Portál AbcLinuxu, 26. dubna 2024 23:43


Nástroje: Začni sledovat (2) ?Zašle upozornění na váš email při vložení nového komentáře.

Vložit další komentář
GandY avatar 9.7.2008 09:00 GandY | skóre: 3 | blog: Zo života | Bratislava
Rozbalit Rozbalit vše Re: Pure-FTPd s virtuálními uživateli v PosgreSQL
Odpovědět | Sbalit | Link | Blokovat | Admin
Ako je to s ochranou pred SQL injection?
môj fotoblog
9.7.2008 09:43 vrx
Rozbalit Rozbalit vše Re: Pure-FTPd s virtuálními uživateli v PosgreSQL
Prepáč, ale to si napisal len preto aby tu niečo bolo? Čo má spoločné ftp server a SQL injection? O SQL injection by si mohol hovoriť len vtedy ak si vytvoríš (alebo nájdeš) nejaký webový frontend, kde sa pripájaš k db a používaš dotazy na získanie informácii a ich zadávanie do DB.
GandY avatar 9.7.2008 10:04 GandY | skóre: 3 | blog: Zo života | Bratislava
Rozbalit Rozbalit vše Re: Pure-FTPd s virtuálními uživateli v PosgreSQL
No podľa mňa SQL injection hrozí všade tam, kde vkladáš do SQL príkazu neošetrené data. Čo mi bráni, pri prihlásení sa cez FTP, zadať používateľské meno v tvare 
'; drop table users;
(brať iba ako príklad, s pg nemám žiadne skúsenosti). Odporúčam prečítať si minimálne definíciu na wikipedii.
môj fotoblog
9.7.2008 11:41 vrx
Rozbalit Rozbalit vše Re: Pure-FTPd s virtuálními uživateli v PosgreSQL
Môžeš mi prosím ťa vysvetliť kde je možné vložiť sql dotaz pri prihlasovaní na FTP??? Veď tie dotazy sú v konfiguračnom súbore, do ktorého (ak je zabezpečený komp) sa nikdo nedostane a ak by sa aj dostal tak nebude sa snažiť zmazať tabuľku keď má ku nej prístupové login a heslo aj keď len na čítanie(podľa článku), alebo sa posnaží získať heslo root-a a nie vkladať do konfigurákov také veci.

Pozn.: Rôzne frontendy vynechávam tam už ide o php, resp. inú technológiu, cez ktorú sú sql injection aktuálnejšie.
9.7.2008 12:03 Messa | skóre: 39 | blog: Messa
Rozbalit Rozbalit vše Re: Pure-FTPd s virtuálními uživateli v PosgreSQL
A co myslíš, že se asi děje s loginem, kterým se přihlašuješ? Vkládá se do SQL dotazu. Takže teoretická šance pro SQL injection tu je. Nicméně pochybuji, že někdo, kdo dokáže implementovat FTP server (nebo modul do něj) nedokáže SQL injection ošetřit, takže tipuji, že je to bezpečné :-)

Jestli si myslíš, že SQL injection se týká jen webu, tak aby ses někdy krutě nedivil... Myslíš si snad, že když zrovna nepíšeš web, tak žádné ošetřování dat dělat nemusíš? (Samozřejmě to záleží na použité klientské knihovně, pokud se SQL příkaz sestavuje funkcí ve stylu printf nebo se používají parametrizované dotazy, pak musí být umění to udělat špatně.)
GandY avatar 9.7.2008 15:42 GandY | skóre: 3 | blog: Zo života | Bratislava
Rozbalit Rozbalit vše Re: Pure-FTPd s virtuálními uživateli v PosgreSQL
No to je to čo ma zaujíma, či je to ošetrené na úrovni toho ftp servera (premenná /L prechádza cez nejaké filtre), alebo na úrovni práv pri prihlasovaní sa do DB (nastavené iba čítanie a tým pádom odstránené problémy s DML a DDL). Bolo by fajn, keby to autor článku preveril.
môj fotoblog
9.7.2008 15:12 jahoda
Rozbalit Rozbalit vše Re: Pure-FTPd s virtuálními uživateli v PosgreSQL
a ty si nam odkial spadol?
xkucf03 avatar 10.7.2008 16:58 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Pure-FTPd s virtuálními uživateli v PosgreSQL
SELECT password FROM users WHERE username='\L' AND active='true'
SQL injekce není jen záležitostí webu - týká se každého softwaru, který má nějaké vstupy od uživatele a ty se dostávají do SQL dotazů. Docela bych se divil, kdyby v tomto FTP serveru možnost SQL injekce nebyla ošetřená - to by byl hodně velký amatérismus, ale i to se stává.

Parametry dotazů se zásadně mají předávat jako parametry, nikoli slepovat SQL příkaz jako kousky textu!
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
Milan Vít avatar 9.7.2008 09:32 Milan Vít | skóre: 23 | blog: about:linux | Orlová
Rozbalit Rozbalit vše Re: Pure-FTPd s virtuálními uživateli v PosgreSQL
Odpovědět | Sbalit | Link | Blokovat | Admin
S trochou nadsázky nebo trochou úprav? :-) Možná je na mě moc brzo ráno a ještě mi to nemyslí, ale domnívám se, že každé znamená něco trochu jiného :-)
„There is no dark side of the Moon really… as a matter of fact it's all dark.“
9.7.2008 10:04 Robert Krátký | skóre: 94 | blog: Robertův bloček
Rozbalit Rozbalit vše Re: Pure-FTPd s virtuálními uživateli v PosgreSQL
Pravda :-)
9.7.2008 12:57 xxxx
Rozbalit Rozbalit vše ftp2sql
Odpovědět | Sbalit | Link | Blokovat | Admin
existuje nejaky ftp server, ktery by mel vsecko virtualni a vse tahal jen z databaze? napr. soubory by byly ulozeny jen jako bloby v databazi, proste zadna vazba na filesystem.
Věroš avatar 9.7.2008 15:24 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
Rozbalit Rozbalit vše Re: ftp2sql
Existují knihovny pro implementaci FTP serveru do každého slušného jazyka, takže by to neměl být velký problém napsat. Otázka spíš zní, proč by to někdo dělal, bo režie databáze bude nemalá...
Školím Ansible
9.7.2008 20:37 Kvakor
Rozbalit Rozbalit vše Re: ftp2sql
Mozna by to slo pomoci FUSE, pro ktere existuji implementace souborovych systemu, co jedou ciste z databaze, viz Database File Systems.
10.7.2008 11:13 bluemoon
Rozbalit Rozbalit vše Re: ftp2sql
na svym webu jsem popsal virtualni pristup jak na ftp, tak mail, dns, jabber, jde i prihlasovani do htaccess atd. ve skutecnosti jde cokoli, co podporuji PAM knihovny, ty jsou jak pro mysql, tak pro pgsql ci ldap.
10.7.2008 11:17 bluemoon
Rozbalit Rozbalit vše Re: ftp2sql
toto bych ti jinak nedoporucoval, nebot by ti databaze snadno zabirala na disku vic mista nez ve skutecnosti a po vetsich uploadech bys v tom mel snadno bordel. pochopil jsem vsechna prihlasovani z databaze, tak mne omluvte.
stybla avatar 9.7.2008 19:18 stybla | skóre: 29 | Praha
Rozbalit Rozbalit vše chybka v textu
Odpovědět | Sbalit | Link | Blokovat | Admin
Užitečná fuUnkce na veřejných FTP
muze to nektery z adminu opravit? *pls*
Luboš Doležel (Doli) avatar 9.7.2008 19:32 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: chybka v textu
Hotovo, díky,
9.7.2008 20:02 Aldagautr | skóre: 20
Rozbalit Rozbalit vše Re: chybka v textu
rovnez PostgreSQL v nadpisu, jestli to jeste jde
o svobodu prichazi nejsnaze ten, kdo o ni nikdy nebojoval
Luboš Doležel (Doli) avatar 9.7.2008 21:54 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: chybka v textu
Hotovo.
9.7.2008 23:05 Robert Krátký | skóre: 94 | blog: Robertův bloček
Rozbalit Rozbalit vše Re: chybka v textu
Tak to se opravdu nepovedlo... sorry.
Dragon Jake avatar 9.7.2008 19:54 Dragon Jake | blog: Drakův zápisník | Praha
Rozbalit Rozbalit vše Re: Pure-FTPd s virtuálními uživateli v PosgreSQL
Odpovědět | Sbalit | Link | Blokovat | Admin
Pěkný a hezky vysvětlený článek pro začátečníky. Dovolím si ale přidat odkaz na malinký patch, který jsem kdysi v zápalu zuřivosti nad tím, proč nemůžu pure-ftpd přizpůsobit všem svým potřebám, spatlal :) Je sice dělaný pro MySQL, ale věřím, že pro PgSQL by se jednalo o podobnou úpravu. Takže tedy patch umožňující vykonání více SQL dotazů oddělených středníkem v konfiguračním souboru ;)
xkucf03 avatar 10.7.2008 17:08 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Pure-FTPd s virtuálními uživateli v PostgreSQL
Odpovědět | Sbalit | Link | Blokovat | Admin
Hezký článek, chválím i výběr SŘBD :-) Ale pro praktické použití bych příště uvítal i obdobný postup pro SFTP, přecejen význam FTP je dneska spíš jen pro nechráněný anonymní přístup.
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
17.7.2008 14:54 Richard Kotal
Rozbalit Rozbalit vše Pure-FTPd problém s velkými soubory
Odpovědět | Sbalit | Link | Blokovat | Admin
Dobrý den,

z podobných důvodů jsem začal používat pure-ftpd.

Bohužel jsem ale narazil na jeden problém a do je práce s velmi velkými soubory (download, upload) a to přes 2GB. Jedná se o to, že při stahování nebo ukládání takových souborů přes internet a na dosti rychlé lince se spojení ukončí, aniž by došlo k dokončení akce. Na lokální síti, kde se soubory stahují rychle problém není. Napadlo mě, že může být problém v nějakých timeoutech, ale ať ho nastavím, jak chci (i několik dnů) problém přetrvává.

Zatím jsem to obešel tím, že server je spuštěn přes xinetd. V tom případě se soubor nahraje/stáhne. Akorát po dokončení se už nedá se serverem pracovat, klient se musí násilím ukončit a spustit znova a znova přihlásit.

Pokud někdo máte nějaký nápad, byl bych rád.

Děkuji
13.8.2008 15:36 king_2
Rozbalit Rozbalit vše Re: Pure-FTPd s virtuálními uživateli v PostgreSQL
Odpovědět | Sbalit | Link | Blokovat | Admin
Ahoj, nainstaloval jsem si ten to ftp server, ale s tim rozdilem ze bych to chtel provozovat s mysql(veskera nastaveni jsem udelal tak ze jsem prepsal postgreSQl na mysql). vse jsem nastavil podle postupu, ale na server se nepripojim.
Zdeněk Zámečník avatar 22.9.2008 20:36 Zdeněk Zámečník | skóre: 26
Rozbalit Rozbalit vše Re: Pure-FTPd s virtuálními uživateli v PostgreSQL
A jak se to konkrétně chová? Děje se něco zajímavého v logu nebo nějaká chybová hláška už při spouštění? Pokud ano, hoď to sem.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.