Proftpd ohne Anonymous aber mit Authentifizierung

[olszynski]

Hallo,

ich versuche nun seit ungefähr 1ner Woche ProftpD zum laufen zu bringen. Nun werde ich mir die Peinlichkeit nicht ersparen können und muss mal jemand fragen:

Nun mal der Ist Zustand:
unix-gruppe: "ftpusers" mit usern "test", "ftp" ist angelegt

verzeichnis "/home/ftp/upload" und "/home/ftp/mp3" existiert

in "/home/ftp/upload" soll jeder aus der gruppe ftpusers sachen hochladen lesen und ändern dürfen

in der gruppe "home/ftp/mp3" sollen reine leserechte vorhanden sein.

die authentifizierung sollte über die linux-passwörter erfolgen.

es soll kein anonymous erlaubt werden.

die obigen user haben zur sicherheit die bash auf /bin/false

wie würde eine beispeil-konfigurationsdatei hier aussehen. ich finde nur welche für anonymous und selber packe ich es nicht.

danke!

[olszynski]

Code:

# This is a basic ProFTPD configuration file (rename it to
# 'proftpd.conf' for actual use.  It establishes a single server
# and a single anonymous login.  It assumes that you have a user/group
# "nobody" and "ftp" for normal operation and anon.

ServerName "Debian"
ServerType standalone
DeferWelcome off

ShowSymlinks on
MultilineRFC2228 on
DefaultServer on
AllowOverwrite on


TimeoutNoTransfer 600
TimeoutStalled 600
TimeoutIdle 1200

DisplayLogin welcome.msg
DisplayFirstChdir               .message
LsDefaultOptions                "-l"

DenyFilter \*.*/

# Uncomment this if you are using NIS or LDAP to retrieve passwords:
#PersistentPasswd off

# Port 21 is the standard FTP port.
Port 21

# To prevent DoS attacks, set the maximum number of child processes
# to 30.  If you need to allow more than 30 concurrent connections
# at once, simply increase this value.  Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd)
MaxInstances 30

# Set the user and group that the server normally runs at.
User nobody
Group nogroup

<Global>
DefaultRoot /home/ftp
AllowRetrieveRestart on
DefaultChdir /home/ftp
Group ftpusers
DeleteAbortedStores off
HiddenStor off
RequireValidShell off
<Limit LOGIN>
AllowGroup ftpusers
DenyAll
</Limit>


        <Limit WRITE>
           DenyAll
        </Limit>
<Directory /home/ftp>
  <Limit READ CWD>
    AllowAll
  </Limit>
  <Limit STOR WRITE>
    DenyAll
  </Limit>
</Directory>
<Directory /home/ftp/mp3>
  <Limit READ CWD>
    AllowAll
  </Limit>
  <Limit STOR WRITE>
    DenyAll
  </Limit>
</Directory>
<Directory /home/ftp/upload>
  <Limit READ CWD STOR WRITE MKDIR RMDIR>
    AllowAll
  </Limit>
</Directory>
</Global>

[stonki]

Wir machen das mal einfach:

Code:

# This is a basic ProFTPD configuration file (rename it to
# 'proftpd.conf' for actual use.  It establishes a single server
# and a single anonymous login.  It assumes that you have a user/group
# "nobody" and "ftp" for normal operation and anon.

ServerName "Debian"
ServerType standalone
DeferWelcome off

ShowSymlinks on
MultilineRFC2228 on
DefaultServer on
AllowOverwrite on


TimeoutNoTransfer 600
TimeoutStalled 600
TimeoutIdle 1200

DisplayLogin welcome.msg
DisplayFirstChdir               .message
LsDefaultOptions                "-l"

DenyFilter \*.*/

# Uncomment this if you are using NIS or LDAP to retrieve passwords:
#PersistentPasswd off

# Port 21 is the standard FTP port.
Port 21

MaxInstances 30

# Set the user and group that the server normally runs at.
User nobody
Group nogroup

<Global>
DefaultRoot /home/ftp
AllowRetrieveRestart on
RequireValidShell off
<Limit LOGIN>
AllowGroup ftpusers
DenyAll
</Limit>

<Directory /home/ftp/mp3/>
  <Limit WRITE>
    DenyAll
  </Limit>
</Directory>

Das ist vom ansatz her nicht 100% richtig, denn im Idealfall würde man erst alles verbieten und dann wieder selektiv freigeben, während ich nun hier (schlampig, schlampig) nur die Rechte limitiere, aber Deine Config ist ja noch übersichtlich.

[olszynski]

Vielen Dank!

Gesagt - getan - jetzt wird aber kein passwort überprüft.
sprich ich kann mich nur mit usern aus der ftpusers-Gruppe anmelden, jedoch wird deren passwort einfach ignoriert. Egal ob richtig oder falsch eingegeben.

Ideen?

Danke + Grüsse Michael

[stonki]

Vielen Dank!

Gesagt - getan - jetzt wird aber kein passwort überprüft.
sprich ich kann mich nur mit usern aus der ftpusers-Gruppe anmelden, jedoch wird deren passwort einfach ignoriert. Egal ob richtig oder falsch eingegeben.

Ideen?

Danke + Grüsse Michael

wie ? Du kannst Dich einloggen mit dem usernamen "test" und dem Password "Stonkiweissdochnix" und trotzdem bist Du eingeloggt ? Das glaube ich nicht...

cu
stonki

[olszynski]

Hallo stonki,

vielen Dank für deine Hilfe. Ich habe den daemon wohl irgendwie falsch restartet. Jetzt klappt alles wie gewünscht.

Nun habe ich noch 3 Fragen diesbezüglich und hoffe, dass du mir hier als Profi noch helfen kannst.

1. Mit deiner config kann man in /home/ftp uppen. Wie kann ich das verbieten?

2. Wenn ich jetzt noch zu /home/ftp/mp3 und /home/ftp/upload einen Folder freigeben möchte der /home/ftp/programming  (readonly)und /home/ftp/pictures (readonly) heisst. Wie würde das dann aussehen?

3. Was war an meiner config denn der Denkfehler. Mit diese config konnt sich nämlich der user test mit einem beliebigen Passwort einloggen. (Ich würde die Sache ja auch gerne verstehen)

Vielen Dank für deine Unterstüzung!

Grüsse Michael

[stonki]

1. Mit deiner config kann man in /home/ftp uppen. Wie kann ich das verbieten?

naja, dann machen wir mal die Limit Bloecke richtig:

<Directory /home/ftp/>
  <Limit WRITE>
    DenyAll
  </Limit>
</Directory>

<Directory /home/ftp/upload>
  <Limit WRITE>
    AllowAll
  </Limit>
</Directory>

2. Wenn ich jetzt noch zu /home/ftp/mp3 und /home/ftp/upload einen Folder freigeben möchte der /home/ftp/programming  (readonly)und /home/ftp/pictures (readonly) heisst. Wie würde das dann aussehen?

sollte mit den obigen Limits bereits erschlagen sein, da ja SCHREIBEN vollstaendig verboten wird  und dann nur fuer "uploads" nochmal freigeschaltet wird.

3. Was war an meiner config denn der Denkfehler. Mit diese config konnt sich nämlich der user test mit einem beliebigen Passwort einloggen. (Ich würde die Sache ja auch gerne verstehen)

keiner, ich denke Du wirst den irgendwie nicht richtig gestartet haben.

[olszynski]

Zitat:

3. Was war an meiner config denn der Denkfehler. Mit diese config konnt sich nämlich der user test mit einem beliebigen Passwort einloggen. (Ich würde die Sache ja auch gerne verstehen)
 


keiner, ich denke Du wirst den irgendwie nicht richtig gestartet haben.

--> Das ist mir wohl auch schon gerade wieder passiert. Jetzt kann gerade wieder jeder test sowie ftp mit beliebigen passwort einloggen. kann ich das irgendwie "debuggen" oder loggen und sehen wieso das mit falschen passwort auch geht?

Danke + Grüsse Michael

(P.S. Ich restarte immer mit Webmin/Debian Woody - da ist der Status auf "testing" und nicht "stable" ggf. liegt es daran.)

P.P.S. Wenn ich /etc/init.d/proftpd restart mache dann klappt es. Scheint ggf. wirklich ein bug im webmin-proftpd zu sein. Damit hätte dich dann auch erklärt, wieso ich hier soviel Zeit verschwendet hätte.