FAQ по wu-ftpd

Возможно кто-то пытается использовать вашу машину для передачи _своих_данных_ (это в худшем случае). Проверьте наличие path-filter в файле ftpaccess, который должен выглядеть подобно :

path-filter anonymous /etc/paths.msg ^[-A-Za-z0-9\._]*$ ^\. ^-

В основном вы не можете этого сделать. Но, еслы вы настолько упрямы...

Прочтите upload.configuration.HOWTO, указатель на него в начале этого faq. Убедитесь что у вас установлена последняя версия wu-ftpd (2.5.0), установите ваш path-filter как указано выше. Посмотрите кто и какие имеет права доступа в директорию incoming и кто владелец, на предмет отличия от ftp (root или nobody), например :

drwx-wx-wt       root    nobody        incoming

upload    /home/ftp    /incoming   yes root daemon 0400 nodirs

Соответствующая umask наследуется от inetd. Однако в этом случае возможна ошибка. Воспользуйтесь параметром задания umask с командной строки -u. Отредактируйте строку в inetd.conf подобно ftpd -A -L -l -u077.

В некоторых версиях Slackware переменная _PATH_EXECPATH была установлена в что-то похожее на /bin. Перекомпилируйте wu-ftpd установив специальный путь например, /bin/ftp-exec.

Для проверки этой дыры, наберите (когда зайдете как real пользователь, а не anonymous) :
ftp> SITE EXEC bash -c id

Если в ответ получите '200-uid=0(root) gid=0(root)' , у вас проблемы с security.

Существует несколько готовых скриптов позоляющих создавать более удобные и понятные отчеты из файла статистики xferlog.

• dumpxfer разбирает xferlog и выдает понятную человеку статистику
• processlog в свою очередь запускает dumpxfer, отправляет вам почтой результат обрезая ненужное

Koos van den Hout написал на Perl скрипты разбора статистики, отсылки по почте ежедневной статистики и аплоада и создания рейтинга наиболее популярных файлов. Доступен с <URL:ftp://ftp.cetis.hvu.nl/pub/koos/ftplogcheck>

iistat создает красивый граф на основе файла xferlog (и других ресурсов) Доступен с <URL:ftp://ftp.support.lotus.com/pub/utils/InternetServices/iisstat/iisstat.html>

Phil Swan написал xferstats, доступный с <URL:ftp://sod.off.net:211/pub/xferstats/xferstats-2.00/> or <URL:http://xferstats.off.net:8080>

Получаете ошибку подобную :

Dec 7 11:14:33 ftphost vmunix: NFS write error 13 on host fileserver
fh 746 1 a0000 5fea7 3b5a1bd8 a0000 2 1e0a6aed

• Распологайте incoming на локальных дисках где запускает wu-ftpd (те не используйте раздачу по ftp подмонтированных по NFS ресурсов)
• В файле /etc/ftpaccess в качестве владельца установлен ftp, группа имеет ограниченные права доступа, например 0040 (только чтение), проверьте это.

Очевидно ftpd требует доступа на запись к ~ftp/dev/tcp в случае работы в режиме passive (Solaris). Установите для него те же права доступа что соответствует системным полученным по команде ls -lL /dev/tcp, должны быть 666. Кроме того прочитайте соответствующие руководства Solaris. Отличия от предыдущих версий

Fix:

cd ~ftp/dev
chmod 666 tcp

Вероятно символьный линк относительно вашего active root. Если вы хотите иметь доступ к files/directories/diskspace внешним по отношению к вашей chroot среде, можно воспользоваться loopback mount'ом. Это можно делать в последних Solaris и Linux, для других OS читайте руководства.

Это малоизвестное значение ftpaccess : добавьте 'guestserver anon.ftp.server.hostname' в ваш ftpaccess файл...

Это зависит от inetd, а не ftpd. Inetd ограничивает количество обслуживаемых соединений к данному сервису производимых в минуту [в данном контексте число запускамых им дочерних процессов обслуживаемого сервиса. Некоторые версии позволяют изменять их количество непосредственно в inetd.conf, указывая их количество в парметре "nowait" :

ftp stream tcp nowait.256 root /usr/sbin/ftpd ftpd -a

Wu-ftpd разработан с учетом работы на машинах с большими архивами. Правки приведенные ниже включены по-умолчанию.

Например sunsite.doc.ic.ac.uk сделал несколько правок под себя доступных на : <URL:ftp://sunsite.doc.ic.ac.uk/packages/mirror/experimental/wu-2.4.2-upd13.shar>

Из примечаний к этим исправлениям:

DAEMON
Если ftpd запускается с опцией -D как отдельный daemon который слушает ftp
порт, то в этом случае скорость его ответов может возрасти поскольку для
их обработки ему нужно запускать свою копию для обработки запроса через fork.
В случае inetd новая копия запускается через вызов "exec".

FILEWHAT
Если SETPROCTITLE не работает или если у вас так много пользователей что
для PS требуется много времени чтобы FILEWHAT сохранило информацию в
файл которую ftpcount затем просто напечатал.

В настоящий момент это всего лишь ошибка старых ftp-клиентов которые посылают в качестве пароля первые 8-мь символов считая что он ограничен этим значением. Установите новый ftp-клиент.

В AIX 4.3 по-умолчанию в inetd.conf используется версия TCP/IP IPv6, которую wu-ftpd не поддерживает(пока). Исправьте протокол с tcp6 на tcp.

На данный момент это возможно лишь в случае на каждый IP-address по серверу. wu-ftpd 2.5.0 поддерживает эту возможность с большими ограничениями. Однако много полезных вещей BeroFTPD поддерживает гораздо шире и лучше, однако прочтите некоторые хитрости ниже.

Существует draft для расширения ftp протокола известного как HOST для поддержки виртуальных-хостов как в HTTP. Но, это всего лишь draft и масса старых клиентов не поддерживает его, поэтому не закладывайтесь на его широкое использование.

Вы пытались посмотреть системную статистику? В зависимости от настройки вашего syslog.conf все демоны должны выдавать сообщения об ошибках или на консоль или в системные логи. Попробуйте посмотреть, эта информация должна вам помочь. Наиболее распространенная ошибка, на данный момент, после апгрейда в системных логах syslog выдает 'not in any class'. Это означает что вы используете старую, ненадежную технологию определения классов, как например: class lcl real,guest,anonymous 127.*.*.* Последняя версия не поддерживает такое задание класса в целях безопасности. Используйте сетевую маску - NETMASK или блок - CIDR, как в примере: class lcl real,guest,anonymous 127.0.0.0/8 or class lcl real,guest,anonymous 127.0.0.0:255.0.0.0.

1. Где описан FTP протокол?

   Смотрите документы RFC959 по протоколу FTP.

2. Как сделать ftp-архив доступным по Email (ftpmail)?

   Существует коллекция Perl-скриптов под названием ftpmail. Она доступна на множестве ftp-машин (используйте archie или ftpsearch для поиска 'ftpmail'), некоторые изветсные :

   <URL:ftp://sunsite.doc.ic.ac.uk/packages/ftpmail/>, nic.funet.fi, ftp.warwick.ac.uk, ftp.loria.fr, ftp.germany.eu.net.

Часть людей достойных заслуги :

• Alexander L. Haiut (alx@cs.bgu.ac.il), автор оригинального faq.
• *Hobbit* (hobbit@avian.org) за первые правки security в to wu-ftpd.
• Stan Barber (sob@owlman.academ.com), за длительное сопровождение wu-ftpd и архива правок для wu-ftpd. Больше не сопровождает архив.
• Reinier Post (reinpost@win.tue.nl), за скрипты для сопровождения этого FAQ.
• И конечно, Bryan O'Connor из Washington University который написал первую реализацию wu-ftpd. Сообщение : Bryan больше не работает не только над сопровождением wu-ftpd, но и в Вашингтонском Университете. Пожалуйста не отправляйте ему писем с вопросами.
• И все кто прислал письма для изменений в этом FAQ и другую информацию.

1. Как связаться с командой разработчиков WU-FTPD?

   Пошлите письмо по адресу (wuftpd-members@wu-ftpd.org)

2. Мной сделаны поправки/новые возможности, как вынести их на рассмотрение команды разработчиков WU-FTPD?

   Команда разработчиков предпочитает контекстные-отличия(сделанные diff) вместо последних версий исходного кода. Законченные файлы могут быть включены отдельно или как отличия context-diff.

   Если ваш полный патч небольшой (меньше чем 25K) вы можете послать его почтой с которотким описанием изменений по адресу wuftpd-members@wu-ftpd.org.

   Если ваши прваки или добавления большие (более 25K) или состоят из нескольких файлов, создайте сжатый архив (tar.gz или tar.Z) и положите в ftp://ftp.wu-ftpd.org/incoming после чего отправьте короткое описание правок с именем файла вашего дополнения-архива по адресу wuftpd-members@wu-ftpd.org.

3. Мной обнаружены проблемы в плане безопасности работы демона и не хотелось бы писать об этом по почте. Можно ли обсудить это по телефону?

   Да, но вы должны быть уверены. Убедитесь что вы прочитали и поняли весь FAQ и документацию которая включена в дистрибутив. Если вы убеждены в проблеме связанной с безопасностью сервера, можете связаться с Gregory A Lundberg

           1-800-809-2195 or 1-937-298-5254 (office)
           1-888-977-5370 or 1-937-299-7653 (home)
                             1-937-299-8743 (FAX)