proftpd lässt user ohne passwort rein

[iral_kbk]

Hi!
Mein proftpd soll die benutzer aus /etc/passwd nutzen, doch bekomme ich ihn nicht dazu auch wirklich ein passwort zu verlangen. man kann beim einloggen das passwort-feld einfach leer lassen und der proftpd lässt die verbindung zu... woran kann das liegen?

wäre nice wenn mir jemand eine sichere lösung bieten könnte... danke im vorraus

der server wird per xinetd gestartet

xinetd-script:
service ftp
{
        disable         = no
        socket_type     = stream
        protocol        = tcp
        wait            = no
        user            = root
        instances       = UNLIMITED
        server          = /usr/sbin/in.proftpd
        server_args     = -c /etc/proftpd.conf
}

und nutzt eine ziemlich spärliche config

config:
ServerName                      "FTP Server"
ServerType      inetd

DefaultServer                   on
ShowSymlinks                    off

TimeoutNoTransfer               600
TimeoutStalled                  600
TimeoutIdle                     1200

#User nobody
#Group nobody

<Global>
DefaultRoot     ~               psacln
AllowOverwrite          on
</Global>
TimesGMT        off
DefaultTransferMode     binary
UseFtpUsers                     on
AuthPAM on
AuthPAMConfig   ftp
AuthUserFile    /etc/passwd
Port                            21
Umask                           022
MaxInstances                    30

[VolGas]

Hi,

so eine Konfiguration wie Deine habe ich noch nicht gesehen und ich mußte zuerst
einmal nachsehen, was die einzelnen Direktiven eigentlich für eine Bedeutung haben.

Aber eines nach dem anderen:

• ServerType inetd: ich würde den Server nicht unter (x)inetd laufen lassen -
  es gibt Gründe, die man hier auf Stonki's Site nachlesen kann und auf die ich nicht
  noch einmal eingehen möchte. Besser: "ServerType standalone"
• MaxInstances: bei Servertype "inetd" wirkungslos, darum kümmert sich schon
  der Internet-Daemon. Wenn Du aber den ProFTPD wirklich alleine laufen lässt, ist
  diese Direktive ok.
• AuthPAMConfig ftp: wenn man den ProFTPD in der Standardumgebung belässt, funktioniert
  dieser schon ganz perfekt mit dieser Infrastruktur. Diese Direktive erfordert einen spziell
  eingerichteten PAM-Dienst, der von der normalen Konfiguration Abweichungen zuläßt.
  Wenn Du die Direktive komplett entfernst, verhält sich Dein ProFTPD wieder ganz normal.
• AuthUserFile: ein ganz anderes Authentifizierungsmodul, das es erlaubt,
  alternative passwd-Dateien zu benutzen. "/etc/passwd" ist schon die Standard-Datei des
  Systems, auch diese Zeile kann (und sollte) komplett entfernt werden
• User & Group: ruhig aktivieren, das erhöht die Sicherheit.
  Unter (x)inetd witzlos.
• DefaultRoot: so wie Du das einsetzt, hast Du Dir das bestimmt nicht gedacht:
  die Anweisung bezieht sich nur auf die User der Gruppe "psacln" - alle anderen bleiben
  verschont und in "Freiheit" und können damit überall hin - kein "DefaultRoot"...
  Ich bin mir so ziemlich sicher, daß Du eigentlich das möchtest:
  

  DefaultRoot ~
  <Limit LOGIN>
     DenyGroup !psacln
  </Limit>

  Damit kommt keiner rein, der nicht dieser Gruppe angehört und die, die es tun,
  werden sogleich sicherheitshalber auf Ihr Homeverzeichnis reduziert. (chroot)
• füge Deiner proftpd.conf noch folgendes hinzu: "RequireValidShell off", "UseReverseDNS off"
  und "IdentLookups off"

Mit Deinen Direktiven hast Du es eigentlich ganz genau und wohl definiert hinbekommen
wollen, dabei aber leider den Vogel abgeschossen. Durch die Korrekturen hast Du wieder
einen Standardserver, der sich erwartungsgemäß verhalten sollte.

Viel Spaß damit.

mfg.
  VolGas