Назад | Перейти на главную страницу

ProFTPD - для чего предназначен параметр конфигурации IdentLookups?

Я совсем недавно был достаточно раздражен задержкой FTP-соединения моего собственного выделенного сервера, чтобы начать поиск причин задержки.

«Преступником» был вариант конфигурации IdentLookups. По умолчанию он включен, что вызывает заметную задержку при попытке подключения. В выключенном состоянии соединения выполняются мгновенно.

Итак, мой вопрос: как предполагается использовать поиск по отступам? Не только в контексте FTP-сервера, а в целом? Большинство брандмауэров блокируют попытки идентификации, так что я не вижу в этом смысла ...

Кто-нибудь может меня просветить, пожалуйста?

В ident Протокол используется для предоставления имени пользователя, связанного с TCP-соединением, в основном, когда есть много пользователей, использующих один IP-адрес, например общие хосты и т. д. Это не очень распространено в те дни, поэтому для FTP я думаю, что безопасно отключить его. IRC по-прежнему часто его использует. Вы можете сказать, что это протокол смерти но эй, мало ли.

Он работает с запросами пар портов TCP, например, ident клиент спрашивает port on server:port on client пара к ident сервер, который отвечает, кто является пользователем, ответственным за это соединение.

Людям, занимающимся безопасностью, это не очень нравится, поэтому большинство брандмауэров тоже блокируют это, и я склонен с ними соглашаться: вы можете легко перечислить почти всех пользователей на своих серверах, использующих его.

RFC 1413 определяет окно тайм-аута 60–180 секунд для серверного времени и минимальное время ожидания 30 секунд на стороне клиента, что может вызвать некоторые неприятные задержки.

С участием IdentLookups на proftpd попытается получить имя пользователя нового соединения, используя RFC 1413 Идентификационный протокол. Задержка будет вызвана тем, что proftpd ожидает истечения времени ожидания протокола идентификатора.