ProFTPD - Как предполагается использовать опцию конфигурации IdentLookups?
Я только недавно стал достаточно раздражен задержкой FTP-соединения моего собственного выделенного сервера, чтобы искать причины задержки.
"Perpetrator" был опцией конфигурации IdentLookups. По умолчанию он включен, что вызывает заметную задержку при попытке подключения. При выключении соединения выполняются мгновенно.
Итак, мой вопрос: для чего предназначено использование отступов? Не только в контексте FTP-сервера, но в целом? Большинство брандмауэров блокируют идентификаторы, поэтому я не вижу смысла...
Может кто-нибудь просветить меня, пожалуйста?
2 ответа
ident Протокол используется для предоставления имени пользователя, связанного с TCP-соединением, в основном, когда многие пользователи используют один IP-адрес, например, общие хосты и т. д. В те дни это не очень распространено, поэтому для FTP я думаю, что его безопасно отключить. IRC все еще использует это много. Вы можете сказать, что это умирающий протокол, но эй, вы никогда не знаете.
Он работает, запрашивая пары портов TCP, как, например, ident клиент спрашивает port on server:port on client соединиться с ident сервер, который отвечает, кто является пользователем, ответственным за это соединение.
Специалистам по безопасности это не очень нравится, поэтому большинство брандмауэров тоже блокируют это, и я склонен с ними согласиться: с его помощью вы можете легко перечислить практически всех пользователей на ваших серверах.
RFC 1413 определяет время ожидания 60-180 секунд на сервере и минимальное время ожидания 30 секунд на стороне клиента, что может вызвать некоторые неприятные задержки.
С IdentLookups на proftpd попытается получить имя пользователя нового соединения, используя протокол идентификации RFC 1413. Задержка будет вызвана тем, что proftpd ожидает тайм-аут протокола идентификатора.