web-dev-qa-db-ja.com

ProFTPD-IdentLookups設定オプションの使用目的は何ですか?

私は最近、自分の専用サーバーのFTP接続の遅延に悩まされ、遅延の原因を探しに行きました。

「加害者」はIdentLookups構成オプションでした。デフォルトではオンになっているため、接続の試行に顕著な遅延が発生します。スイッチをオフにすると、接続は即座に行われます。

だから、私の質問は:インデントルックアップの使用目的は何ですか? FTPサーバーのコンテキストだけでなく、一般的には?ほとんどのファイアウォールはIDプローブをブロックするため、要点がわかりません...

誰かが私を教えてくれませんか?

1
mr.b

identプロトコルは、主に共有ホストなどの単一のIPアドレスを使用するユーザーが多い場合に、TCP接続に関連するユーザー名を提供するために使用されます。あまり一般的ではありません。当時、FTPの場合は無効にしても安全だと思います。IRCはまだ多く使用しています。死にかけているプロトコルしかしねえ、あなたは決して知りません。

identクライアントがport on server:port on clientペアをidentサーバーに要求し、その接続の責任者が誰であるかを応答するなど、tcpポートのペアのクエリを実行します。

セキュリティ担当者はこれをあまり好まないので、ほとんどのファイアウォールもこれをブロックします。私は彼らに同意する傾向があります。サーバー上のほぼすべてのユーザーがこれを使用して簡単に列挙できます。

RFC 141 は、サーバー時間で60〜180秒のタイムアウトウィンドウを定義し、クライアント側で30秒の最小待機時間を定義します。これにより、厄介な遅延が発生する可能性があります。

3
coredump

IdentLookups を使用すると、proftpdは RFC 141 identプロトコルを使用して新しい接続のユーザー名を取得しようとします。遅延は、proftpdがidentプロトコルのタイムアウトを待機することによって発生します。

1
user9517