13. März 2007, 22:00:26 *
Willkommen Gast. Bitte einloggen oder registrieren.
Haben Sie Ihre Aktivierungs E-Mail übersehen?

Einloggen mit Benutzername, Passwort und Sitzungslänge
News: SMF - Neu installiert!
   Übersicht   Hilfe Suche Login Registrieren  
Seiten: [1]   Nach unten
Autor Thema: Nach Update: User-Connects = OK, anonymous nicht  (Gelesen 314 mal)
0 Mitglieder und 1 Gast betrachten dieses Thema.
« am: 07. Januar 2005, 18:30:47 »


ich habe  endlich das lange fällige Update  auf 1.2.10 gemacht
(zuvor lief 1.2.2). Nach dem Anpassen/Migrieren der conf-Datei
funktioniert für die "normalen" User alles wie gewohnt, aber die
kastrierten User, die nur via anonymous reinkommen, können
nix mehr machen. Das Login klappt noch, aber dann ist schluss.
Das sieht dann so aus:

shell~ > ftp www.xxx.de
Connected to x.x.x.x
 # internal ftp service - abuse will be prosecuted
220 Sinclair ZX 81 FTP Engine (c)1979
Name: XXX
331 Password required for XXX.

230 Anonymous access granted, restrictions apply.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
501 EPSV: Operation not permitted
501 PASV: Operation not permitted
501 PORT: Operation not permitted
ftp: bind: Die Adresse wird bereits verwendet
ftp> bye
221 Goodbye.

Die zugehörige Anonymous-Sektion der .conf sieht so aus:

<Anonymous /home/websites/incoming/XXX>
 <Limit LOGIN>
  Order         Allow,Deny
  AllowUser     XXX
 ListOptions "-l"
 User                   XXX
 Group                  externe
 AnonRequirePassword    on
 AllowOverwrite                on

 <Limit ALL>

  AllowUser            XXX


Unter 1.2.2 ging es damit problemlos.
Das System ist Linux (SuSE, 2.4er kernel, keinerlei Warnungen
beim Kompilieren)

Ich habe den Syslog-Level auf "debug" gesetzt, dennoch taucht im
Log nur "Login successful" und "Session closed" auf. Alles was
dazwischen passiert, schlägt sich nciht im Log nieder.

Was läuft da schief?  

« Antwort #1 am: 07. Januar 2005, 18:33:10 »

Der Server läuft selbstverständlich als root, via inetd:
ftp    stream  tcp     nowait  root    /usr/sbin/tcpd  /opt/proftpd/sbin/proftpd
und auch in der .conf ist  der ServerType auf inetd gesetzt.
Offline Offline

Beiträge: 1602

Profil anzeigen WWW E-Mail
« Antwort #2 am: 07. Januar 2005, 18:50:15 »

Mal neu gestartet?
Ja? Dann mal Debug bitte: proftpd -nd9  (als standalone)

220 Sinclair ZX 81 FTP Engine (c)1979

Geil :lol:
Hatte mal 'nen ZX Spectrum  Cool

RedHat 8.0 (2.4er Kernel)
proftpd 1.2.10
« Antwort #3 am: 08. Januar 2005, 03:04:17 »


220 Sinclair ZX 81 FTP Engine (c)1979
Geil :lol:
Hatte mal 'nen ZX Spectrum  Cool

Schön, dass das nach 3 Jahren mal jemand würdigt ;-)
meine legitimen User haben nur GUI-Clients, so dass das
bislang nur neugierige Scriptkiddies zu sehen bekamen ...

Zitat von: "Wörsty"
Mal neu gestartet?
Ja? Dann mal Debug bitte: proftpd -nd9  (als standalone)

Also ich fürchte, das hilft nicht viel , die Ausgabe ist
m.E. ebenso nichtssagend wie das, was im Syslog trotz Level "debug"
landet ...  voila:

Für den Test habe ich den Server als root mit -nd9 gestartet
Musste ihn in der Config auf binden, da es ein
Produktionssystem ist. Beim Connect gabs das selbe Ergebnis:
Login klappt, danach nix. Habe ein "ls" und ein "mget *" gemacht,
in beiden Fällen gabs die bereits beschriebenen Fehlermeldungen.


www.xxx.de - FS: using system lstat()
www.xxx.de - ROOT PRIVS at main.c:1162
www.xxx.de - RELINQUISH PRIVS at main.c:1166
www.xxx.de - FS: using system lstat()
www.xxx.de ([]) - ROOT PRIVS at main.c:1011
www.xxx.de ([]) - SETUP PRIVS at main.c:1016
www.xxx.de ([]) - FTP session requested from unknown class
www.xxx.de ([]) - performing module session initializations
www.xxx.de ([]) - ROOT PRIVS at mod_auth.c:132
www.xxx.de ([]) - opening scoreboard '/var/run/proftpdx'
www.xxx.de - FS: using system lstat()
www.xxx.de ([]) - RELINQUISH PRIVS at mod_auth.c:134
www.xxx.de ([]) - ident lookup disabled
www.xxx.de ([]) - connected - local  :
www.xxx.de ([]) - connected - remote :
www.xxx.de ([]) - FS: using system open()
www.xxx.de ([]) - FS: using system read()
www.xxx.de ([]) - FS: using system read()
www.xxx.de ([]) - FS: using system close()
www.xxx.de ([]) - FTP session opened.

www.xxx.de ([]) - dispatching PRE_CMD command 'USER USERNAME' to
www.xxx.de ([]) - dispatching PRE_CMD command 'USER USERNAME' to
www.xxx.de ([]) - dispatching PRE_CMD command 'USER USERNAME' to
www.xxx.de ([]) - dispatching auth request "endpwent" to mo
dule mod_auth_file
www.xxx.de ([]) - dispatching auth request "endpwent" to mo
dule mod_auth_unix
www.xxx.de ([]) - dispatching auth request "endgrent" to mo
dule mod_auth_file
www.xxx.de ([]) - dispatching auth request "endgrent" to mo
dule mod_auth_unix
www.xxx.de ([]) - dispatching CMD command 'USER USERNAME' to mod
www.xxx.de ([]) - dispatching LOG_CMD command 'USER USERNAME' to
www.xxx.de ([]) - dispatching PRE_CMD command 'PASS (hidden
)' to mod_core
www.xxx.de ([]) - dispatching PRE_CMD command 'PASS (hidden
)' to mod_core
www.xxx.de ([]) - dispatching PRE_CMD command 'PASS (hidden
)' to mod_auth
www.xxx.de ([]) - dispatching auth request "endpwent" to mo
dule mod_auth_file
www.xxx.de ([]) - dispatching auth request "endpwent" to mo
dule mod_auth_unix
www.xxx.de ([]) - dispatching auth request "endgrent" to mo
dule mod_auth_file
www.xxx.de ([]) - dispatching auth request "endgrent" to mo
dule mod_auth_unix
www.xxx.de ([]) - dispatching CMD command 'PASS (hidden)' t
o mod_auth
www.xxx.de ([]) - dispatching auth request "getpwnam" to mo
dule mod_auth_file
www.xxx.de ([]) - dispatching auth request "getpwnam" to mo
dule mod_auth_unix
www.xxx.de ([]) - dispatching auth request "gid_name" to mo
dule mod_auth_file
www.xxx.de ([]) - dispatching auth request "gid_name" to mo
dule mod_auth_unix
www.xxx.de ([]) - dispatching auth request "getgroups" to m
odule mod_auth_file
www.xxx.de ([]) - dispatching auth request "getgroups" to m
odule mod_auth_unix
www.xxx.de ([]) - dispatching auth request "auth" to module
www.xxx.de ([]) - ROOT PRIVS at mod_auth_pam.c:258
www.xxx.de ([]) - RELINQUISH PRIVS at mod_auth_pam.c:416
www.xxx.de ([]) - dispatching auth request "setgrent" to mo
dule mod_auth_file
www.xxx.de ([]) - dispatching auth request "setgrent" to mo
dule mod_auth_unix
www.xxx.de ([]) - ROOT PRIVS at mod_auth.c:561
www.xxx.de ([]) - RELINQUISH PRIVS at mod_auth.c:563
www.xxx.de ([]) - ROOT PRIVS at mod_auth.c:1021
www.xxx.de ([]) - SETUP PRIVS at mod_auth.c:1036

www.xxx.de ([]) - ROOT PRIVS at mod_auth.c:1053
www.xxx.de ([]) - SETUP PRIVS at mod_auth.c:1068
www.xxx.de ([]) - dispatching auth request "getgrnam" to mo
dule mod_auth_file
www.xxx.de ([]) - dispatching auth request "getgrnam" to mo
dule mod_auth_unix
www.xxx.de ([]) -
[ ...
configfile parsing hier nicht wiedergegeben
... ]
www.xxx.de ([]) - CURRENT-CLIENTS
www.xxx.de ([]) - USER
www.xxx.de ([]) - ANON USERNAME: Login successful.
www.xxx.de ([]) - ROOT PRIVS at mod_auth.c:1193
www.xxx.de ([]) - opening TransferLog '/var/log/xferlogx'
www.xxx.de ([]) - RELINQUISH PRIVS at mod_auth.c:1222
www.xxx.de ([]) - dispatching auth request "setpwent" to mo
dule mod_auth_file
www.xxx.de ([]) - dispatching auth request "setpwent" to mo
dule mod_auth_unix
www.xxx.de ([]) - dispatching auth request "setgrent" to mo
dule mod_auth_file
www.xxx.de ([]) - dispatching auth request "setgrent" to mo
dule mod_auth_unix
www.xxx.de ([]) - dispatching auth request "getpwent" to mo
dule mod_auth_file
www.xxx.de ([]) - dispatching auth request "getpwent" to mo
dule mod_auth_unix
www.xxx.de ([]) - dispatching auth request "getgrent" to mo
dule mod_auth_file
www.xxx.de ([]) - dispatching auth request "getgrent" to mo
dule mod_auth_unix
www.xxx.de ([]) - Preparing to chroot() the environment, pa
th = '/home/websites/incoming/USERNAME'
www.xxx.de ([]) - ROOT PRIVS at mod_auth.c:62
www.xxx.de ([]) - FS: using system chroot()
www.xxx.de ([]) - RELINQUISH PRIVS at mod_auth.c:69
www.xxx.de ([]) - Environment successfully chroot()ed.
www.xxx.de ([]) - ROOT PRIVS at mod_auth.c:1265
www.xxx.de ([]) - SETUP PRIVS at mod_auth.c:1272
www.xxx.de ([]) - FS: using system chdir()
www.xxx.de ([]) - in dir_check_full(): path = '/', fullpath
 = '/home/websites/incoming/USERNAME/'.

www.xxx.de ([]) - dispatching POST_CMD command 'PASS (hidde
n)' to mod_cap
www.xxx.de ([]) - mod_cap/1.0: capabilities '= cap_net_bind
www.xxx.de ([]) - dispatching POST_CMD command 'PASS (hidde
n)' to mod_log
www.xxx.de ([]) - dispatching POST_CMD command 'PASS (hidde
n)' to mod_ls
www.xxx.de ([]) - dispatching POST_CMD command 'PASS (hidde
n)' to mod_auth
www.xxx.de ([]) - ROOT PRIVS: ID switching disabled
www.xxx.de ([]) - dispatching LOG_CMD command 'PASS (hidden
)' to mod_log
www.xxx.de ([]) - dispatching PRE_CMD command 'SYST' to mod
www.xxx.de ([]) - dispatching PRE_CMD command 'SYST' to mod
www.xxx.de ([]) - dispatching CMD command 'SYST' to mod_cor
www.xxx.de ([]) - dispatching LOG_CMD command 'SYST' to mod
www.xxx.de ([]) - dispatching PRE_CMD command 'TYPE I' to m
www.xxx.de ([]) - dispatching PRE_CMD command 'TYPE I' to m
www.xxx.de ([]) - dispatching CMD command 'TYPE I' to mod_x
www.xxx.de ([]) - dispatching LOG_CMD command 'TYPE I' to m
www.xxx.de ([]) - dispatching PRE_CMD command 'FEAT' to mod
www.xxx.de ([]) - dispatching PRE_CMD command 'FEAT' to mod
www.xxx.de ([]) - dispatching CMD command 'FEAT' to mod_cor
www.xxx.de ([]) - dispatching LOG_CMD command 'FEAT' to mod
www.xxx.de ([]) - dispatching PRE_CMD command 'PWD' to mod_
www.xxx.de ([]) - dispatching PRE_CMD command 'PWD' to mod_
www.xxx.de ([]) - dispatching CMD command 'PWD' to mod_core

www.xxx.de ([]) - dispatching LOG_CMD command 'PWD' to mod_
www.xxx.de ([]) - dispatching PRE_CMD command 'TYPE A' to m
www.xxx.de ([]) - dispatching PRE_CMD command 'TYPE A' to m
www.xxx.de ([]) - dispatching CMD command 'TYPE A' to mod_x
www.xxx.de ([]) - dispatching LOG_CMD command 'TYPE A' to m
www.xxx.de ([]) - dispatching PRE_CMD command 'EPSV' to mod
www.xxx.de ([]) - dispatching PRE_CMD command 'EPSV' to mod
www.xxx.de ([]) - dispatching CMD command 'EPSV' to mod_cor

www.xxx.de ([]) - dispatching LOG_CMD_ERR command 'EPSV' to
www.xxx.de ([]) - dispatching PRE_CMD command 'PASV' to mod
www.xxx.de ([]) - dispatching PRE_CMD command 'PASV' to mod
www.xxx.de ([]) - dispatching CMD command 'PASV' to mod_cor

www.xxx.de ([]) - dispatching LOG_CMD_ERR command 'PASV' to
www.xxx.de ([]) - dispatching PRE_CMD command 'PORT 127,0,0
,1,159,17' to mod_core
www.xxx.de ([]) - dispatching PRE_CMD command 'PORT 127,0,0
,1,159,17' to mod_core
www.xxx.de ([]) - dispatching CMD command 'PORT 127,0,0,1,1
59,17' to mod_core

www.xxx.de ([]) - dispatching LOG_CMD_ERR command 'PORT 127
,0,0,1,159,17' to mod_log
www.xxx.de - scrubbing scoreboard
www.xxx.de - ROOT PRIVS at mod_core.c:130
www.xxx.de - RELINQUISH PRIVS at mod_core.c:132
www.xxx.de - ROOT PRIVS at mod_core.c:160
www.xxx.de - RELINQUISH PRIVS at mod_core.c:189
www.xxx.de - FS: using system lstat()
www.xxx.de ([]) - dispatching PRE_CMD command 'PORT 127,0,0
,1,159,25' to mod_core
www.xxx.de ([]) - dispatching PRE_CMD command 'PORT 127,0,0
,1,159,25' to mod_core
www.xxx.de ([]) - dispatching CMD command 'PORT 127,0,0,1,1
59,25' to mod_core

www.xxx.de ([]) - dispatching LOG_CMD_ERR command 'PORT 127
,0,0,1,159,25' to mod_log
www.xxx.de ([]) - dispatching PRE_CMD command 'QUIT' to mod
www.xxx.de ([]) - dispatching PRE_CMD command 'QUIT' to mod
www.xxx.de ([]) - dispatching PRE_CMD command 'QUIT' to mod
www.xxx.de ([]) - dispatching CMD command 'QUIT' to mod_cor
www.xxx.de ([]) - ROOT PRIVS: ID switching disabled
www.xxx.de ([]) - ROOT PRIVS: ID switching disabled
www.xxx.de ([]) - dispatching auth request "endpwent" to mo
dule mod_auth_file
www.xxx.de ([]) - dispatching auth request "endpwent" to mo
dule mod_auth_unix
www.xxx.de ([]) - dispatching auth request "endgrent" to mo
dule mod_auth_file
www.xxx.de ([]) - dispatching auth request "endgrent" to mo
dule mod_auth_unix
www.xxx.de ([]) - FTP session closed.
www.xxx.de - FS: using system lstat()

Da es ja für die normalen User funktioniert, nehme ich an, dass
1.2.10 wesentlich strenger mit den "anonymous" USern umgeht.
Vielleicht droppt er zuviel privileges? Habe ihn testweise auf
Port 9999 lauschen lassen, um Port-Privilegien als Ursache

Wenn ich die "LIMIT ALL" und "LIMIT ....." anweisungen in der
Conf (siehe erstes Posting) komplett auskommentiere, dann funktioniert
alles. Schade nur, dass der Debugoutput keinerlei Hinweis enthält,
was ihm nun eigentlich nicht passt ...

Werde mal weiter mit den Limit-Direktiven herumspielen.

Offline Offline

Beiträge: 1853

Profil anzeigen WWW E-Mail
« Antwort #4 am: 08. Januar 2005, 10:57:30 »

1. Schuss ins Blaue:

Fuege mal "CapabilitiesEngine off" in den globalen Teil Deiner COnfig (Irgendwo oben rein)

2. Schuss ins Blaue

Exisitiert der User, den Du im anonymen Block angegen hast ?


www.stonki.de:    the more I see, the more I know.......
www.proftpd.de:   Deutsche ProFTPD Dokumentation
www.krename.net:  Der Batch Renamer für KDE
www.kbarcode.net: Die Barcode Solution für KDE
« Antwort #5 am: 09. Januar 2005, 00:55:25 »

Zitat von: "stonki"
1. Schuss ins Blaue:
Fuege mal "CapabilitiesEngine off" in den globalen Teil Deiner COnfig

Probiert, ohne Erfolg.

Zitat von: "stonki"

2. Schuss ins Blaue
Exisitiert der User, den Du im anonymen Block angegen hast ?

Klar doch (erstens klappt ja das Login auch mit 1.2.10, und zweitens
läuft die gleiche Konfiguration mit 1.2.2 problemlos.)

Ich lass es jetzt einfach dabei, die bislang gültigen Limits aufzuheben.
Da der Server zunächst via Firewall,  dann via tcpwrapper  geschützt
ist,   kann ich sicher (genug) sein, dass tatsächlich nur autorisierte
Benutzer reinkommen. Und im Fall des gezielten Missbrauchs oder Passwortklaus könnten sie auch mit den bisher erlaubten Kommandos
grossen Schaden anrichten.
Insofern gehe ich also kein grösseres Risiko als zuvor ein und
verzichte auf die "LIMIT"-Anweisungen, um mir weiteres Gefrickel zu

Danke trotzdem für Eure Vorschläge!

Offline Offline

Beiträge: 1602

Profil anzeigen WWW E-Mail
« Antwort #6 am: 09. Januar 2005, 01:08:36 »

Zitat von: "Gast_Heiner"
501 EPSV: Operation not permitted
501 PASV: Operation not permitted
501 PORT: Operation not permitted
ftp: bind: Die Adresse wird bereits verwendet

Irgendwas in deiner inetd.conf haut da nicht hin.
Steht da protocol type tcp6 oder tcp?


service ftp
# server_args =
socket_type = stream
protocol = tcp
wait = no
user = root
server = /usr/local/sbin/proftpd

RedHat 8.0 (2.4er Kernel)
proftpd 1.2.10
« Antwort #7 am: 09. Januar 2005, 19:21:29 »

Zitat von: "Wörsty"
Zitat von: "Gast_Heiner"
501 EPSV: Operation not permitted
501 PASV: Operation not permitted
501 PORT: Operation not permitted
ftp: bind: Die Adresse wird bereits verwendet

Irgendwas in deiner inetd.conf haut da nicht hin.
Steht da protocol type tcp6 oder tcp?

Nein, das kann es nicht sein, denn wie ich ja sagte, für die
"normalen" User funktioniert es. Und wenn ich die
Limits für den Anonymous-User auskommentiere, funktioniert
es für den auch. Es kann also nicht die allgemeine Netz- oder
Systemkonfiguration sein, sondern muss  an der Behandlung der Limits
für die anonymous user liegen.
Wie gesagt, ich lasse jetzt die Limits einfach weg. Damit ist dann
zwar nicht geklärt, was denn das Problem ist (da ja leider auch
keinerlei Debug-Output produziert wird), aber es funktioniert.

Der ursprüngliche Gedanke meiner Konfiguration, die ja mit 1.2.2
noch  funktionierte, war der, dass ich einige spezielle FTP-only-Benutzer
haben wollte, die nur eingeschränkte Rechte haben. Jetzt, ohne die
speziellen Limits,  haben sie halt einige Rechte mehr, unterliegen aber trotzdem noch den Einschränkungen der Anonymous-Benutzergruppe, und
das genügt mir erstmal. Deshalb lasse ich das jetzt so.

Offline Offline

Beiträge: 1602

Profil anzeigen WWW E-Mail
« Antwort #8 am: 09. Januar 2005, 19:25:35 »

Hätte mich trotzdem interessiert, was da steht :oops:

RedHat 8.0 (2.4er Kernel)
proftpd 1.2.10
« Antwort #9 am: 10. Januar 2005, 15:59:53 »

Zitat von: "Wörsty"
Hätte mich trotzdem interessiert, was da steht :oops:

Also, wenn Du es wirklich wissen willst:
es steht ganz oben im zweiten Posting
 Cool  OK, der Thread ist lang ... hier nochmal:

ftp stream tcp nowait root /usr/sbin/tcpd /opt/proftpd/sbin/proftpd

Bei meinen Debug-Tests habe ich ihn aber standalone laufenlassen,
mit gleichem Ergebnis.
Offline Offline

Beiträge: 1602

Profil anzeigen WWW E-Mail
« Antwort #10 am: 10. Januar 2005, 17:09:34 »

Stimmt.  :shock: Scheiße  :lol:

Naja. Keine Ahnung.

Bis denn  Cool

RedHat 8.0 (2.4er Kernel)
proftpd 1.2.10
« Antwort #11 am: 18. September 2005, 11:34:33 »

Zitat von: "Wörsty"
Zitat von: "Gast_Heiner"
501 EPSV: Operation not permitted
501 PASV: Operation not permitted
501 PORT: Operation not permitted
ftp: bind: Die Adresse wird bereits verwendet

Irgendwas in deiner inetd.conf haut da nicht hin.
Steht da protocol type tcp6 oder tcp?


service ftp
# server_args =
socket_type = stream
protocol = tcp
wait = no
user = root
server = /usr/local/sbin/proftpd
Seiten: [1]   Nach oben
Gehe zu:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.2 | SMF © 2006-2007, Simple Machines LLC Prüfe XHTML 1.0 Prüfe CSS
Seite erstellt in 0.076 Sekunden mit 18 Zugriffen.