![[HaBo]](/styles/default/logoklein.png){kind=small}
Hi
bei ssh verhält es sich ja so: Egal, ob der Nutzer das falsche Passwort angegeben hat, oder garkeine Berechtigung hat, die Fehlermeldung, das er keinen Zugriff bekommt, ist du gleiche. Ein Angreifer weiß nun nicht, ob es den Nutzer überhaupt gibt...müsste also Nutzer und PW erraten.
Wie ist es nun beim FTP? Ich selbst verwende vsftpd, der bringt bei JEDEM Nutzer, der nicht in der zugangsdatei eingetragen ist, ein "530 Permission denied",(BEVOR ER ÜBERHAUPT NACH EINEM PW FRAGT) egal ob es den Nutzer tatsächlich gibt, oder nicht.
Bei einem proFTPd, den ich grad auf Sicherheit teste, fragt er bei jedem Nutzer nach einem Passwort (so auch beim user "mysql", sogar beim user "root")
Kann ich davon ausgehen, das jeder existente Nutzer demnach auch ftp zugang hat? Das würde ja eine brute force attacke via ftp denkbar machen. Hat wer erfahrung mit dem proFTP?
bei ssh verhält es sich ja so: Egal, ob der Nutzer das falsche Passwort angegeben hat, oder garkeine Berechtigung hat, die Fehlermeldung, das er keinen Zugriff bekommt, ist du gleiche. Ein Angreifer weiß nun nicht, ob es den Nutzer überhaupt gibt...müsste also Nutzer und PW erraten.
Wie ist es nun beim FTP? Ich selbst verwende vsftpd, der bringt bei JEDEM Nutzer, der nicht in der zugangsdatei eingetragen ist, ein "530 Permission denied",(BEVOR ER ÜBERHAUPT NACH EINEM PW FRAGT) egal ob es den Nutzer tatsächlich gibt, oder nicht.
Bei einem proFTPd, den ich grad auf Sicherheit teste, fragt er bei jedem Nutzer nach einem Passwort (so auch beim user "mysql", sogar beim user "root")
Kann ich davon ausgehen, das jeder existente Nutzer demnach auch ftp zugang hat? Das würde ja eine brute force attacke via ftp denkbar machen. Hat wer erfahrung mit dem proFTP?
