ProFTPDについて語るスレ 2
ありがとうございます。 ttp://d.hatena.ne.jp/y_ogata/searchdiary?word=*%5B%A5%BD%A5%D5%A5%C8%A5%A6%A5%A7%A5%A2%5D ここらへんの症状と同じでして・・・これかなと疑ってみました。 パッシブ接続でもなぜかNATセッションを消費してしまっているようです。 外から内へのNAT系の機能だけが落ちているようで、LAN内からは相変わらずFTP接続可能です。 ルータそのものへもアクセスできます。 そのときにはFTPだけでなくHTTP等の接続も外から内へできません。 しかしやはりLAN内からはできます。 いまのところ大量にセッションを使うのがFTPだけなので、そこをどうにかしてしのごうと思い立ちました。 RT58iの不正アクセス検地や動的フィルタを無効にしても落ちてしまいます。 今まで1.3.0だったので、mod_execのために1.3.1入れたら、なぜか1秒間に3ファイルずつぐらいしか転送しなくなったので、 なにもしなくても問題が解決しました。折角、mod_exec入れてコンパイルしたのに。 というわけでありがとうございました。 1.3.1から1.3.0aに戻したら、クライアントからのログインや転送がむちゃくちゃ速くなったわ なんだこれ 転送速度やタイミングを見てると、一回一回の処理にウェイトが入っているような印象を受けました。 >>441 うん、確かにそんな感じだね。 これってわざとなのかね。借りてるレン鯖のも1.3.0のとこは速いけど 1.3.1のとこは、自宅鯖と同じように遅くなってる感じ。 >>441 mod_delayの関係とかじゃないかな? いまいちtiming attackのことよくわかってないから全然違うかもしれないけど 1.3.1で、ログインや転送が1.3.0に比べてかなり遅くなるってのは、 実はこのスレでもかなり以前、>>350 前後いでちらっと出てきてる。 それと同じころに、Linux版のCentOSスレでもちょっとその話題が出たときがあって、 自分ではconfの設定だけではどうにも出来なかったんで、1.3.0に戻した。 だって、小さなファイルを数百個とか転送する時、1.3.1では1.3.0時より、3倍〜5倍くらい時間がかかるんだもん。 その時ここも覗きに来たけど、それらしい不満が出てなかったし、>>350 周りで反応もなかったんで 結局原因究明はあきらめた。(ってか1.3.1はそうゆうもんだと思うことにした。) home配下しか見れないように設定しているのですが シンボリックリンクで/workなどを参照させようとしても見せることが出来ません。 /workも1〜4と何玉かあるのでlnでさくっと出来たらいいなと思っています。 ただし上層はlnで貼ったリンクのみを参照する様にさせたいです。 ご教授お願い致します。 >>447 confの書き方くらい一通り目を通せよ ShowSymlink >>448 Var忘れていました。 1.3.1です。 1.5.1以降はデフォルトで記述無しでonになっています。 ためしに/homeのuser配下に.workと隠しディレクトリにし リンクで参照させたのですが「ファイルが見つかりません」と参照できませんでした。 *隠しディレクトリにしなくても同様でした。 Varってvariationか? DefaultRootによるアクセス範囲制限はchrootで実現されてるわけだが その意味が判らんと言うならいっぺんしんでこい >>450 userのhome上位はアクセスさせないですよね? なのであえてhome配下に .dir ほってみえなくして そのかなのdirをlnで参照させようとしてるわけだが まちがってたらいっぺん死んでくる 人がアドバイスをしてるのに、それを聞かない奴には無理。 >>451 おいおい /workの中身をシンボリックリンクで参照させたいとなっていたのが 451ではhome内におけるシンボリックリンクの話になってんのか? 意図と実行したことは漏らさず正確に書け 意味がわからねえなら実行したコマンドと確認した手順を書け わかってないヤツほど勝手に省略するから回答側は困るんだよ >>451 まずconf晒しなよ。それと該当のシンボリックリンクを ls -l した結果。 今、こっちでもproftpd1.3.0でFTP建ててみたんだが、chroot下のサブディレクトリから 張ったシンボリックリンクはFTPクライアントから問題なく参照できてるよ。 proftpd-1.3.2rc1を自分でrpmbuildしようと思い proftpd.specに%{?_with_nls:--enable-nls} \を追加し rpmbuild -ba proftpd.spec --with mod_tls --with nls と実行しているのですが rpmbuild中に下記のエラーで止まってしまいます。 configure: error: duplicate build request for mod_lang -- aborting エラー: /var/tmp/rpm-tmp.93689 の不正な終了ステータス (%prep) RPM ビルドエラー: /var/tmp/rpm-tmp.93689 の不正な終了ステータス (%prep) ググっては見たもののこれといった対策が見つからなかったので アドバイスお願いします。 環境 CentOS5.3 PAE Kernel (Linux板にProftpdスレが無かったので・・・こちらにpostさせて頂きました) 447じゃないです。 447にレスした際に、何故か名前を447てしまい 挙句・・・・sage忘れました。 失礼しました。 >>457 わかりました。 くだらねえ質問はここに書き込め! Part166 にいきます。 mod_exec-0.9.5 (released 2008-09-05, for 1.3.2rc1) 1.3.2rc3 released --------- + Fixed character set/encoding support on FreeBSD. + Fixed mod_sql authentication regression (Bug#2922) + Start of a regression testsuite. Currently have basic unit tests for most FTP commands, and a few of the configuration directives. See the Testing howto for more information. + Fixed variable substitution in user/group names in SQL queries. + Lowered the default TimeoutLinger value from 180 secs to 30 secs, for better interoperability. Many FTP clients have a timeout of 60 secs, waiting for a response from the server, before the client closes the control connection. ProFTPD's lingering closes should thus not be longer than 60 secs, to avoid hitting those clients' timeout limit. + Fixed several issues related to aborting of downloads. + New documentation: doc/howto/Testing.html doc/howto/Translations.html 447とほぼ同じことがやりたいんですが、 解答が出てないみたいですね。 ln -s /mnt/sda1/data /home/user1/data のようにシンボリックリンクを張っている場合、 ProftpdでDefaultRoot ~ の設定をすると当然見ることができません。 なので、/home/user1/.mnt/sda1 にマウントし、 ln -s /home/user1/.mnt/sda1/data /home/user1/data のように、chrootされた時にパスが通るようにすると、 FTPでも見ることができます。 しかし、FTPで該当フォルダに入ると、 隠しディレクトリの中に飛んでしまいます。 /data に入ると /.mnt/sda1/data に飛ばされる。 /に戻るためには何度も上位ディレクトリに移動せねばなりません。 Sambaの様に、シンボリックリンクも実フォルダとして扱いたいのですが、 Proftpdでは同じことはできないのでしょうか? 1.3.2rc4 released 23/Jan/2009 マジ教えてください。 rootじゃない一般ユーザAがFTPログインし、FTP経由で自分がOwnerじゃない、 たとえばBさんがownerであるファイルのパーミッションの変更をしたいわけですよ。 (UserAliasとかで、Bさんでログインしたように見せかけるのは事情あってNG) Shellからだとchmodコマンドにsbitをつければ、実現できる (hogeがのownerがBさんだとすると、Aさんが「chmod 755 hoge」で、hogeのパーミッションを変更できる。 なぜならsbitのお陰でrootが実行した感じになるから) んだが、FTP経由だとさっぱり。 proftpdがどうやってchmodを行っているのかが掴めればそいつにsbitをつければ実現できたりするのかなー とかいろいろ調べたが分からんのですorz proftpd自体をrootで動かしたり、/usr/bin/chmod や /bin/chmod や /sbin/proftpd にsbitを立てても 550 SITE CHMOD Not Ower とかではじかれる...助けてくだせぇ。 >>470 ディレクトリにsetgidしたら解決するんじゃ・・・ サンクス。えと、まず Group一緒にしてもダメ、Ownerが一緒じゃないとchmodできんぽい。 既にUP済の他ユーザがOwnerのものに対してFTP経由でChmodしたいと考えてください OwnerとかChmodとかFTPとか w まずは sage の正しい使い方を覚えた方が PureFTPdをお勧めしている人がいるので、ここで質問します。 PureFTPdをCentOS5.2にソースからインストールしているのですが、 lastコマンドででてくる接続記録にのせるにはどういう設定(or configure)をすれば良いでしょうか? スレタイ読めないの? ここはProFTPDのスレであってPure-FTPdなんて関係ない 訊く前にググるなりソースをgrepしてみろ ヒントはwtmpやutmpだ mod_vroot-0.8.4 2009-03-05 1.3.2 + Security fixes Fixed encoding-dependent SQL injection vulnerability in mod_sql_mysql and mod_sql_postgres modules. Apache22を使ってWEBサーバーを構築しておりますが、 小生の知識不足でなかなかうまく進みません。 諸先輩方の知識をお借りしたいと思い書き込みしております。 Apacheの動作は滞りなく進み、次にProftpdによるファイルのアップロードが 出来るように設定をしていますが、 ログインなどは正常に行えますが、apacheのscriptaliasで設定している cgi-binフォルダを参照する事ができません。 この場合、apache側のscriptaliasでの設定が Proftpdに反映されるのか、proftpdにて別でAliasの設定などが必要なのか 色々と探してみましたがうまく行きません。 ProftpdでのDefaultrootには以下の様に設定しています。 Defaultroot ~ Defaultroot /usr/local/www/cgi-bin/ 知識不足で申し訳ないですが何か手がかりを教えて下さい。 >Defaultroot ~ >Defaultroot /usr/local/www/cgi-bin/ 意味が分かるまでググれ。 PASVで接続してきたクライアントに対しても、NOOPコマンドを禁止することってできましたっけ? ncurses周りがインストされているのに ftptop: no curses or ncurses library on this system となってftptopが実行できないのは何故でしょう? NLST patch の1.3.2 対応版ってどこかに転がってないの? http://www.hayasoft.com/haya/linux/proftpd_nlst_patch.html MySQL 連携やりたいから1.3.2 じゃないとちょっとアレ何だよな。 >>490 顧客&ユーザ全部に言って回るのがねぇ(sigh) お察しください。 >>489 パッチの中身みれば自分で簡単に作れるだろ >>491 設定方法の定型文作って 顧客に一斉送信すりゃいいだけ? XREAとかCORESERVERのサブFTPアカウントの仕組みってどうやって作るんだろ? 新規でアカウントを作ってサブディレクトリにchrootを割り当てると権限の問題が発生するけど、これなら問題ないんだよなぁ。 このアップデートって例のfilezilla問題のfixかな? 1.3.2rc2 --------- + Added Chinese translation. + Fixed handling of SSL/TLS session shutdowns on data connections. This issue was causing problems for users of recent FileZilla versions which insisted on proper SSL/TLS session shutdowns. FilezillaだとNLSTではなく、MLSDでリスト表示するのですが、 .ファイルが表示されてしまいます。 非表示にしたいのですがどうにかしてできないでしょうか? ListOptionsではできませんでした。 ファイル名を英数のみに限定する、というのは可能でしょうか CentOS 5.4 へ RPMforge から proftpd を入れたところ standalone では ログイン/アウトの記録が /var/log/secure に残ってくれません。 マニュアルの SyslogFacility の項目には > Normally, all authentication related messages are logged with the AUTHPRIV (or AUTH) facility と書かれているのですが、何故か authpriv を使ってくれないようです。 これでは syslog-ng のフィルタ機能が使えません。 仕方なく SyslogFacility LOCAL6 とやって、こちらから拾おうとしたのですが、 何故かこの一行を加えると proftpd が起動してくれません。 どのように設定すれば syslog-ng でログが拾えるようなるのでしょう? (もちろん authpriv を通ってないので syslogd でも拾えません) proftpd のバージョンは 1.3.2 です。(パッケージ名 proftpd-1.3.2-1.el5.rf) もしかして RPMforgeのパッケージが変な設定でビルドされてるのでしょうか? (最近まで Vineを使ってたのですが、あちらではデフォルトのままで普通にログを拾えてました) その後 http://rpm.pbone.net/ からダウンロードした 1.3.1 に変えてみましたが状況は同じです。 ぐぐってみると、proftpd では syslogでのログの取得はデフォルトではできない、 といった記述が見当たることを考えると、Vineに入ってるものが特殊なのか、 はたまた以前のバージョン(Vine 4.2 に入ってるものは 1.2.10)と最近のバージョンでは 仕様が変わっているのか……? で、 ttp://solamame.blog.so-net.ne.jp/2005-05-13 あるいは ttp://www.flateight.com/modules/bwiki/index.php?FreeBSD%2Fsyslog-ng#l40b810a を見ると、SyslogFacility で LOCAL6 などに facility を変更して それを syslog で取得する方法が書かれていますが、 実際にこれを設定すると、前述通り proftpd が起動してくれません。 (RPMforge/pbone どちらで入手したものも同じ) ここでやはり同じ疑問が。 SyslogFacility を設定するとエラーになるのは RPMforge/pbone で入手できるパッケージ だけの問題なのか? 皆さんが使ってる環境では SyslogFacility は問題なく設定できますか? 一方で公式の howto http://www.proftpd.org/docs/howto/Debugging.html には次の記述。 > If the SystemLog configuration directive is in effect, you know exactly where the server's log > file is. If not, then by default the server uses syslog for logging. The location of syslog'd log > files is set in your system's /etc/syslog.conf file. You may need to read your system's man pages > for syslog.conf or syslogd to understand the format of that file. Note that the server will log > using a syslog facility of daemon (and level debug when debugging) for most of its messages; > during authentication, messages are logged using the authpriv facility. つまり SystemLog ディレクティブが設定されていない場合、デフォルトではログの取得には syslog が 使われ、認証についてのログは authpriv facility が利用される、とある。 また、Release Note を見ると、例えば 1.3.0rc4 には > Bug 2705 - proftpd fails to log anything to syslog after dropping privs on Solaris. などというものがあり、その他 syslog 関連の変更点を見ると、 やはりデフォルトでは syslog が使えるのが正常と見えます。 ネット上に散見される「デフォルトでsyslogでは取得できない」という話との矛盾はどう解釈すればいいのでしょう? その後、他のディストロをVMに入れて試してみましたが、 どうやら当方の入手したパッケージの問題っぽい(他のディストロでは普通にsyslogで拾える)ので 結局ソースから build して解決しました。 お騒がせいたしました。 # しかし、>>500-501 のような話が結構出ているということは、 # 同様の設定で build されたパッケージを採用したディストロ/OSが他にもあるということ…?? で、buildなのですが、取り敢えず configure オプションは --prefix=/usr --sysconfdir=/etc --localstatedir=/var --enable-shadow で行いましたがLinuxでの一般的な設定で、これは入れておけ、というものが他にありましたら 是非ご教示ください。 # できたら rpm で管理したいところですが、rpmbuildがどうしても通らない… # inetd 関係以外に spec に手を加える必要があるのでしょうか? ProFTPD 1.3.2c, 1.3.3rc3 released 1.3.2c入れたら、FTPESするときに 「warning: client-initiated session renegotiation detected, aborting connection」 ってでる。 ちなみにNextFTP。 どうやら1.3.2cからLISTが出来なくなったっぽい。 coreFTPなら設定をいじれば接続可能になったけど、 NextFTPでSSL接続がうまく表示されなくなったのは痛いなぁ、と 変更点くらい目を通せカス 1.3.2c - Released 10-Dec-2009 -------------------------------- - Bug 3324 - Vulnerability in SSL/TLS protocol during renegotiation (CVE-2009-3555). 1.3.3rc3 用の iconv.patchって出てない? FreeBSD 8.0Release(AMD64)にProFtpd入れてzfsな領域にアップロードしたら凄い重い… 転送が遅いだけじゃなくて、システムが途切れ途切れになってる感じ で、ps見てみたら[zfskern]がCPUを80%も使ってる。 zfsのチューニングがおかしいのかと思ったけど、 ローカルの書き込みやsambaやpure-ftpd経由の書き込みだと問題なし。 同じ設定でもx86なFreeBSDの環境なら問題なし。何だこりゃ? とりあえずpure-ftpdに乗り換えたから問題ないけど… >>510 文字コード変換したいだけだったら1.3.2rc1から mod_lang組み込んでUseEncodingを使えば良くなった ttp://www.proftpd.org/docs/modules/mod_lang.html#UseEncoding TLSOptions AllowClientRenegotiation で、nextftpからつながるけど、これって1.3.2cでの securityfixが、無駄になるような気がした。 proftpd 1.3.2d (maintenance) --------------------- + Fixed mod_tls compilation when using OpenSSL versions older than 0.9.7. + Fixed SSL/TLS (broken due to bad backport) + Fixed RADIUS authentication on 64-bit platforms. 1.3.3rc4 --------- + Fixed mod_tls compilation using OpenSSL installations older than 0.9.7. + Fixed mod_sftp compilation on AIX. + Fixed RADIUS authentication on 64-bit platforms + Fixed memory leak in SCP downloads. + New configuration directives とうとう1.3.3きたか! RPMforgeに早く来ないかなぁwktk FreeBSDのportsで使用しているproftpdが1.3.3になったら、 DisplayLoginをconfigに入れるときちんと動作しなくなった。 原因誰かわかりません? FreeBSD xxx.co.jp 7.2-RELEASE-p1 すみません、どのスレで聞いたらいいのか分からず探していたところ、 スレッド内に聞きたい事の話があったので、こちらで質問させてください。 ProFTPDを使用しているサーバホスティングに、NextFTPを使用して接続 しているのですが、TLS、TLS-C、TLS-Pそれぞれについて何が違うのかが 分かりません。 下のサイトを見つけたのですが、説明がよく分からないのです。 htt://publib.boulder.ibm.com/html/as400/v5r1/ic2962/index.htm?info/rzaiq/rzaiqauth.htm htt://publib.boulder.ibm.com/html/as400/v5r1/ic2962/index.htm?info/rzaiq/rzaiqfaps.htm TLS、TLS-C、TLS-Pの違いについてご存知の方いましたら、簡単でいいので私のような者でも 分かるような表現で教えていただけますでしょうか? どうかよろしくお願いいたします。 過疎っているみたいなので他を当たります。 ありがとうございました。 >>517 OS/400 の Information Centrer 以上わかりやすく簡潔に説明する方法がナイと思うのだが ... まぁ、他行って聞く見たいだからヨイか。 ProFTPD の TLS の説明も丁寧で分かりやすい。 http://www.proftpd.org/docs/howto/TLS.html >>519 レスありがとうございます。 まだ他で質問していませんでした。 教えていただいたページも英語と機械翻訳で見てみたのですが、 分かりませんでした。(´・ω・`) もし、よろしければ、私のような超あほの子でも分かる感じに、 簡単でいいので教えていただけませんでしょうか? お手数でなければ、よろしくお願いします。 ああ、コレがメンドくさくなくて良いか。 ttp://www.atmarkit.co.jp/fnetwork/rensai/netpro10/netpro01.html IBMのサイトの説明を、俺的にテキトー説明。 TLS-P≒SSL、TLS-C≒TLS 安全度は、TLS-C(TLS)> TLS-P=SSL >>521 まずは、お前が日本語を学べ。 >>522 そこにはTLSの説明は書いてないだろw IBMのサイトもある程度の知識があるなら分かりやすいかもしれんが、 そもそも、それなりの知識があればここ見なくてもいいかと。 機械翻訳みたいな感じで逆に分からない人も少なくないだろう。 訂正。 安全度は、TLS-P=SSL > TLS-C(TLS) >> 523 >> 524 が煽った割に恥を晒したわけだが、まぁいいか。 おかげで IBM ちゃんの間違いも分かったし。 あ、安全度に関しては >> 524 の通りだ。 >>525 >が煽った割に恥を晒したわけだが、まぁいいか。 意味不明。 TLS-C (=TLS) コントロールコネクションは暗号化される。 データコネクションは*暗号化されない*。 TLS-P (=SSL) コントロールコネクションは暗号化される。 データコネクションも*暗号化される*。 コントロールコネクション、データコネクションの意味は>>522 >>522 ありがとうございます。 いろいろ参考になりました。 >>523 ありがとうございます。 TLS-Pにしておけばいいって事ですね! >>527 レスありがとうございます。 データコネクション部分の暗号化の有無だったんですね。 わたしにもよく分かる説明でした。 ※TLS-PとSSLが同義と書いてあったのは、TLSがSSLの後継という意味での事だったのかな(´・ω・`)? >>527 優秀なSEですね! age させていただきます!!! proftpd-1.3.3 で mod_lang を入れたいと思い $ ./configure --with-modules=mod_lang $ make とすると modules/module_glue.o:(.data+0x34): undefined reference to `lang_module' collect2: ld returned 1 exit status make: *** [proftpd] エラー 1 と出てしまい、makeできません。 なにか解決策はないでしょうか $ ./configure --enable-nls で出来ました 1.3.3にしてみた mod_sftp入れてみた なるほどこりゃ簡単 1.3.3a --------- + Added Japanese translation + Many mod_sftp bugfixes + Fixed SSL_shutdown() errors caused by OpenSSL 0.9.8m and later + Fixed handling of utmp/utmpx format changes on FreeBSD ↑そんなの全然知らずにports入れなおしで昨日から格闘してた。 格闘中に、こんな事がサラっと書いてあるのを発見。 coredump付きでコンパイルしたのを数カ月運用してた。(自分だけだからいいけど) howto/Compilling.html <b>Note</b> that if the <code>coredump</code> option is used, proftpd will <b>not</b> switch the UID/GID to the <code>User</code>/<code>Group</code> defined in the config file, nor to that of the logged-in user. read.cgi ver 07.5.0 2024/04/24 Walang Kapalit ★ | Donguri System Team 5ちゃんねる