Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]

Groups > it.comp.os.linux.sys > #45372 > unrolled thread

proFTPD VS vsftpd & firewalld vs nftable

Back to article view | Back to it.comp.os.linux.sys

Contents

  proFTPD VS vsftpd  & firewalld vs nftable Enrico Maria Chellini <bitit@bitit.it> - 2025-02-28 12:25 +0100
    Re: proFTPD VS vsftpd  & firewalld vs nftable Enrico Maria Chellini <bitit@bitit.it> - 2025-02-28 16:46 +0100
    Re: proFTPD VS vsftpd  & firewalld vs nftable sm <carotone@test.it> - 2025-02-28 21:48 +0000
      Re: proFTPD VS vsftpd  & firewalld vs nftable Enrico Maria Chellini <bitit@bitit.it> - 2025-03-02 17:31 +0100
        Re: proFTPD VS vsftpd  & firewalld vs nftable sm <carotone@test.it> - 2025-03-02 19:48 +0000
          Re: proFTPD VS vsftpd  & firewalld vs nftable Enrico Maria Chellini <bitit@bitit.it> - 2025-03-03 08:50 +0100
        Re: proFTPD VS vsftpd & firewalld vs nftable Piergiorgio Sartor <piergiorgio.sartor.this.should.not.be.used@nexgo.REMOVETHIS.de> - 2025-03-02 20:57 +0100
          Re: proFTPD VS vsftpd & firewalld vs nftable Enrico Maria Chellini <bitit@bitit.it> - 2025-03-03 08:51 +0100
            Re: proFTPD VS vsftpd & firewalld vs nftable Piergiorgio Sartor <piergiorgio.sartor.this.should.not.be.used@nexgo.REMOVETHIS.de> - 2025-03-03 18:46 +0100
              Re: proFTPD VS vsftpd & firewalld vs nftable Enrico Maria Chellini <bitit@bitit.it> - 2025-03-03 19:01 +0100
                Re: proFTPD VS vsftpd & firewalld vs nftable sm <carotone@test.it> - 2025-03-04 06:22 +0000
                  Re: proFTPD VS vsftpd & firewalld vs nftable Enrico Maria Chellini <bitit@bitit.it> - 2025-03-04 09:03 +0100
                  Re: proFTPD VS vsftpd & firewalld vs nftable Enrico Maria Chellini <bitit@bitit.it> - 2025-03-05 09:15 +0100
                    Re: proFTPD VS vsftpd & firewalld vs nftable sm <carotone@test.it> - 2025-03-05 09:47 +0000
                      Re: proFTPD VS vsftpd & firewalld vs nftable Enrico Maria Chellini <bitit@bitit.it> - 2025-03-05 10:57 +0100
                        Re: proFTPD VS vsftpd & firewalld vs nftable sm <carotone@test.it> - 2025-03-05 12:35 +0000
                          Re: proFTPD VS vsftpd & firewalld vs nftable Enrico Maria Chellini <bitit@bitit.it> - 2025-03-05 14:16 +0100
                            Re: proFTPD VS vsftpd & firewalld vs nftable sm <carotone@test.it> - 2025-03-05 14:20 +0000
                              Re: proFTPD VS vsftpd & firewalld vs nftable Enrico Maria Chellini <bitit@bitit.it> - 2025-03-05 15:33 +0100
                                Re: proFTPD VS vsftpd & firewalld vs nftable sm <carotone@test.it> - 2025-03-05 18:50 +0000
                            Re: proFTPD VS vsftpd & firewalld vs nftable Piergiorgio Sartor <piergiorgio.sartor.this.should.not.be.used@nexgo.REMOVETHIS.de> - 2025-03-08 13:12 +0100
                              Re: proFTPD VS vsftpd & firewalld vs nftable Enrico Maria Chellini <bitit@bitit.it> - 2025-03-09 15:51 +0100
                                Re: proFTPD VS vsftpd & firewalld vs nftable Giuseppe Della Bianca <giusdbgNO@gmailNO.comNO> - 2025-03-09 15:19 +0000
                                  Re: proFTPD VS vsftpd & firewalld vs nftable Enrico Maria Chellini <bitit@bitit.it> - 2025-03-09 19:57 +0100
    Re: proFTPD VS vsftpd & firewalld vs nftable Piergiorgio Sartor <piergiorgio.sartor.this.should.not.be.used@nexgo.REMOVETHIS.de> - 2025-02-28 23:09 +0100
      Re: proFTPD VS vsftpd & firewalld vs nftable Enrico Maria Chellini <bitit@bitit.it> - 2025-03-02 17:29 +0100
        Re: proFTPD VS vsftpd & firewalld vs nftable Piergiorgio Sartor <piergiorgio.sartor.this.should.not.be.used@nexgo.REMOVETHIS.de> - 2025-03-02 20:31 +0100

Page 1 of 2  [1] 2  Next page →

#45372 — proFTPD VS vsftpd & firewalld vs nftable

Buon di sto facendo una nuova installazione su almalinux8.5 con
virtualmin

di base mi ha installato firewalld , io ero solito utilizzare iptable,
ma recentemente nftable pare sia la soluzione migliore. 

mentre ull ftp mi ha installato proftpd che di solito rimuovevo per
vsftpd 

qualche parere?

ENrico 

[toc] | [next] | [standalone]

#45373

Il giorno Fri, 28 Feb 2025 12:25:58 +0100
Enrico Maria Chellini <bitit@bitit.it> ha scritto:

> Buon di sto facendo una nuova installazione su almalinux8.5 con
> virtualmin
> 
> di base mi ha installato firewalld , io ero solito utilizzare iptable,
> ma recentemente nftable pare sia la soluzione migliore. 

ok firewalld è il frontend di nftables, quindi tutto ok per questa
cosa, rimane quella sottostante sul serve ftp


> mentre ull ftp mi ha installato proftpd che di solito rimuovevo per
> vsftpd 
> 
> qualche parere?
> 
> ENrico 
> 
> 

[toc] | [prev] | [next] | [standalone]

#45376

Il Fri, 28 Feb 2025 12:25:58 +0100, Enrico Maria Chellini wrote:


> mentre ull ftp mi ha installato proftpd che di solito rimuovevo per
> vsftpd
> 
> qualche parere?

Il mio parere è che preferisco fare a meno di ftp.

[toc] | [prev] | [next] | [standalone]

#45379

Il giorno Fri, 28 Feb 2025 21:48:40 -0000 (UTC)
sm <carotone@test.it> ha scritto:

> Il Fri, 28 Feb 2025 12:25:58 +0100, Enrico Maria Chellini wrote:
> 
> 
> > mentre ull ftp mi ha installato proftpd che di solito rimuovevo per
> > vsftpd
> > 
> > qualche parere?  
> 
> Il mio parere è che preferisco fare a meno di ftp.
> 
mi serve per i vritualhost dei clienti

l'alternativa è dare accesso al pannello e caricar i file da web. ma
con accesso al pannello fai più danni che con ftp 

Enrico 

[toc] | [prev] | [next] | [standalone]

#45382

Il Sun, 2 Mar 2025 17:31:37 +0100, Enrico Maria Chellini wrote:

> Il giorno Fri, 28 Feb 2025 21:48:40 -0000 (UTC)
> sm <carotone@test.it> ha scritto:
> 
>> Il Fri, 28 Feb 2025 12:25:58 +0100, Enrico Maria Chellini wrote:
>> 
>> 
>> > mentre ull ftp mi ha installato proftpd che di solito rimuovevo per
>> > vsftpd
>> > 
>> > qualche parere?
>> 
>> Il mio parere è che preferisco fare a meno di ftp.
>> 
> mi serve per i vritualhost dei clienti
> 
> l'alternativa è dare accesso al pannello e caricar i file da web. ma con
> accesso al pannello fai più danni che con ftp

Sinceramente capisco sia una risposta inutile ma non so cosa dire. Tutti 
gli articoli che confrontano questi e altri daemon ftp sono di dieci / 
quindici anni fa, se non più.

[toc] | [prev] | [next] | [standalone]

#45384

 
> 
> Sinceramente capisco sia una risposta inutile ma non so cosa dire.
> Tutti gli articoli che confrontano questi e altri daemon ftp sono di
> dieci / quindici anni fa, se non più.

non
direi 
https://www.enginyring.com/en/blog/what-are-the-differences-between-proftpd-vsftpd-and-pureftpd-and-when-to-use-each

[toc] | [prev] | [next] | [standalone]

#45383 — Re: proFTPD VS vsftpd & firewalld vs nftable

On 02/03/2025 17.31, Enrico Maria Chellini wrote:
[...]
>> Il mio parere è che preferisco fare a meno di ftp.
>>
> mi serve per i vritualhost dei clienti
> 
> l'alternativa è dare accesso al pannello e caricar i file da web. ma
> con accesso al pannello fai più danni che con ftp

Ma scusa, qualcosa con "ssh" non si puo` fare?

bye,

-- 

piergiorgio

[toc] | [prev] | [next] | [standalone]

#45385 — Re: proFTPD VS vsftpd & firewalld vs nftable

Il giorno Sun, 2 Mar 2025 20:57:54 +0100
Piergiorgio Sartor
<piergiorgio.sartor.this.should.not.be.used@nexgo.REMOVETHIS.de> ha
scritto:

> On 02/03/2025 17.31, Enrico Maria Chellini wrote:
> [...]
> >> Il mio parere è che preferisco fare a meno di ftp.
> >>  
> > mi serve per i vritualhost dei clienti
> > 
> > l'alternativa è dare accesso al pannello e caricar i file da web. ma
> > con accesso al pannello fai più danni che con ftp  
> 
> Ma scusa, qualcosa con "ssh" non si puo` fare?
> 
> bye,
> 

l'accesso in ssh è wrappato per motivi di sicurezza

[toc] | [prev] | [next] | [standalone]

#45387 — Re: proFTPD VS vsftpd & firewalld vs nftable

On 03/03/2025 08.51, Enrico Maria Chellini wrote:
[...]
> l'accesso in ssh è wrappato per motivi di sicurezza

E ftp e` piu` sicuro di ssh?
Mi sembra strano...

bye,

-- 

piergiorgio

[toc] | [prev] | [next] | [standalone]

#45388 — Re: proFTPD VS vsftpd & firewalld vs nftable

Il giorno Mon, 3 Mar 2025 18:46:13 +0100
Piergiorgio Sartor
<piergiorgio.sartor.this.should.not.be.used@nexgo.REMOVETHIS.de> ha
scritto:

> On 03/03/2025 08.51, Enrico Maria Chellini wrote:
> [...]
> > l'accesso in ssh è wrappato per motivi di sicurezza  
> 
> E ftp e` piu` sicuro di ssh?
> Mi sembra strano...

no ma ssh ci accedono solo gli ip indicati, ftp ci
accedono tutti tranne i bannati da firewall e fail2ban 

ftp accede alla sua home e fa danni nella sua home, dove comunque ho un
backup 

ssh  se entra può fare molti più danni su tutto il server

enrico 

[toc] | [prev] | [next] | [standalone]

#45389 — Re: proFTPD VS vsftpd & firewalld vs nftable

Il Mon, 3 Mar 2025 19:01:25 +0100, Enrico Maria Chellini wrote:


> ssh  se entra può fare molti più danni su tutto il server

Questo se gli dai la shell interattiva. In realtà puoi anche limitare 
l'utente al solo comando scp e un path specifico (ad esempio).
Questo per dovere di cronaca, poi ci possono essere tanti altri motivi per 
preferire ftp incluso il fatto che ci sono dei clienti da soddisfare.

[toc] | [prev] | [next] | [standalone]

#45390 — Re: proFTPD VS vsftpd & firewalld vs nftable

> Questo se gli dai la shell interattiva. In realtà puoi anche limitare 
> l'utente al solo comando scp e un path specifico (ad esempio).

devo capire se il pannello me lo consente agevolmente; altrimenti se
ogni volta che metto mano a un virtual server devo perdere tempo a
sistemare tutto a mano . 

comunque è una soluzione 

> Questo per dovere di cronaca, poi ci possono essere tanti altri
> motivi per preferire ftp incluso il fatto che ci sono dei clienti da
> soddisfare.
> 

anche.

Enrico 

[toc] | [prev] | [next] | [standalone]

#45392 — Re: proFTPD VS vsftpd & firewalld vs nftable

> Questo se gli dai la shell interattiva. In realtà puoi anche limitare 
> l'utente al solo comando scp e un path specifico (ad esempio).

Comunque sarebbe un filtro a livello di utente, ma l'accesso a ssh non
sarebbe più limitato a ip specifici 

[toc] | [prev] | [next] | [standalone]

#45393 — Re: proFTPD VS vsftpd & firewalld vs nftable

On Wed, 5 Mar 2025 09:15:40 +0100, Enrico Maria Chellini wrote:

>> Questo se gli dai la shell interattiva. In realtà puoi anche limitare
>> l'utente al solo comando scp e un path specifico (ad esempio).
> 
> Comunque sarebbe un filtro a livello di utente, ma l'accesso a ssh non
> sarebbe più limitato a ip specifici

Non ho compreso bene questa osservazione, ma forse non ho chiaro il tuo 
scenario.
Le limitazioni degli IP per me stanno da un'altra parte, cioè nel 
firewall.

[toc] | [prev] | [next] | [standalone]

#45394 — Re: proFTPD VS vsftpd & firewalld vs nftable

Il giorno Wed, 5 Mar 2025 09:47:37 -0000 (UTC)
sm <carotone@test.it> ha scritto:

> On Wed, 5 Mar 2025 09:15:40 +0100, Enrico Maria Chellini wrote:
> 
> >> Questo se gli dai la shell interattiva. In realtà puoi anche
> >> limitare l'utente al solo comando scp e un path specifico (ad
> >> esempio).  
> > 
> > Comunque sarebbe un filtro a livello di utente, ma l'accesso a ssh
> > non sarebbe più limitato a ip specifici  
> 
> Non ho compreso bene questa osservazione, ma forse non ho chiaro il
> tuo scenario.
> Le limitazioni degli IP per me stanno da un'altra parte, cioè nel 
> firewall.

no non solo:

/etc/hosts.allow

vsftpd:ALL
sendmail:ALL

sshd:SOLO.IP.DI.FIDUCIA.


/etc/hosts.deny
ALL:ALL EXCEPT httpd

[toc] | [prev] | [next] | [standalone]

#45395 — Re: proFTPD VS vsftpd & firewalld vs nftable

On Wed, 5 Mar 2025 10:57:42 +0100, Enrico Maria Chellini wrote:


>> >> Questo se gli dai la shell interattiva. In realtà puoi anche
>> >> limitare l'utente al solo comando scp e un path specifico (ad
>> >> esempio).
>> > 
>> > Comunque sarebbe un filtro a livello di utente, ma l'accesso a ssh
>> > non sarebbe più limitato a ip specifici
>> 
>> Non ho compreso bene questa osservazione, ma forse non ho chiaro il tuo
>> scenario.
>> Le limitazioni degli IP per me stanno da un'altra parte, cioè nel
>> firewall.
> 
> no non solo:
> 
> /etc/hosts.allow
> 
> vsftpd:ALL sendmail:ALL
> 
> sshd:SOLO.IP.DI.FIDUCIA.
> 
> 
> /etc/hosts.deny ALL:ALL EXCEPT httpd

Continuo a non capire il nesso, non hai detto una cosa tanto diversa da 
quella che ho detto io.

[toc] | [prev] | [next] | [standalone]

#45396 — Re: proFTPD VS vsftpd & firewalld vs nftable

Il giorno Wed, 5 Mar 2025 12:35:01 -0000 (UTC)
sm <carotone@test.it> ha scritto:

> On Wed, 5 Mar 2025 10:57:42 +0100, Enrico Maria Chellini wrote:
> 
> 
> >> >> Questo se gli dai la shell interattiva. In realtà puoi anche
> >> >> limitare l'utente al solo comando scp e un path specifico (ad
> >> >> esempio).  

qui limiti l'utente all'utilizzo della shell sshd 
ma in teoria da qualsiasi parte del mondo possono tentare di accedere
in sshd

> > 
> > no non solo:
> > 
> > /etc/hosts.allow
> > 
> > vsftpd:ALL sendmail:ALL
> > 
> > sshd:SOLO.IP.DI.FIDUCIA.
> > 
> > /etc/hosts.deny ALL:ALL EXCEPT httpd  


qui dice che tutto gli ip hanno accesso solo a ftp, http, sendmail

dicendo che SSHD shell o scp è disponibile solo per l'IP sicuro, ovvero
il tuo e quello di un altro paio di tenici che posso intervenire, il
resto del mondo no 

tutto il resto del mondo ha  ftp, http, sendmail

spero di essermi spiegato.

Enrico 

[toc] | [prev] | [next] | [standalone]

#45397 — Re: proFTPD VS vsftpd & firewalld vs nftable

On Wed, 5 Mar 2025 14:16:40 +0100, Enrico Maria Chellini wrote:


> dicendo che SSHD shell o scp è disponibile solo per l'IP sicuro, ovvero
> il tuo e quello di un altro paio di tenici che posso intervenire, il
> resto del mondo no

Okay, ora ho capito, stavi intendendo che essendo usato per accesso remoto 
amministrativo non vuoi aprire SSH al mondo. Ha senso anche se non 
condivido. A quel punto paranoia per paranoia chiudo del tutto SSH e creo 
una VPN tipo Wireguard da dare a chi deve fare gli interventi, perché 
limitare per IP chi potrebbe aver bisogno di intervenire in urgenza 
decisamente non mi sembra una buona idea.

[toc] | [prev] | [next] | [standalone]

#45398 — Re: proFTPD VS vsftpd & firewalld vs nftable

> Okay, ora ho capito, stavi intendendo che essendo usato per accesso
> remoto amministrativo non vuoi aprire SSH al mondo. Ha senso anche se
> non condivido. 

capisco 

>A quel punto paranoia per paranoia chiudo del tutto
> SSH e creo una VPN tipo Wireguard da dare a chi deve fare gli
> interventi, perché limitare per IP chi potrebbe aver bisogno di
> intervenire in urgenza decisamente non mi sembra una buona idea.

è una soluzione.

ma almeno che non dai un certificato da installare a una vpn ci accedi
comunque con login e password; poi comunque hai un servizio  in più da
installare configurare e mantenere.

poi se è un urgenza non è detto che dall'altra parte trovi uno che ha
installato la vpn, o sia disposto a installarla per pura evenienza che
magari non capiterà mai

tieni presente che in farm c'è chi da locale può accedere e modificare
gli ip ammessi e hai comunque nel pannello web che ti consente di
modificare il file.

Sono due soluzioni, sicuramente la mia è la più rustica.

[toc] | [prev] | [next] | [standalone]

#45399 — Re: proFTPD VS vsftpd & firewalld vs nftable

On Wed, 5 Mar 2025 15:33:02 +0100, Enrico Maria Chellini wrote:


> ma almeno che non dai un certificato da installare a una vpn ci accedi
> comunque con login e password; poi comunque hai un servizio  in più da
> installare configurare e mantenere.

Wireguard in realtà è estremamente semplice e si tratta di avere una 
coppia di chiavi pubblica e privata per ogni peer. 

> poi se è un urgenza non è detto che dall'altra parte trovi uno che ha
> installato la vpn, o sia disposto a installarla per pura evenienza che
> magari non capiterà mai

Cioè non capita mai di collegarsi? Ad ogni modo se la persona non è dietro 
all'ip autorizzato non può intervenire comunque. Poi perché non dovrebbe 
essere disposto? Non è chiedere la luna se per avere l'accesso 
amministratore si chiede di passare per una VPN.
 
> tieni presente che in farm c'è chi da locale può accedere e modificare
> gli ip ammessi e hai comunque nel pannello web che ti consente di
> modificare il file.

Ma vorrei ben vedere che si possa modificare da remoto, ci mancherebbe 
pure che serva l'accesso fisico alla macchina.
Il punto però è che per avere queste regole il requisito dei client è 
avere gli ip statici e questo mi pare un vincolo parecchio stringente. Per 
carità avrò un contesto sicuramente diverso ma per me non sarebbe 
accettabile.

[toc] | [prev] | [next] | [standalone]

Page 1 of 2  [1] 2  Next page →

Back to top | Article view | it.comp.os.linux.sys

csiph-web