© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Bernd <bernd(at)mynet.at> wrote:
> On Tue, 2005-05-17 at 19:20 +0200, Oliver Fromme wrote:
> > Weil beim FTP-Protokoll (neben anderen Nachteilen) die Paß-
> > wörter im Klartext übertragen werden, d.h. man kann sie
> > trivial »sniffen«.
>
> Achso, deshalb. Wußte anfangs nicht ganz was du meinst. Dass jeder der
> zB ettercap bedienen kann diese Passwörter sniffen könnte ist mir klar,
> aber wenn sich der User zB aus seiner Schule einloggt, jemand sein
> Kennwort snifft und sich dann einloggt um die Seite zu defacen, dann ist
> mir das egal (im Vergleich zu einem "Hack" welcher den ganzen Server
> betrifft). Ist ja nur ein chrooted FTP Account ohne Shell. Da ist jeder
> sein eigener Pilot *G*
Du unterschätzt, welche Schäden Leute anrichten können,
insbesondere wenn diese Leute eine böswillige Motivation
haben. Haben sie erstmal einen FTP-Zugang zum System,
stehen sie schon mit einem Fuß in der Tür. Dann genügt
noch ein Bug im ftpd, oder im Kernel, oder eine kleine
Unachtsamkeit des Admins bei der Konfiguratione, und das
andere Bein ist auch noch drin. (Lokale Exploits sind
grundsätzlich einfacher zu finden und auszunutzen als
remote-Exploits.) Ein Angriff besteht immer aus vielen
kleinen Schritten, und man sollte den Angreifern möglichst
keinen einzigen dieser Schritte abnehmen (oder auch nur
leichter machen).
Übrigens, im Internet kurzieren immer wieder Listen mit
Zugängen und Paßwörtern aller Art, wo sich jeder »bei
Bedarf« bedienen kann. Möchtest Du in so einer Liste
stehen?
Angenommen, einer der Freunde, dessen Homepage Du hostest,
hat bestimmte Feinde, die ihm schaden wollen (warum auch
immer). Oder die sich einfach nur »einen Spaß« machen
wollen und/oder über hinreichend viel Spieltrieb verfügen,
vielleicht sind sie ja noch zu jung, um die Konsequenzen
ihres Handelns im vollen Umfang zu erkennen (Du erwähntest
Schüler). Kenntnisse braucht man leider keine, denn für
Linux und vor allem auch Windows gibt es inzwischen der-
maßen viele fertige Crackertools, daß man wirklich nur noch
auf einen Knopf klicken muß, und das Tool sucht im Netz
vollautomatisch nach TCP-Sequenzen, die Paßwortabfragen
(und Antworten) von FTP-Servern, HTTP-Authentication usw.
enthalten. Und dann poppt nur noch ein Fenster auf, wo
dann dem Script-kiddie Login und Paßwort präsentiert wird.
Und der nächste Knopf öffnet dann gleich eine IP-gespoofte
Session ... ;-)
Falls der kleine Bösewicht dann selbst nicht weiterkommt,
besucht er einfach einen einschlägigen IRC-Channel oder
sonstiges Forum, nennt dort Rechner, Login und Paßwort,
und fragt in die Runde: »Kann einer von euch damit was
anfangen?«
Ich könnte noch stundenlang weiterschreiben, aber ich will
Dich nicht vollends um Deinen Schlaf bringen.
> > > > > (BTW: PureFTP)
> > > >
> > > > Huch, warum ausgerechnet den?
> >
> > Ich hätte anders fragen sollen: Warum nicht der ftpd, der
> > bei FreeBSD eh schon dabei ist? Das Basis-System leistet
> > nämlich schon alles, was Du brauchst.
>
> Eben Throttling, Quoats, etc ist mit ihm recht einfach machbar.
Throttling und Quotas kannst Du bereits mit Bordmitteln
realisieren.
> Aber Gegenfrage: Was spricht gegen PureFTPd?
Für den ftpd des Basissystems spricht, daß er sehr gut ge-
pflegt wird und an FreeBSD angepaßt ist (z.B. nutzt er das
sendfile-Feature).
Wenn ich mir die pureftpd-Homepage angucke, erregt bereits
die Überschrift »Secure FTP made easy!« meine Skepsis. Wer
sowas schreibt, handelt in meinen Augen grob fahrlässig.
Überhaupt die ganze Seite macht den Eindruck, als wenn der
Autor von Marketing mehr Ahnung hat als vom Programmieren.
Aber das ist jetzt nur meine rein subjektive Wahrnehmung.
;-)
> Angenommen ich will Features die
> der FTPd des Basissystems nicht hat.
Welche wären das denn? Bisher hast Du keine genannt.
> > Es muß ja nicht SCP sein (das war nur ein Beispiel), aber
> > auch für SCP gibt's inzwischen bequeme Windows-Clients.
> > Übrigens kenne ich keinen, der das veraltete WS-FTP für
> > sowas benutzt; die meisten nehmen die FTP-Upload-Funktio-
> > nen, die in die gängigen HTML-Editoren bereits integriert
> > sind. Wobei WebDAV natürlich besser, sicherer, bequemer
> > und performanter ist ...
> >
> > Mich wundert, daß Dich noch keiner von Deinen Leuten nach
> > DAV-Unterstützung gefragt hat.
>
> Ein paar Leute kennen WinSCP schon, aber die Mehrheit verwendet wirklich
> noch WS_FTP, wobei ein Trend Richtung SmartFTP (oder so?) geht.
Vo Regen in die Traufe. Kann ich übrigens nicht bestäti-
gen; im Profibereich sehe ich eher (glücklicherweise) einen
Trend weg von FTP.
> Ne, nach DAV-Unterstützung hat noch keiner gefragt. Gott sei Dank ließt
> von denen keiner diese Mailinglist *FG*
Ich wäre an Deiner Stelle sehr froh, wenn die Leute WebDAV
(über HTTPS) statt FTP nehmen würden.
Gruß
Olli
--
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"If Java had true garbage collection, most programs
would delete themselves upon execution."
-- Robert Sewell
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 18 May 2005 - 13:08:15 CEST