ProFTPD-IdentLookups設定オプションの使用目的は何ですか?
私は最近、自分の専用サーバーのFTP接続の遅延に悩まされ、遅延の原因を探しに行きました。
「加害者」はIdentLookups構成オプションでした。デフォルトではオンになっているため、接続の試行に顕著な遅延が発生します。スイッチをオフにすると、接続は即座に行われます。
だから、私の質問は:インデントルックアップの使用目的は何ですか? FTPサーバーのコンテキストだけでなく、一般的には?ほとんどのファイアウォールはIDプローブをブロックするため、要点がわかりません...
誰かが私を教えてくれませんか?
identプロトコルは、主に共有ホストなどの単一のIPアドレスを使用するユーザーが多い場合に、TCP接続に関連するユーザー名を提供するために使用されます。あまり一般的ではありません。当時、FTPの場合は無効にしても安全だと思います。IRCはまだ多く使用しています。死にかけているプロトコルしかしねえ、あなたは決して知りません。
identクライアントがport on server:port on clientペアをidentサーバーに要求し、その接続の責任者が誰であるかを応答するなど、tcpポートのペアのクエリを実行します。
セキュリティ担当者はこれをあまり好まないので、ほとんどのファイアウォールもこれをブロックします。私は彼らに同意する傾向があります。サーバー上のほぼすべてのユーザーがこれを使用して簡単に列挙できます。
RFC 141 は、サーバー時間で60〜180秒のタイムアウトウィンドウを定義し、クライアント側で30秒の最小待機時間を定義します。これにより、厄介な遅延が発生する可能性があります。
IdentLookups を使用すると、proftpdは RFC 141 identプロトコルを使用して新しい接続のユーザー名を取得しようとします。遅延は、proftpdがidentプロトコルのタイムアウトを待機することによって発生します。