PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : (pro)ftpd ueber inetd oder standalone ?



casapr
03.07.04, 03:10
Hallo.

ich moechte einen ftp server mit der software proftpd einrichten und habe nun die wahl, den server entweder als standalone laufen zu lassen oder ihn bei jeder verbindungserstellung vom inetd starten zu lassen. der ftp server wird nur wenige male die woche genutzt werden. wichtig ist mir die sicherheit. kann mir da jemand rat weiter helfen? kennt zufaellig jemand proftpd, und gibt es bessere alternativen?

Danke, Gruss
casapr

corresponder
03.07.04, 10:54
hi,

soweit ich weiss ist inetd eine potentielle sicherheitslücke (so pauschal veilleicht nicht - hab ich so im kopf)
lass ihn doch laufen, den armen proftpd, der braucht ja kaum leistung, solang er eh nix macht...
bei mir laufen die überall standalone...


gruss

c.

`kk
03.07.04, 10:55
Nimm xinetd.

Es dürfte ein kleineres Sicherheitsrisiko darstellen, als wenn der Server immer läuft.

corresponder
03.07.04, 11:05
hi,

xinetd ist auch nicht das gelbe vom ei...
da ftp eh in einer chroot laufen sollte, find ich es nicht soooo problematisch!

(vsftp is fast das gleiche in grün)

gruss

c.

`kk
03.07.04, 11:51
Ja, optimal ist natürlich scp only.

casapr
03.07.04, 16:54
danke fuer die schnellen antworten!
am meisten stoert mich, dassd er ftpd manchmal als root befehle ausfuehrt (ich kann mich aber auch irren) - um ftp auf dem port 21 laufen zu lassen, braucht er ja die root privilegien. wenn ich den ftpd auf einen port groesser als 1024 lauschen lasse, braucht er dann noch root privilegien?

den server als standalone zu starten wuerde ermoeglichen ihn auf einem port groesser als 1024 laufen zu lassen, wenn er aber trotzdem als root laufen muesste, koennte ich es mir sparen.
ist es moeglich, dass inetd auf einem anderen port wartet und dann den ftpd startet?

Gruss casapr

D_O_Z_E_R
03.07.04, 17:45
hallo,

warum stellt inetd eine sicherheitslücke dar...kann mich mal jemand aufklären.

D_O_Z_E_R
04.07.04, 13:20
hallo,

also hier werden behauptungen aufgestellt...inetd sei eine sicherheitslücke...xinetd sei net das gelbe vom ei....kann mir denn nun mal jemand auch erklären warum.......oder sind das "selbstausgedachte" behauptungen....mich interessiert es..

casapr
04.07.04, 15:37
es geht hier weniger darum, ob inetd nun eine sicherheitsluecke ist oder nicht, als ob ich den ftpd standalone lassen soll oder ueber inetd.

DJDHG
04.07.04, 17:18
Moin Moin

etwas dazu von www.proftpd.de


Noch etwas zu Standalone und Inetd (Xinetd). Der Vorteil von Inetd (oder Xinetd) ist eben der, dass diese als Wrapper arbeiten. Das hat a) den Vorteil, dass der Dienst keine Resourcen benoetigt wo kein User eingeloggt ist (in den Zeiten heutiger Rechner eher egal) und das b) Sicherheitsregeln abgefragt und bestimmt werden koennen, _bevor_ der eigentliche Dienst (in diesem Fall ProFTPD) gestartet werden. So kann z.B. der Zugriff von gewissen IPs beschraenkt werden oder aber auch die max. Systemresourcen fuer einen Dienst bestimmt werden.

ProFTPD bringt diese Faehigkeiten jedoch auch alle mit. Daher sehe ich eigentlich fuer einen Dienst wie ProFTPD keinen Sinn, den hinter einem TCP Wrapper laufen zu lassen.

Ein Vorteil hat jedoch der Inetd: Fuer jede Connection wird ProFTPD neu gestartet, sprich die Config neu eingelesen. Wenn man dort z.B. Eintraege mit dynamischen DNS hat, dann werden die neu aufgeloest. Im Standalone Modus wird das ja nur 1x beim starten des Dienstes gemacht, also nach dem 24h Kick der Telekom sind die Eintraege veraltet.

mfg DJ DHG