ProFTPd шоб тока для своих
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
ProFTPd шоб тока для своих - 2009-02-25 15:44:57.173333
|
|
|
DN3aNHeP
Сообщений: 403
Оценки: 0
Присоединился: 2008-03-24 12:03:01.216666
|
Ситуация:
ОСь - Debian Etch, ProFTPd 1.3.0 служит только для внутреннего употребления узким кругом избранных лиц, раз в неделю или реже. Работаем через inetd. Доступ только одному пользователю "никто-и-звать-тя-никак", чтение/запись в рамках одной конкретной директории. Пользователи-люди не имеют права ползать по FTP-шнику вообще. Неча им тама делать!
Значитца так. Если мы указываем демону принимать народ только с определённой группы адресов (ну, положим, с 192.168.0.0/24, ага), то имеет ли смысл - в целях ещё большей безопасности - привязать его только к одному, внутреннему интерфейсу? И если да, то каким образом? Или вообще запускать его вручную только на время, когда он непосредственно нужен?
Паранойя? Да. Но это образовательное учреждение, здесь это суровая необходимость:D
|
|
|
|
|
RE: ProFTPd шоб тока для своих - 2009-02-25 15:57:33.153333
|
|
|
surgutor
Сообщений: 627
Оценки: 0
Присоединился: 2008-05-29 11:42:15.623333
|
чавой-то я не вкурил просьбы
тебе чауво надо-чтобы с группы айпишников можно было соединяться, али конкретно с одного?
|
|
|
|
|
RE: ProFTPd шоб тока для своих - 2009-02-25 16:12:28.780000
|
|
|
DN3aNHeP
Сообщений: 403
Оценки: 0
Присоединился: 2008-03-24 12:03:01.216666
|
На данный момент уже реализовано: можно соединяться только с определённой группы адресов
Физически: у машинки несколько интерфейсов, смотрят в разные стороны. Во внешку вот пока ничего не смотрит.
Вопрос: стоит ли сделать еще и так, чтоб ftp-сервер был доступен только с одного интерфейса? А ну как подменит кто-нить свой айпишник на такой, который входит в доверенную группу, да попробует зайти… С системой поделать, правда, скорее всего, всё равно ничего не сможет, но какой-нить "смайлик-(_)(_)" разместить вполне.
|
|
|
|
|
RE: ProFTPd шоб тока для своих - 2009-02-25 16:22:28.376666
|
|
|
surgutor
Сообщений: 627
Оценки: 0
Присоединился: 2008-05-29 11:42:15.623333
|
зря пиво хлебал за обедом-что-то не ввкуриваю
если ты имеешь ввиду что кто-то из внешней сети залезет в локаль, поменяет ип и залогинется на фтп-то это гемор? вряд ли кто-то станет таким заниматься. тут фаерволл тебе в руки, чтобы внешние фашисты не лезли
если же кто-то изнутри подменит айпи-то тут ты ничего не сможешь сделать средствами профтпд, тк он не предназначен для таких вот случаев. тут тебе необходимо продумать защиту на уровне фтп, кому какие права давать и прочее
вообщем, имхо, ты ищещь гемор на свою голову
|
|
|
|
|
RE: ProFTPd шоб тока для своих - 2009-02-25 18:17:13.310000
|
|
|
time2die
Сообщений: 222
Оценки: 0
Присоединился: 2007-03-16 12:14:09.526666
|
каждый дрочит как хочет:D я от нечего делать и не такое выделывал
|
|
|
|
|
RE: ProFTPd шоб тока для своих - 2009-02-26 10:24:13.286666
|
|
|
DN3aNHeP
Сообщений: 403
Оценки: 0
Присоединился: 2008-03-24 12:03:01.216666
|
Короче, подумал. Все возможные пользователи, кроме "ftp", уже вбиты в "ftpusers". Пользователь "ftp" имеет доступ "чтение/запись" только в своей директории, не имеет доступа к другим директориям вообще, не имеет шелла.
То есть, строго говоря, особого смысла нет. Но при желании можно тупо в файере закрыть порт на том интерфейсе, который смотрит в потенциально опасный сегмент сети, угу?
|
|
|
|
|
RE: ProFTPd шоб тока для своих - 2009-02-26 14:07:47.826666
|
|
|
surgutor
Сообщений: 627
Оценки: 0
Присоединился: 2008-05-29 11:42:15.623333
|
что ты имеешь ввиду под потенциально опасным сегментом сети?
конкретные ип адреса с которых возможна атака?
не ломай себе мозг. ты не такой важный ресурс содержишь, чтобы народ гемором страдал таким
просто настрой фаер прпавильно и все. используй политику-все запрещено, ктроме проверенных каналов
|
|
|
|
|
RE: ProFTPd шоб тока для своих - 2009-02-26 14:28:02.803333
|
|
|
DN3aNHeP
Сообщений: 403
Оценки: 0
Присоединился: 2008-03-24 12:03:01.216666
|
Ыыыыыыы, "потенциально опасный сегмент" - это класс:D
Ну в общем всё, чего хотел, выяснил. Всем спасибо. Дальше можно флудить.
|
|
|
|
|
|
