tftpd на slackware 12.1
Andre Sidko
Что-то я не понимаю. Подскажите.
Есть слакварь 12.1 нужно на ней поднять tftpd сервер. Cделал вот так:
andrew@ant:~$ sudo cat /etc/inetd.conf | grep tftp
tftp dgram udp wait nobody /usr/sbin/in.tftpd -s /tftpboot -r blksize
Права вот такие:
andrew@ant:~$ ls -l / | grep tftpboot
drwxrwxrwx 2 nobody nogroup 48 2008-08-15 16:57 tftpboot/
andrew@ant:~$
inetd перезапущен.
С роутера пытаюсь записать файлик на tftp сервер.
И получаю ошибку:
gate1#cop ru tftp
Address or name of remote host []? 192.168.215.5
Destination filename [gate1-confg]?
TFTP: error code 2 received - 20334
%Error opening tftp://192.168.215.5/gate1-confg (Permission denied)
gate1#
А на сервере только это:
root@ant:/etc# tail -n5 /var/log//syslog
Sep 16 20:33:09 ant in.tftpd[30472]: cannot set groups for user nobody
Sep 16 20:33:13 ant in.tftpd[30473]: cannot set groups for user nobody
Sep 16 20:33:18 ant in.tftpd[30474]: cannot set groups for user nobody
Sep 16 20:33:24 ant in.tftpd[30475]: cannot set groups for user nobody
Подскажите. В чем дело. Hа 11-й по такому же принцыпе подимал tftp не раз.
Registered Linux User #347376
UIN 21089807
truly your, Andrew.
Alex Korchmar
AS> Что-то я не понимаю. Подскажите.
ты не понимаешь что tftp сервер имеет принципиальное свойство - никогда не
лазить в файловую систему. Сделанное по соображениям полной небезопасности
этого протокола. В современных версиях демонов это поведение частично или
полностью отключаемо, но исходное, естественно, сохранилось по умолчанию.
AS> Права вот такие:
ну а головой подумать что это означает - было никак?
Пользователь nobody _специально_ заведен в древних юниксах для того,
чтобы ему HИЧЕГО не принадлежало. (что дает некоторую гарантию что
если процесс запущен от nobody, он ТОЧHО не может писать в файловую
систему вне public-writable мест)
AS> С роутера пытаюсь записать файлик на tftp сервер.
tftpd не создает файликов, правда некоторых демонов об этом можно
отдельно попросить (предполагается что в современном мире их можно
прикрыть файрволом и mandatory acl, от чего они станут более безопасны)
Правильные права:
chown root:root /tftpboot ; chmod 755 /tftpboot
touch /tftpboot/myfile ; chmod 666 /tftpboot/myfile
и вот теперь - можешь туда что-нибудь записать - именно в myfile, а не куда
попало.
AS> Sep 16 20:33:09 ant in.tftpd[30472]: cannot set groups for user nobody
видимо что-то не так и с группой от которой запускается демон. Проверяй
свой /etc/group
AS> Подскажите. В чем дело. Hа 11-й по такому же принцыпе подимал tftp не раз.
значит он был там уникально уебищным.
> Alex
P.S. как именно прострелить себе ногу - специально не рассказываю. Hе надо оно
тебе при таком понимании вещей.
Ilya Anfimov
> Andre Sidko <Andre...@f77.n4641.z2.fidonet.org> wrote:
[skipped]
> AS> С роутера пытаюсь записать файлик на tftp сервер.
> tftpd не создает файликов, правда некоторых демонов об этом можно
> отдельно попросить (предполагается что в современном мире их можно
> прикрыть файрволом и mandatory acl, от чего они станут более безопасны)
Что-то память по общению с atftpd и ещё кем-то мне подсказывает
ровно наоборот: что он не можэт писать в ужэ существующие файлы/
Alex Korchmar
IA> Что-то память по общению с atftpd и ещё кем-то мне подсказывает
IA> ровно наоборот: что он не можэт писать в ужэ существующие файлы/
таким уебищам место в помойке. Видимо даже до Патрика это дошло к двенадцатой
версии.
Hормальный tftp сервер наверное со времен NET/2 делает ровно то о чем я
сказал. Пишет в public writable файлы и _только_ туда. Каталог при этом public
writable быть не должен ну вот совсем. Зачем и почему именно так - имеющие
голову да вкурят.
> Alex