On 6/20/2003 1:55 PM, Oliver Fromme wrote:
> Jens Rehsack <rehsack(at)liwing.de> wrote:
> > On 6/19/2003 1:37 PM, Oliver Fromme wrote:
> > > Vorausgesetzt natürlich, daß Du nur einen anonymous-ftpd
> > > laufen hast. Wenn Du echte Benutzer-Zugriffe per FTP er-
> > > laubst, hast Du ohnehin ein Problem. Wie gesagt, FTP ist
> > > so ziemlich das worst-case-Protokoll.
> >
> > Bei der letzten Variante bietet sich u.U. an, den ftpd in einen Jail zu
> > packen, dort per nfs die relevanten Verzeichnisse reinzumounten
>
> Kann man machen -- das hilft, wenn man dem ftpd selbst
> nicht traut, ändert aber nichts an der Unsicherheit des
> FTP-Protokolls per-se. Zum Beispiel, daß sich die Be-
> nutzer mit Klartext-Paßwörtern authentisieren.
Ich weiss. Da man kann allerdings bei ftp nur bis zu einem gewissen Grad
was machen. Gegebenenfalls kann man ja smb+ssl verwenden (ist transparent).
> > und die Pakete vom Host in den Jail zu forwarden (o.ä.).
>
> Hast Du das mal mit FTP gemacht (active + passive)? Das
> ist definitiv kein Spaß, wenn man's richtig machen will.
Einmal, mit ipf/ipnat. War sehr hässlich. Vielleicht hilft da auch
ftp/ftpproxy?
Heutzutage hätte ich dem Host eine private Adresse verpasst und dem Jail
die externe. Nur wenn die Maschine einmal steht, verursacht das aber je
nach Admin weniger Stress.
Jens
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 20 Jun 2003 - 15:12:34 CEST