pureFTPd braucht zu viele Ports offen, wie lösen?

[ubik]

Hallo,

jetzt kommt der dritte Thread über FTP von mir, aber ich muss es einfach lösen. Der Ehrgeiz ist nämlich da!

Also, das Problem ist:

pureFTPd braucht für den passiven Modus mehrere Ports geöffnet.

Aber:

Mein SpeedportEntry kann nur 10 Ports öffnen, von denen ich den größten Teil bereits für andere Dinge gebraucht habe!

Kann man pureFTP irgendwie dazu bringen, dass nur ein Port gebraucht wird?

[heisenberg]

Das is' FTP. Das is' da halt so. FTP will kein Mensch mehr(Ja, ich übertreibe ein bisschen).

Weil...

• ... es so viele offene Ports braucht(FW-Regeln schwierig, NAT schwierig, also genau Dein Problem hier)
• ... es unverschlüsselt ist(Ok, den Punkt kann mit mit FTPS übergehen)
• ... es häufige Sicherheitslücken gibt(Wie war das noch vor kurzem mit proftpd und mod_copy?)

Mein Vorschlag: Nimm doch sftp. Damit hat der Dienst genau 1 Port und Du kannst SSH-Keys zur Authentifizierung verwenden,

[DeletedUserReAsG]

Hmm … auch, wenn ich ebenfalls der Meinung bin, dass für den Hausgebrauch ohne besondere Anforderungen SFTP heutzutage die bessere Wahl wäre – die immer wieder vorgebrachten Argumente, warum keiner mehr FTP wollen würde, werden nicht wahrer, indem man sie wiederholt:

• … man kann den Modus und die Ports ziemlich fein einstellen
• … man hat gar mehrere Möglichkeiten, die Verschlüsselung zu realisieren
• … man könnte mal die letzten bekannten Sicherheitslücken in SSH oder generell SSL dagegenstellen

Weiterhin hat man je nach verwendeter Software Möglichkeiten, die einem bei SSH und davon abgeleiteten Sachen nicht im Ansatz zur Verfügung stehen (detaillierte Rechteverwaltung, virtuelle User, Logging, Quotas, Ratios, …).

On Topic: rtm. Dort steht eigentlich alles drin – zumindest beim von mir bevorzugten FTPd ist das so.

[pferdefreund]

Ich denke mal -p nn:nn - siehe manpage pure-ftpd ist dein Freund

[heisenberg]

Weiterhin hat man je nach verwendeter Software Möglichkeiten, die einem bei SSH und davon abgeleiteten Sachen nicht im Ansatz zur Verfügung stehen (detaillierte Rechteverwaltung, virtuelle User, Logging, Quotas, Ratios, …)

Das ist in der Tat völlig korrekt. Hinsichtlich möglicher erweiterter Leistungsmerkmale ist ein dedizierter FTP-Dienst dem SFTP deutlich überlegen.

man könnte mal die letzten bekannten Sicherheitslücken in SSH oder generell SSL dagegenstellen

Ok. Ist wohl meine Wahrnehmung, dass ich da eher die FTP-Bugs wahrnehme. Was SSL betrifft, hat das ja Auswirkungen auf beide Varianten. Man kann beide Varianten bestimmt ähnlich sicher betreiben, auch wenn ich die Vorgabekonfiguration bei der SSH-basierten Variante für wesentlich sicherer halte.

[catdog2]

... es häufige Sicherheitslücken gibt(Wie war das noch vor kurzem mit proftpd und mod_copy?)

Auch, wenn ich mich den Vorbehalten gegenüber FTP uneingeschränkt anschließen kann, der pure-ftpd hat da einen recht guten track record [1] gegenüber dem für seine Sicherheitslücken vergleichsweise berühmten proftpd [2]

[1] https://security-tracker.debian.org/tra ... /pure-ftpd
[2] https://security-tracker.debian.org/tra ... oftpd-dfsg

[ubik]

SFTP ginge auch.

Allerdings will ich folgende Bedingungen:

• Der Benutzer darf in seinem Home-Verzeichnis nicht schreiben
• Der Benutzer darf sein Home-Verzeichnis mit sftp nicht verlassen

Ich will ja schließlich nicht, dass jeder meine Daten einfach so sieht

[heisenberg]

• Der Benutzer darf in seinem Home-Verzeichnis nicht schreiben
• Der Benutzer darf sein Home-Verzeichnis mit sftp nicht verlassen

Sollte afair beides gehen...