[ LUGOS ] varen ftpd

Borut Mrak borut.mrak na ijs.si
Tor Jan 23 11:49:32 CET 2001 

On Tue, Jan 23, 2001 at 10:54:12AM +0100, Bostjan Mercun wrote:
> Ta tip je Dan Bernstein, avtor Qmail-a in podobnih varnih razlicic
> raznih serverjev (DNS, FTP). Denar je ponujal tudi za Qmail, 1000 USD za
> najden bug, pa se ni bilo junaka, ki bi tega jurja dobil. Ker slovi po
> zelo varni kodi bi tudi jaz dal roko v ogenj, da je to najbolj varen ftp
> server (do sedaj zanj sploh nisem vedel). Vprasanje pa je, ce ima vse
> tiste moznosti, ki jih ti rabis. Ne vem, kako popljuva ostale, ampak ce
> je tale publicfile tako varen, kot ostali njegovi programi (v kar ne
> dvomim), potem ima vsaj en tehten argument, da to pocne. Edino, kar me
> pri njegovih programih moti je to, da ima tako komplicirano
> konfiguracijo programov in tako cudne konfiguracijske file-e. Drugace bi
> ze zdavnaj uporabljal tudi njegov dnscache.

Jaz pa ne.

dnscache (ali kakorkoli se ze imenuje ta teden) ne podpira velikih zon.

Ce imas recimo rezultat queryja, ki je vecji kot je lahko UDP paket, si z
dnscachejem mrzel. Prav tako, ce je dnscache tvoj DNS streznik in si dobil
od nekje drugje prevelik rezultat queryja. (Za tiste ki ne veste: DNS deluje
preko UDP, ce pa je v rezultatu nekako oznaceno, da je podatkov vec, mora
client vzpostaviti TCP povezavo, da dobi VSE podatke)

Mimogrede, o avtorju: v eni od prejsnjih verzij dnscache-ja le-ta ni podpiral
forwarderjev, vedno je hotel podatke dobit direktno od root serverjev naprej.
Avtor je trdil, da so forwarderji "evil", "insecure" itd. Kar je deloma res.
V zadnji verziji dnscache podpira forwarderje in teh trditev (kolikro sem 
videl) na strani ni vec.

Naslo bi se se kaj, ampak imam ta moment pametnejse delo.

O "enostavnosti" uporabe programov, ki jih scopra DJB: jaz sem (kot zacetnik)
potreboval kar precej casa, da sem skuzil Qmail vsaj toliko, da sem ga lahko
uporabljal na dialupu. Ne vem, koliko bi to trajalo sedaj in niti nocem
izvedet. Rok Papez, ki ze takrat ni bil ravno luzer (kot sem jaz se bil) je
tudi preklel Qmail.

Anyway, povsod se najdejo (tudi) drugacne resitve kot DJB-jeve. Bind 9,
postfix, proftpd. Vsi od teh so security-wise boljsi kot naprimer Bind 8,
sendmail, wu-ftpd in gotovo ne toliko slabsi od DJB-jevih kreacij, da ne
bi vsaj enostavnejsa uporaba tega odtehtala.

lp,

-- 
Borut
borut.mrak na ijs.si
-----------------
"Who says something is going to break? Nothing is going to break..."
 -- Ynnus, after 24hrs straight coding, hardly meeting the deadline...

Dodatne informacije o seznamu Starilist