[Comm] Question on FTP

[Headlong John]

Hello, Fr. Br. George
Чт, 14.09.2006 18:10:08 you wrote:

> > Да, конечно, я хочу узнать подробности. Просветите, пожалуйста. Почему для интернет-доступа к файлам все используют именно FTP, а не SMB, если он так хорош, как вы говорите.
> Потому что "интернет-доступ к файлам" и "сетевая файловая система" --
> совершенно разные вещи. Предоставлять хостерам доступ по SMB всего лишь
> для выкладывания файлов -- стрельба из пушки по воробьям.

Ну вот мне, в принципе, тоже надо, чтобы люди имели возможность выкладывать файлы... Но только те люди и в те места, куда я им разрешу... Мне нужен FTP или SMB?

> А чем сложнее
> протокол, тем больше глюков. Особено у клиентов по виндовзом. К тому же
> на хостинге обычно очень трепетно относятся к вычислительным ресурсам.

С этим согласен.

> Настолько трепетно, что предпочитают не сообщать пользователям. что
> наиболее нетребовательный к вычислительным ресурсам протокол FTP по
> совместительству и наиболее небезопасный: гоняет пароли в открытом виде.
> Наверное, надеются на эффект неуловимого Джо.

Может быть :-)

> > По данным, которые я смог узнать в интернете, этот протокол придумали в IBM, но к его последующему развитию имеет непосредственное отношение прежде всего MS, а не кто-то другой:
> Да. Хотя сейчас это не совсем так: основной фронт разработки семейства
> протоколов CIFS переехал в Samba, а в M$ регулярно обсуждают идею от
> CIFS отказаться, так как слишком оно документировано.

Понятно, спасибо. Не знал этого.

> > Я могу ошибаться, но SMB у меня и у тех, кого я знаю, ассоциируется именно в MS Windows, а не с чем-то иным. Что касается Samba - то, как сказано в Wiki:
> Насчёт ваших собственных ассоциаций вы ошибаться не можете :). Если у
> вас -- как и у меня -- вызывает раздражение всё, связанное с M$, то ведь
> не потому, что "все они там -- уроды"?

Ну конечно не поэтому :-)

> Например, меня бесит многое от M$ по причине _полной_ невозможности понять,
> что и как работает: никакой тех. документации, все help-ы -- для
> секретарш, шаманство вместо отладки ошибок и мозговая чесотка от
> отсутствия информации.

О, вы так интеллигентно высказали то, о чем я обычно ору матом на все здание :-) Супер. Особенно про чесотку понравилось :-) Классно.

> А Samba весьма прилично документирована. По крайней мене, на инженерном
> и пользовательском уровне.

Да, меня в Unix-системах изначально привлекает именно это. Мне нравятся вещи, которые я могу изучать систематически и самостоятельно.

> > Я не видел опубликованного ОФИЦИАЛЬНОГО стандарта на SMB.
> Это да, "ОФИЦИАЛЬНОГО стандарта" нет. Вот в IETF M$-цы пытались
> затолкать какой-то draft, но он был настолько мутный, что к 2002 году
> просрочился.
> 
> Так что открытая информация берётся именно из http://devel.samba.org/
> А в качестве неОФИЦИАЛЬНОГО стандарта -- http://www.snia.org/tech_activities/CIFS

Спасибо!

> > Ну у меня уже сейчас без внедрения и настройки клиенты на Windows и на Linux могут через FTP работать с моим сервером внутри нашей сети.
> Ну так вопрос лишь в том, опасна ли для вас утечка учётных записей.

Да, сейчас вот у меня люди получают доступ внутри локальной сети предприятия. Чтобы перехватить пароль необходимо перехватить пакеты, передаваемые от клиента серверу. Это означает, что либо пакеты должны ретранслироваться коммутатором на все порты, либо сервер или клиенты должны быть поражены злоумышленником. Но сейчас коммутаторы типа switching hub, они вроде не должны на все порты информацию дублировать?

Если будет доступ через интернет, то, соответственно, пароль может быть перехвачен в случае поражения промежуточных шлюзов/маршрутизаторов, через которые проходят пакеты от клиента к серверу.

Что касается поражения сервера или клиента, то здесь, наверное, уже не имеет смысла вопрос о том, защищен протокол или нет. Я все правильно понимаю?

> > в MS IIS можно было организовать доступ к FTP-сайту через SSL, это делалось нажатием пары кнопок. При этом это не требовало какой-то особой модификации клиентского ПО.
> Список клиентского ПО, в котором доступ по FTP/TLS работает совсем без
> модификации:
> http://www.ford-hutchinson.com/~fh-1-pfh/ftps-ext.html#client
> 
> Заодно и серверного. IIS там в единственном месте упомянут. Думаю, что
> сказанное вами -- или легенда, или слух, или реклама M$ IIS :)

Про MS IIS - проверю еще раз в понедельник, напишу.

> > Про "невосстановимые" хеши, которые MS Windows хранит, например, для паролей пользователей, уже немало написано в интернете. Вот несколько ссылок:
> Скорее всего вы неправильно прочли предыдущее предложение, а также то, в
> котором было написано, что _сервер_ хранит вполне восстановимые пароли ;)
> 
> > http://www.uinc.ru/articles/29/index.shtml
> "Даже если злоумышленник перехватит хеш, то при правильно выбранном
> пароле узнать пароль будет невозможно (перебор всех комбинаций займет
> длительный период). Кроме того, использование каждый раз при генерации
> хеша в качестве входных данных случайные данные, защищает от повторного
> использования перехваченного злоумышленником хеша, который может быть
> получен при авторизации подлинного пользователя."
> 
> Остальной текст посвящён взлому виндовза с дискетки.

Насколько "правильным" должен быть пароль?

> > http://old.osp.ru/win2000/2006/03/032.htm
FBG> Текст посвящён взлому LM-ключа. LM может быть и используется по у
> молчанию в виндовзе до сих пор, но не в Sambba.

Да, я понял. Спасибо.

> Знаете, меня очень интересует тема сетевой инфраструктуры Linux.

Меня тоже :-)

> С ней не шибко ладно дело обстоит, что удивительно.
> В частности, ни одной нормальной сетевой ФС с user-based авторизацией
> просто нет.

А как же Samba?

Спасибо заранее.