Guten Abend! Ich experimentiere gerade mit ProFTPD herum. Trotz der Doku bleiben zwei Fragen: 1.) Welche Vor- bzw. Nachteile hat es, ProFTPD standalone oder über inetd laufen zu lassen? (beim Start hatte ich eine Fehlermeldung, verbunden mit dem Hinweis, ProFTPD als eigenständigen Daemon laufen zu lassen, was auch tut) 2.) Ist es möglich, die Server-Versionsanzeige ganz zu unterdrücken, daß ein Benutzer nur sieht, Verbindung mit <IP> hergestellt, Login: ? 2.) Gibt es eine Möglichkeit, ProFTPD mit geänderten Einstellungen zu resetten, ohne kill **** oder Reboot? -- Grüße, Martin mailto:Martin.Getzke@gmx.net
Am Mittwoch, 17. Oktober 2001 18:17 schrieb Martin Getzke:
1.) Welche Vor- bzw. Nachteile hat es, ProFTPD standalone oder über inetd laufen zu lassen? (beim Start hatte ich eine Fehlermeldung, verbunden mit dem Hinweis, ProFTPD als eigenständigen Daemon laufen zu lassen, was auch tut)
inetd ist ein tcp-wrapper, d.h. Du kannst schon vor dem Start des ftpd überprüfen, ob z.B. der Client berechtigt ist, eine Verbindung zu Deinem Server aufzubauen. Wenn der Server nur von einem Client erreichbar sein muss, kann man so alle potenziellen Angreifer von anderen Adressen ausschließen - das System wird sicherer. Zweitens könnte es ressourcenschonender sein, wenn der ftpd nicht ständig im Hintergrund herumlungert, aber da kann ich mich irren. Standalone hast Du z.B. die Möglichkeit, die max. Anzahl der User zu begrenzen (geht iirc über inetd nicht). Außerdem antwortet er bei einer Anfrage an den ftp-Port schneller, da der Dienst ja schon gestartet ist.
2.) Ist es möglich, die Server-Versionsanzeige ganz zu unterdrücken, daß ein Benutzer nur sieht, Verbindung mit <IP> hergestellt, Login:
probier doch mal diese Einstellung in der /etc/proftpd.conf: ServerIdent on "FTP Server ready"
2.) Gibt es eine Möglichkeit, ProFTPD mit geänderten Einstellungen zu resetten, ohne kill **** oder Reboot?
kill -s SIGHUP `pidof /usr/sbin/proftpd` sollte tun. Martin -- when in danger or in doubt, run in circles, scream and shout! pgp-key: via wwwkeys.de.pgp.net, key id is 0x21eec9b0
Hallo Martin, Mittwoch, 17. Oktober 2001, 7:03:27 PM geschrieben:
1.) Welche Vor- bzw. Nachteile hat es, ProFTPD standalone oder über inetd laufen zu lassen?
MB> inetd ist ein tcp-wrapper, d.h. Du kannst schon vor dem Start des ftpd MB> überprüfen, ob z.B. der Client berechtigt ist, eine Verbindung zu MB> Deinem Server aufzubauen. Wenn der Server nur von einem Client MB> erreichbar sein muss, kann man so alle potenziellen Angreifer von MB> anderen Adressen ausschließen - das System wird sicherer. MB> Standalone hast Du z.B. die Möglichkeit, die max. Anzahl der User zu MB> begrenzen (geht iirc über inetd nicht). Außerdem antwortet er bei einer MB> Anfrage an den ftp-Port schneller, da der Dienst ja schon gestartet ist. In dem Fall dürfte bei mir standalone die Wahl sein, Sicherheit vor Ressourcen, es sollen mehrere User sein, außerdem wird er nicht auf dem Standard-Port laufen.
2.) Ist es möglich, die Server-Versionsanzeige ganz zu unterdrücken, daß ein Benutzer nur sieht, Verbindung mit <IP> hergestellt, Login:
MB> probier doch mal diese Einstellung in der /etc/proftpd.conf: MB> ServerIdent on "FTP Server ready" Das ist es.
2.) Gibt es eine Möglichkeit, ProFTPD mit geänderten Einstellungen zu resetten, ohne kill **** oder Reboot?
MB> kill -s SIGHUP `pidof /usr/sbin/proftpd` sollte tun. Tut. :) Habe kill bisher immer nur auf zwei Arten benutzt, entweder blank oder brachial mit -9. ----------------------- Hallo Christian: pure-ftp[1] schau ich mir nach ProFTP an, wu_ftpd hab ich auf einer anderen Distri gesehen, eins nach dem andern. Besten Dank für Eure Hinweise, habt mir sehr weitergeholfen. -- Grüße Martin mailto:Martin.Getzke@gmx.net
Hallo Martin Borchert, Am Mittwoch, 17. Oktober 2001 um 19:03 schriebst Du:
Standalone hast Du z.B. die Möglichkeit, die max. Anzahl der User zu begrenzen (geht iirc über inetd nicht). Außerdem antwortet er bei einer Anfrage an den ftp-Port schneller, da der Dienst ja schon gestartet ist.
auch mit inetd kann man die maximale Anzahl der User (und noch diverse andere maximalwerte) begrenzen...
2.) Gibt es eine Möglichkeit, ProFTPD mit geänderten Einstellungen zu resetten, ohne kill **** oder Reboot? kill -s SIGHUP `pidof /usr/sbin/proftpd` sollte tun.
und wenn Du ihn über inetd laufen läßt, dann wird bei jeder neuen Verbindung die aktuelle config geladen... Ich bin außerdem bei einer deutschen Direktiven Liste für protftpd bei. Ist noch lange nicht komplett, aber wir nähern uns *g* http://stonki.myftp.org/proftpd-doc/proftpd-doc.php Mit freundlichen Grüssen Stefan Onken -- The More I See, The More I Know. The More I Know, The Less I Understand
Am Donnerstag, 18. Oktober 2001 11:37 schrieb Stefan Onken:
Am Mittwoch, 17. Oktober 2001 um 19:03 schriebst Du:
Wer? Ich? Ach ja, ich war das.
Standalone hast Du z.B. die Möglichkeit, die max. Anzahl der User zu begrenzen (geht iirc über inetd nicht). Außerdem antwortet er bei einer Anfrage an den ftp-Port schneller, da der Dienst ja schon gestartet ist. auch mit inetd kann man die maximale Anzahl der User (und noch diverse andere maximalwerte) begrenzen...
Bist Du Dir sicher, dass Du mit dem inetd begrenzen kannst, wieviele Prozesse vom ftpd gestartet werden? man inetd gibt dazu nichts her und die Doku von proftp ist da recht eindeutig: The MaxInstances directive configures the maximum number of child processes that may be spawned by a parent proftpd process in standalone mode. The directive has no effect when used on a server running in inetd mode. Martin -- when in danger or in doubt, run in circles, scream and shout! pgp-key: via wwwkeys.de.pgp.net, key id is 0x21eec9b0
Hallo Martin Borchert, Am Donnerstag, 18. Oktober 2001 um 17:37 schriebst Du:
auch mit inetd kann man die maximale Anzahl der User (und noch diverse andere maximalwerte) begrenzen... Bist Du Dir sicher, dass Du mit dem inetd begrenzen kannst, wieviele Prozesse vom ftpd gestartet werden?
das hatte ich auch nicht geschrieben :-) Ich meine User und das klappt gut..... Mit freundlichen Grüssen Stefan Onken -- The More I See, The More I Know. The More I Know, The Less I Understand
Am Donnerstag, 18. Oktober 2001 17:42 schrieb Stefan Onken:
auch mit inetd kann man die maximale Anzahl der User (und noch diverse andere maximalwerte) begrenzen... Bist Du Dir sicher, dass Du mit dem inetd begrenzen kannst, wieviele Prozesse vom ftpd gestartet werden? das hatte ich auch nicht geschrieben :-) Ich meine User und das klappt gut.....
Achso, nein ich redete von Usern _gleichzeitig_. Und da ist die Doku von proftp recht eindeutig, dass das nicht funktioniert, wenn der inetd benutzt wird. Ich hab das allerdings noch nie ausprobiert. Kann natürlich auch sein, dass die Dokumentation flsach ist. Der Vollständigkeit halber: Ich meine aber auch, gelesen zu haben, dass man beispielsweise diesen Punkt umgehen kann, wenn man statt inetd xinetd benutzt. Martin -- when in danger or in doubt, run in circles, scream and shout! pgp-key: via wwwkeys.de.pgp.net, key id is 0x21eec9b0
Hallo Martin, Hallo *,
From the keyboard of Martin,
Am Mittwoch, 17. Oktober 2001 18:17 schrieb Martin Getzke:
1.) Welche Vor- bzw. Nachteile hat es, ProFTPD standalone oder über inetd laufen zu lassen? (beim Start hatte ich eine Fehlermeldung, verbunden mit dem Hinweis, ProFTPD als eigenständigen Daemon laufen zu lassen, was auch tut)
inetd ist ein tcp-wrapper,
NACK. inetd ist ein Superserver. tcpd ist der tcp-wrapper. Im Falle von Proftpd wird aber glaube ich nicht tcpd vorgeschaltet im Aufruf in der inetd.conf, sondern proftpd ist gegen die libwrap gelinkt. (man ldd) bye Waldemar
participants (4)
-
Martin Borchert
-
Martin Getzke
-
Stefan Onken
-
Waldemar Brodkorb