 
Konstantin Sorokin at NetBSD/UltraSparc

Re: proftpd q

2002-02-25 Пенетрантность CuPoTKa


Anton I. Karpov wrote:


Добрый день.

Как в proftpd ограничить количество одновременных подключений с одного IP
для анонимного пользователя? В доке (proftpd-doc) ничего на эту тему не
нашел.

Если нельзя это сделать в proftpd, то посоветуйте ftp-сервер, в котором это
возможно.

Не знаю насчет proftpd у меня стоит pureftpd и в нем это и очень многое 
другое делается очень просто.

http://pureftpd.sourceforge.net/

Re: proftpd q

2002-02-25 Пенетрантность Oleksandr Moskalenko

* CuPoTKa ([EMAIL PROTECTED]) wrote:
 Anton I. Karpov wrote:
 
 Добрый день.
 
 Как в proftpd ограничить количество одновременных подключений с одного IP
 для анонимного пользователя? В доке (proftpd-doc) ничего на эту тему не
 нашел.
 
 Если нельзя это сделать в proftpd, то посоветуйте ftp-сервер, в котором это
 возможно.
 
 Не знаю насчет proftpd у меня стоит pureftpd и в нем это и очень многое 
 другое делается очень просто.
 http://pureftpd.sourceforge.net/
 
  Поддерживаю. Pureftpd был самым гибким сервером из всех, что я
пробовал. Как раз то что Вам нужно он сделает. Хотя, конечно, гибкости
всегда не хватает, даже в нем. Например хотелось бы установить отдельные
ограничения для конкретных пользователей, а он лишь разрешает всех под
одну гребенку равнять.

 Мои две копейки.

Александр

Re: proftpd q

2002-02-25 Пенетрантность CuPoTKa

Oleksandr Moskalenko wrote:

* CuPoTKa ([EMAIL PROTECTED]) wrote:

Anton I. Karpov wrote:

Добрый день.

Как в proftpd ограничить количество одновременных подключений с одного IP
для анонимного пользователя? В доке (proftpd-doc) ничего на эту тему не
нашел.

Если нельзя это сделать в proftpd, то посоветуйте ftp-сервер, в котором это
возможно.

Не знаю насчет proftpd у меня стоит pureftpd и в нем это и очень многое
другое делается очень просто.

http://pureftpd.sourceforge.net/

Поддерживаю. Pureftpd был самым гибким сервером из всех, что я
пробовал. Как раз то что Вам нужно он сделает. Хотя, конечно, гибкости
всегда не хватает, даже в нем. Например хотелось бы установить отдельные
ограничения для конкретных пользователей, а он лишь разрешает всех под
одну гребенку равнять.

Мои две копейки.

Александр

Если пользователей заводить как виртуальных то он позволяет выставлять
все настройки по конкретному пользователю. Я только таких и завожу.

http://pureftpd.sourceforge.net/README.Virtual-Users

Re: proftpd q

2002-02-25 Пенетрантность Oleksandr Moskalenko

* CuPoTKa ([EMAIL PROTECTED]) wrote:
Oleksandr Moskalenko wrote:

* CuPoTKa ([EMAIL PROTECTED]) wrote:

Anton I. Karpov wrote:

Добрый день.

Если нельзя это сделать в proftpd, то посоветуйте ftp-сервер, в котором
это
возможно.

Не знаю насчет proftpd у меня стоит pureftpd и в нем это и очень многое
другое делается очень просто.
http://pureftpd.sourceforge.net/

Мои две копейки.

Александр

Если пользователей заводить как виртуальных то он позволяет выставлять
все настройки по конкретному пользователю. Я только таких и завожу.
http://pureftpd.sourceforge.net/README.Virtual-Users

Я, в принципе, так и делаю. Вопрос вот в чем. Нужно выставить макс.
количество пользователей но так, чтобы определенные виртуальные
пользователи были исключением. Например макс. количество юзеров (через
# Maximum number of simultaneous users
MaxClientsNumber 15

К аккаунту ва1 (виртуальныйюзер1) подключилось 11 юзеров., a к ва2
подключилось 4 юзера. Но нужно, чтобы определенный VIP юзер ва3 мог
подключиться в любое время вне зависимости от того сколько
юзеров ва1 и ва2 висят на сервере. Как это сделать я не вижу, a нужно.

Re: proftpd q

2002-02-25 Пенетрантность Igor Goldenberg

Привет!

On Mon, 25 Feb 2002 at 22:40:57 +0300, Anton I. Karpov wrote:

 Как в proftpd ограничить количество одновременных подключений с одного IP
 для анонимного пользователя? В доке (proftpd-doc) ничего на эту тему не
 нашел.

MaxClientsPerHost

-- 
 С уважением,
 Игорь.

Re: proftpd q

2002-02-25 Пенетрантность CuPoTKa

Oleksandr Moskalenko wrote:

* CuPoTKa ([EMAIL PROTECTED]) wrote:

Oleksandr Moskalenko wrote:

* CuPoTKa ([EMAIL PROTECTED]) wrote:

Anton I. Karpov wrote:

Добрый день.

Если нельзя это сделать в proftpd, то посоветуйте ftp-сервер, в котором
это

возможно.

Не знаю насчет proftpd у меня стоит pureftpd и в нем это и очень многое
другое делается очень просто.

http://pureftpd.sourceforge.net/

Мои две копейки.

Александр

http://pureftpd.sourceforge.net/README.Virtual-Users

Есть две новости хорошая и плохая ;)
Хорошая: для виртуальных юзеров задается max number of connections для
каждого юзера.
Плохая: раньше эта фича была еще not implemented yet. Может быть в
последних релизах уже есть.
Можно написать в форум на sourceforge разработчики внесут ясность в этот
вопрос. А потом нам расскажите о результатах ;)

А еще можно просто взять и проверить работает или нет.
Синтаксис файла данных виртуальных юзеров вот такой:

можно залезть и попробовать прописать max number of connections для определенного
юзера и проверить работает или нет.

restrictions

Re: proftpd q

2002-02-25 Пенетрантность Anton I. Karpov

Добрый день, [EMAIL PROTECTED]

В ответ на ваше сообщение от 7:01 26.02.2002 
по теме: proftpd q было написано: 
IG MaxClientsPerHost

Мог бы и догадаться. :( Спасибо.

-- 
Anton I. Karpov
e-mail: [EMAIL PROTECTED]
icq:27857813

Re: proftpd и много групп

2001-03-15 Пенетрантность Oleg Amiton

Max Kosmach wrote:

  Это баг proftpd, всей системы организации групп или еще чего?
 Ядро + libc
 Можно глянуть в исходники и убедиться в наличии жесткого ограничения в 32
 группы

Причем увеличение константы NGROUPS_MAX в linux/sys/limits.h и
перекомпиляция
ядра ничего не дает :((
Видимо, libc тоже нужно обязательно пересобирать.
-- 
WBR, Oleg Amiton

Re: proftpd и много груп п

2001-03-15 Пенетрантность Max Kosmach

On Thu, Mar 15, 2001 at 10:25:07AM +0300, Oleg Amiton wrote:
 Max Kosmach wrote:
 
   Это баг proftpd, всей системы организации групп или еще чего?
  Ядро + libc
  Можно глянуть в исходники и убедиться в наличии жесткого ограничения в 32
  группы
 
 Причем увеличение константы NGROUPS_MAX в linux/sys/limits.h и
 перекомпиляция
 ядра ничего не дает :((
Чего и следовало ожидать :)

 Видимо, libc тоже нужно обязательно пересобирать.
Похоже на то

With MBR
Max

Re: proftpd и много груп п

2001-03-14 Пенетрантность Max Kosmach

On Wed, Mar 14, 2001 at 05:06:54PM +0300, Dmitry Turevsky wrote:
 Hello,
 
 Есть proftpd: ProFTPD Version 1.2.0pre10
 
 Есть логин. Логин входит в 30 групп. Так вот, если я включаю логин в
 31-ю группу, то proftpd теряет его вхождение в первую. То есть не
 дает chdir в каталог этой группы (mode 750), но показывает его по ls
 из уровня выше (HideNoAccess on).
 
 Это баг proftpd, всей системы организации групп или еще чего?
Ядро + libc
Можно глянуть в исходники и убедиться в наличии жесткого ограничения в 32
группы

With MBR
Max

83 matches

Mail list logo