Login incorrect 530, werde aus log nicht schlau

[bejay]

Hallo,
ich habe eine Debian Sarge mit einer DynDns hinter einem Router. Mein User "is4sale" hat im Moment sbin/false. Ich habe ihm probeweise eine Shell gegeben und dort konnte er sich mit seinem PW anmelden. Ich habe die einfache conf   ala FAQ und erhalte folgendes Logfile:

Code:

orimail:/var/log# vi proftpd.debug.log
Aug 02 15:56:48 orimail proftpd[1055] localhost.localdomain (dialin-145-254-126-
204.pools.arcor-ip.net[145.254.126.204]): performing ident lookup
Aug 02 15:56:48 orimail proftpd[1055] localhost.localdomain (dialin-145-254-126-
204.pools.arcor-ip.net[145.254.126.204]): ident connection failed: Connection re
fused
Aug 02 15:56:48 orimail proftpd[1055] localhost.localdomain (dialin-145-254-126-
204.pools.arcor-ip.net[145.254.126.204]): ident lookup returned 'UNKNOWN'
Aug 02 15:56:48 orimail proftpd[1055] localhost.localdomain (dialin-145-254-126-
204.pools.arcor-ip.net[145.254.126.204]): connected - local  : 192.168.1.34:21
Aug 02 15:56:48 orimail proftpd[1055] localhost.localdomain (dialin-145-254-126-
204.pools.arcor-ip.net[145.254.126.204]): connected - remote : 145.254.126.204:2
414
Aug 02 15:56:48 orimail proftpd[1055] localhost.localdomain (dialin-145-254-126-
204.pools.arcor-ip.net[145.254.126.204]): FTP session opened.
Aug 02 15:56:48 orimail proftpd[1055] localhost.localdomain (dialin-145-254-126-
204.pools.arcor-ip.net[145.254.126.204]): dispatching PRE_CMD command 'USER is4s
ale' to mod_rewrite
Aug 02 15:56:48 orimail proftpd[1055] localhost.localdomain (dialin-145-254-126-
204.pools.arcor-ip.net[145.254.126.204]): dispatching PRE_CMD command 'USER is4s
ale' to mod_tls
Aug 02 15:56:48 orimail proftpd[1055] localhost.localdomain (dialin-145-254-126-
204.pools.arcor-ip.net[145.254.126.204]): dispatching PRE_CMD command 'USER is4s
ale' to mod_core

Tipps ?

Gruss Bejay

[VolGas]

Hallo,

füge doch einmal Deiner proftpd.conf folgendes hinzu:

UseReverseDNS off
IdentLookups off
RequireValidShell off

Das beschleunigt nicht nur den Login-Prozess, sondern verhindert
schon im Vorfeld einige möglich werdene Schwierigkeiten.

mfg.
  VolGas

[bejay]

Hallo,
hat leider auch nicht mehr gebracht. Ich habe das Debian mit manueller Paketauswahl online aufgesetzt, Apache 1.3 und Proftpd als deb Paket. Pam ist da irgendwie standardmäßig dabei, zumindest gib es in pam.d eine proftpd:

Code:

#%PAM-1.0
auth       required     pam_listfile.so item=user sense=deny file=/etc/ftpusers
onerr=succeed
@include common-auth

# This is disabled because anonymous logins will fail otherwise,
# unless you give the 'ftp' user a valid shell, or /bin/false and add
# /bin/false to /etc/shells.
#auth       required    pam_shells.so

@include common-account
@include common-session

Hier auch mal meine derzeitige proftpd.conf:

Code:

ServerName "orimail"
ServerType standalone
DefaultServer on
debugLevel 6
Serverlog /var/log/proftpd.debug.log
UseReverseDNS off
IdentLookups off
RequireValidShell off
Port 21
Umask 022
MaxInstances 30
User nobody
Group nogroup
DefaultRoot ~
AllowOverwrite on

Ich habe im Moment nicht die geringste Ahnung wo ich suchen sollte (PAM vielleicht?)
Gruss
bejay

[VolGas]

Guten Morgen!

Ist das die proftpd.conf, die von Debian installiert wird???
Ein wenig arm, aber ausreichend - spielt jetzt aber auch keine Rolle.

Mit einer dynamischen DNS hinter einem Router ist es sehr schwer (wenn nicht gar
unmöglich) einen zuverlässigen Serverbetrieb zu gewährleisten. Das liegt jedoch nicht
am ProFTPD, sondern an der Natur der Sache.

Dennoch hat ProFTPD auch hier eine Lösung anzubieten. ->MasqueradeAddress
Deine FTP-Clients müssen (sollten sie sowieso immer) den "passive mode" nutzen.
Es werden sogenannte "high ports" benötigt: Dein Router muß diese zusätzlich zu Port 21
ebenfalls an den ProFTPD weiterleiten und eine evtl. vorhandene Firewall muß diese Ports
ebenfalls durchlassen. Dem ProFTPD teilst Du über die Direktive ->PassivePorts mit,
welche Ports es benutzen kann.

Wenn "MasqueradeAddress" eingesetzt wird, funktioniert der ProFTPD nicht mehr im
lokalen Netz. Eine Verbindung muß dann "von außen" über den Router hereinkommen.

Die Lösung ist IMHO nicht sehr "glücklich": zu einem Server gehört nunmal eine feste IP-Adresse.

Aber probiere es mal damit - viel Erfolg!

mfg.
  VolGas

[bejay]

Hallo VolGas,
auf einmal geht es auch ohne Masquerade. Gestern habe ich den FTP 3mal per init.d/proftpd restart gestartet. Heute bin ich mal lokal per FTP draufgegangen, ging danach via Internet ging auch ?? Wahrscheinlich lag es dennoch an dem IdentLookup. Vielen Dank !!

gruss bejay

[VolGas]

Es freut mich, daß es nun funktioniert - das war ja auch die Fehlermeldung.
Aber dennoch kann bei einer dynamischen IP nicht (ohne weiteres) internes
und externes Netzwerk gleichzeitig funktionieren. Überprüfe das noch einmal
mit einem FTP-Client, der sich von außen, also nicht netzintern(!), einloggt...

mfg.
  VolGas