Pure-ftp - Linux et OS Alternatifs
Marsh Posté le 19-10-2001 à 23:28:30
The peux retirer la banniere en le compilant avec --without-banner (quand tu fais le ./configure) .
Cela dit, cacher un soft et un numero de version est a mon avis la facon la plus debile de securiser quelque chose :
1) Si une faille de secu est trouvee sur une categorie de logiciels, les mechants pas beaux vont essayer l'exploit sur tous les serveurs du genre. Ils se tapent de ce qu'affichent la banniere. Code red & co n'ont pas pris le soin de tester si c'etait bien un IIS avant d'envoyer leur sauce. Les scanners de secu automatiques (genre Nessus) fonctionnent eux aussi en tentant des exploits, indiferemment de ce qu'affiche les bannieres.
2) Tous les softs ont leurs particularites. Par exemple il est tres simple de differencier un apache d'un iis parce qu'apache supporte certaines extensions du protocole http qu'iis ne supporte pas, ou implemente differemment. Pour le ftp, regarde ftpmap ( http://www.jedi.claranet.fr ), qui te donne le nom et la version d'un serveur ftp, meme si tu as completement change les bannieres de partout.
3) en cachant le nom d'un soft, le soft sera moins connu, donc aura moins d'utilisateurs, donc moins de bugs seront trouves, donc moins de bugs seront corriges, donc le soft va rester une merde toute sa vie Regarde par exemple StupidFTPd (oui oui ca existe, c'est sur sourceforge) . Un tout petit serveur ftp qui fonctionne pas mal, mais quasiment inconnu. Il est bourre de trous de secu de partout qui n'ont jamais ete corriges. Parce qu'il est tres peu connu, donc personne ne va regarder le code pour signaler les bugs a l'auteur. Pureftpd a un peu plus d'utilisateurs, donc du coup il y a des mecs qui vont jusqu'a corriger la mise en forme des commentaires dans le source, ou verifier que les accents n'ont pas ete oublies dans les messages et qu'il n'y ait pas d'espaces avant une ponctuation. La banniere y est pour quelque chose. On n'aurait sans doute jamais entendu parler de wuftpd, proftpd ou pureftpd sans leur banniere.
Marsh Posté le 20-10-2001 à 15:29:05
ok...
Merci beaucoup pour ta reponse, et aussi pour les commentaires qui suivaient... Je suis d'ailleurs tout a fait d'accord avec toi dans tout ce que tu me racontes... Mon but premier n'etait pas de ne pas afficher toutes les infos sur le serveur, j'ai du mal m'exprimer, mais simplement de les modifier ( les traduire en francais par exemple, changer la mise en forme...etc...) Je ne tenais en aucun cas a effacer le serveur FTP que j'utilisais...
Enfin bref... merci encore pour ta reponse !
a+ !
Marsh Posté le 20-10-2001 à 18:56:17
Pour avoir tous les messages en francais (y compris la banniere) il suffit de le configure avec --with-language=french .
Par contre pour changer la mise en forme, il faut modifier le source... (c'est dans src/ftpd.c) .
La version 1.0.0 qui sort jeudi aura des packages RPM, Debian, Slack et Stampede dans toutes les langues.
Marsh Posté le 21-10-2001 à 15:39:13
axey a écrit a écrit : La version 1.0.0 qui sort jeudi aura des packages RPM, Debian, Slack et Stampede dans toutes les langues. |
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Marsh Posté le 21-10-2001 à 21:31:26
Stampede Linux :
http://www.stampede.org
Bonne distro.
Les packages .slp c'est pour elle...
Marsh Posté le 19-10-2001 à 21:46:57
Bonsoir,
J'ai configuré un serveur FTP chez moi grace a pure-ftp, mais je ne trouve pas comment on change le message d'acceuil " Welcome to Pure FTP 0.99.2a, no anonymous login, ...etc..." Avec un .banner, on peut ajouter un message d'entree, mais j'aimerais n'afficher que certains renseignements, et ne pas faire apparaitre, par exemple, quel serveur FTP j'utilise, et quelle version, etc... Ou puis-je changer ca ?
Merci !