Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Bezpieczny serwer FTP

3 views
Skip to first unread message

Rafal

unread,
Dec 6, 2001, 8:20:42 AM12/6/01
to

Witam!

Po kolejnej dziurze w wu-ftpd rozgladam sie za bezpiecznym serwerem
FTP. Czy mozecie mi cos polecic?

Rafal.
TechS...@interia.pl


Pawel Rutkowski

unread,
Dec 6, 2001, 8:43:50 AM12/6/01
to

Rafal wrote:
>
> Witam!
>
> Po kolejnej dziurze w wu-ftpd rozgladam sie za bezpiecznym serwerem
> FTP. Czy mozecie mi cos polecic?

proftpd ?

--
Pawel Rutkowski Centauri RSC
+48 22 853 0 444 http://www.rsc.pl


Robert Redziak

unread,
Dec 6, 2001, 9:41:25 AM12/6/01
to

On Thu, 06 Dec 2001 14:43:50 +0100, Pawel Rutkowski
<pa...@rsc.pl> wrote:

>> Po kolejnej dziurze w wu-ftpd rozgladam sie za bezpiecznym serwerem
>> FTP. Czy mozecie mi cos polecic?
> proftpd ?

Obejrzyj sobie muddleftpd.

Pozdrawiam.
--
_________________________________________________________________
robert rędziak :: 1.0654205607477 j.w.g. :: rekin.plukwa.net

Na newsy i http://gaciale.plukwa.net piszę całkowicie prywatnie


Wojciech Purczynski

unread,
Dec 6, 2001, 11:17:00 AM12/6/01
to


> proftpd ?

http://cliph.linux.pl/patches/proftpd-1.2.4-wp.patch

_________________________________________________________________
Wojciech Purczyński | Security Officer | http://cliph.linux.pl/
-----------------------------------------------------------------
Murphy's law says that there is always one more bug...
...but he forgot to mention whether it is exploitable.


Tomasz Piłat

unread,
Dec 6, 2001, 11:51:18 AM12/6/01
to

Rafal <TechS...@interia.pl> wrote:
> Po kolejnej dziurze w wu-ftpd rozgladam sie za bezpiecznym serwerem FTP.
Dopiero teraz? ;-)

> Czy mozecie mi cos polecic?

pureftpd.

Poncki


Pawel Krawczyk

unread,
Dec 6, 2001, 12:00:49 PM12/6/01
to

Rafal <TechS...@interia.pl> wrote:

> Po kolejnej dziurze w wu-ftpd rozgladam sie za bezpiecznym serwerem
> FTP. Czy mozecie mi cos polecic?

vsftpd (szukaj na freshmeat.net)

Wygląda na bezpieczny, rozsądnie zaprojektowany, funkcjonalność
też niczego sobie.

--
Pawel Krawczyk
Krakow, POLAND
http://ipsec.pl/


Tomasz Piłat

unread,
Dec 6, 2001, 2:18:55 PM12/6/01
to

Pawel Krawczyk <fake_k...@ceti.pl> wrote:
> vsftpd (szukaj na freshmeat.net)
> Wygląda na bezpieczny,

O, a możesz to rozwinąć? Jakieś specjalne 'security-features' czy po prostu
jest dobry 'by design'?

Poncki


Przemyslaw Frasunek

unread,
Dec 7, 2001, 4:29:22 AM12/7/01
to

Pawel Rutkowski wrote:

>> Po kolejnej dziurze w wu-ftpd rozgladam sie za bezpiecznym serwerem
>> FTP. Czy mozecie mi cos polecic?
> proftpd ?

z historią bezpieczeństwa proftpd też różnie bywało, ale ostatnio jest
całkiem dobrze. faktem jest, że proftpd jest bardzo złożony, tak więc
rośnie prawdopodobieństwo, że gdzieś jakiś błąd jest.

ze swojej strony mogę polecić oprócz pure-ftpd, także publicfile (tylko
anonymous, http://cr.yp.to) oraz ftpd z freebsd. oba nie miały do tej pory
żadnych błędów.

--
* Fido: 2:480/124 ** WWW: http://www.frasunek.com/ ** NIC-HDL: PMF9-RIPE *
* Inet: przem...@frasunek.com ** PGP: D48684904685DF43EA93AFA13BE170BF *


Pawel Krawczyk

unread,
Dec 7, 2001, 5:57:15 AM12/7/01
to

Tomasz Piłat <poncki-NO...@irc.pl> wrote:

>> vsftpd (szukaj na freshmeat.net)
>> Wygląda na bezpieczny,
> O, a możesz to rozwinąć? Jakieś specjalne 'security-features' czy po prostu
> jest dobry 'by design'?

Dobry design, bezpieczne ustawienia domyslne i gosc chwali sie ze kod byl
kilkukrotnie audytowany przez rozne osoby co jest zreszta udokumentowane.
Warto zobaczyc w kazdym razie.

http://freshmeat.net/projects/vsftpd/
ftp://ferret.lmh.ox.ac.uk/pub/linux/vsftpd-1.0.1.tar.gz

Dariusz Wi¶niewski"

unread,
Dec 7, 2001, 7:43:47 AM12/7/01
to

Nie ma bezpiecznego FTP.
Są lepsze lub gorsze - ale nie bezpieczne.
Darek

Użytkownik "Rafal" <TechS...@interia.pl> napisał w wiadomości
news:9unqva$7bn$1...@news.tpi.pl...

Konrad Rzadzinski

unread,
Dec 7, 2001, 8:27:54 AM12/7/01
to

On Fri, 7 Dec 2001 13:43:47 +0100, Dariusz Wiśniewski <da...@um.brodnica.pl>
wrote:
: Nie ma bezpiecznego FTP.


: Są lepsze lub gorsze - ale nie bezpieczne.

Możesz rozwinąć?

PS. Odpowiadaj pod cytatem i tnij.

--
Konrad
'W życiu nie liczą się tylko ciało i muskuły - ważny jest jeszcze fryz.' -
Johny Bravo


Marcin Krasowski

unread,
Dec 7, 2001, 9:34:15 AM12/7/01
to


Oczywiscie upieramy sie, ze overflow na glob'ie to nie byl bug ftp'a
tylko innej czesci systemu, a ze
exploit wykorzystywal ftp to nie ma znaczenia.

G

PS. na p.c.s to jaki ten *BSD super a na p.c.o.f to jakies szopki,
niektorzy sie tam zochowuja jak dziewice :)


Dariusz Wi¶niewski"

unread,
Dec 10, 2001, 1:59:24 AM12/10/01
to

Chodzi o to, ze raczej sie odchodzi od FTP-a.
Moze zastopisz to jakim ssh - jest o wiele bezpieczniejszy - ma lepsze
uwiezytelnienia uzytkownikow.
Darek

Użytkownik "Konrad Rzadzinski" <k.rzad...@amba.matrix.pl> napisał w
wiadomości news:9uqg4q$1k84$2...@pingwin.acn.pl...

smarkacz

unread,
Dec 13, 2001, 6:00:47 PM12/13/01
to

Marcin Krasowski <go...@weblab.pl> wrote:
[ftpd we FreeBSD]


> Oczywiscie upieramy sie, ze overflow na glob'ie to nie byl bug ftp'a
> tylko innej czesci systemu, a ze exploit wykorzystywal ftp to nie ma
> znaczenia.

Oczywiście. I mamy rację. Błąd był w libc, nie w ftpd, koniec. Exploit
korzystał z ftpd bo akurat ftpd się do tego nadał, podobnie jak (hihi)
exploit na RESOLV_HOST_CONF (hihi, powtórka z '96 roku) korzystał z
ssh, pinga albo jeszcze czegoś choć błąd był w glibc.
--
*** smarkacz (smar...@anathema.eu.org) -- Jacek P. Szymański


0 new messages