Re: ftp vs scp?

To: debian-russian@lists.debian.org
Subject: Re: ftp vs scp?
From: Artem Chuprina <ran@ran.pp.ru>
Date: Mon, 04 Feb 2008 13:12:17 +0300
Message-id: <[🔎] 75452798@wizzle.ran.pp.ru>
Mail-followup-to: debian-russian@lists.debian.org
In-reply-to: <[🔎] 47A46CEC.4010108@kuklin.ru> (alex kuklin's message of "Sat\, 02 Feb 2008 16\:15\:24 +0300")
References: <1201776047.5295.17.camel@casper2.meteor.dp.ua> <[🔎] 20080201103324.21ce890a@vice.lan> <[🔎] 20080201103137.GA1979123@badger.wapper.ru> <[🔎] 20080201163947.301274bb@desktopvm> <[🔎] 20080201135302.GB1979123@badger.wapper.ru> <[🔎] 30845724@tigger.lan.cryptocom.ru> <[🔎] 20080201155801.GD72902@swp.pp.ru> <[🔎] 09405239@tigger.lan.cryptocom.ru> <[🔎] 20080202073419.GC8517@cit.org.by> <[🔎] 07632720@wizzle.ran.pp.ru> <[🔎] 20080202095641.GA30799@cit.org.by> <[🔎] 20118521@wizzle.ran.pp.ru> <[🔎] 47A46CEC.4010108@kuklin.ru>

alex kuklin -> debian-russian@lists.debian.org @ Sat, 02 Feb 2008 16:15:24 +0300:

>> Когда человеку нужен шелл, он обычно обладает достаточной
>> квалификацией для понимания своей части протокола безопасности. А
>> типичный человек, которому нужно файлы из дома в офис гонять - нет.
>>
ak> В порядке голоса из помойки - но зачем давать пользователю,
ak> которому нужно только гонять файлы по scp, полный shell?....

Не знаю. Ты придумал вопрос, ты на него и отвечай... У меня "нужен
шелл" стоит под "если". Т.е. это посылка. А случай, когда не нужен,
рассматривается во втором предложении :-)

Предупреждая дополнительные вопросы. У меня есть большие сомнения в
том, что в scponly реализовано все, что требуется от парольного ftp, и с
той же надежностью. И что у самого ssh с scponly взаимодействие
соответствующее. Потому что изначально этого в архитектуру не
закладывалось.

Ну, в общем, да... Беглый просмотр манов и README показывает, что
scponly - зверь в плане безопасности весьма сомнительный... И с
chroot-функциональностью у него явные проблемы. Ман на scponly
утверждает, что можно делать chroot в любую директорию, куда у юзера
есть достаточные права, но делает это scponlyc. Ман на scponlyc
описывает только "в домашнюю директорию". Никакого иного описания того,
как можно развести корень чрута и домашнюю директорию, мне в комплекте
документации не попалось. И сама по себе необходимость держать там не
просто chroot, а полноценный jail, не может радовать.

Поддержка "полуинтерактивности" (совместимости с WinSCP), судя по тону в
документации, опять же не планировалась изначально, а была привинчена
потом. Очень не факт, что она вписывается в архитектуру, а не
проделывает в ней дополнительную дыру. Если, конечно, этой дыры в этой
архитектуре изначально не было.

В общем, sublimation.org, нивапрос... На взгляд - уровень wu-ftpd.
Который, конечно, UNIX way, но использовать который можно только в
trusted сетях. Ну так в trusted сети его и нужно использовать. А
scponly неприятно попахивает очень красивой иллюзией безопасности.

И кстати, rsync он, похоже, не поддерживает...

--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru

Win-юзеры - это типа Win-модемов и Win-принтеров: такие же юзеры, но попроще,
без мозгов и памяти на борту.
http://www.livejournal.com/~dottedmag/158509.html

Reply to:

References:
- Re: LDAP авторизация
  - From: Alexander GQ Gerasiov <gq@cs.msu.su>
- Re: LDAP авторизация
  - From: Pavel Ammosov <apavel@wapper.ru>
- Re: LDAP авторизация
  - From: Alexander GQ Gerasiov <gq@cs.msu.su>
- Re: LDAP авторизация
  - From: Pavel Ammosov <apavel@wapper.ru>
- Re: LDAP авторизация
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: LDAP авторизация
  - From: "mitrohin a.s." <swp@swp.pp.ru>
- Re: LDAP авторизация
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: LDAP авторизация
  - From: Sergey Chumakov <yas@its.bsuir.edu.by>
- Re: LDAP авторизация
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: LDAP авторизация
  - From: Sergey Chumakov <yas@its.bsuir.edu.by>
- Re: LDAP авторизация
  - From: Artem Chuprina <ran@ran.pp.ru>
- ftp vs scp? (was: LDAP авторизация)
  - From: alex kuklin <alex@kuklin.ru>

Prev by Date: Re: LDAP авторизация
Next by Date: Re: [SOLVED] Ограничение максимальной скорости по IP
Previous by thread: ftp vs scp? (was: LDAP авторизация)
Next by thread: Re: LDAP авторизация
Index(es):
- Date
- Thread