prev
next
ru.linux
FromVictor Sudakov2:5005/49.0Date Write2018-05-14 12:28:03
ToAnatoly Sablin0:0/0.0Date Arrived2018-05-14 09:10:02
SubjПрокси сервер
Attr
Dear Anatoly,

14 May 18 07:11, you wrote to me:

AS>>> а следовательно для работы ftps нужно совершать дополнительные
AS>>> пассы руками (удобство? Нет, не слышали), чтобы завести всё.
VS>> Ты ошибаешься, в AUTH TLS шифруется только логин/пароль, а не
VS>> control connection целиком. На команды PORT, PASV и др. nat-ы и
VS>> firewall-ы могут глядеть сколько им угодно.

AS> https://tools.ietf.org/html/rfc2228 (FTP Security Extensions):

RFC4217 посвежее будет.

[dd]

AS> То есть отключение шифрования для команд может быть обоснованно только
AS> для безопасной среды. Если торчит ftps наружу, то данный вариант не
AS> подходит и нельзя использовать этот вариант.

VS>> Впрочем видел я где-то ftp-клиент и сервер с поддержкой Kerberos,
VS>> вот там действительно была жесть: шифровались все команды. Видимо
VS>> потому и не прижилось.
AS>>> У тебя, конечно же, используется ftps?
VS>> На моих серверах AUTH TLS всегда включен (правда сертификат
VS>> используется самоподписанный). Если кто-то из пользователей
VS>> использует клиент без поддержки AUTH TLS, то он ССЗБ. Сам я
VS>> разумеется хожу через AUTH TLS (мой любимый клиент - lftp).

AS> Тау получается, что у тебя командный режим шифруется (в соответствии с
AS> rfc2228).

Нет, он не полностью шифруется. Могу показать tcpdump, если не веришь. Да
собственно вот: http://termbin.com/krml

Но оказывается клиент может управлять этим, посылая или не посылая команду CCC.
Мой посылает.

AS> В таком случае, в чём преимущество перед тем же sftp?

Ну, например нагрузка на сервер меньше, не нужно толстые файлы криптовать,
достаточно сделать sendfile(). И настройки специально заточенных FTP серверов
гораздо гибче, чем у достаточно рудиментарного sftp-server.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322
* Origin: Ulthar (2:5005/49)