user xyz NUR das login verweigern

[mike]

hallo
habe eine deibna laufen und per apt-get proftp installiert weil ich schnell einen ftp server brauche, laeuft auch alles prima
da ist jetzt der user xyz der einige programme und dienste laufen laesst auf dem system, seine home verzeichnis braucht er - wie kann ich dem user xyz das einloggen per ftp verweigern verweigern?

[VolGas]

Hallo!

Ich gehe davon aus, daß Du die Standard-Authentifikation benutzt, d.h. es werden
ausschließlich die eingetragenen Benutzer des Systems zugelassen.

Um hier eine Auswahl zu treffen ist es am sinnvollsten, wenn Du allen Usern, die
Zugang per FTP erhalten sollen, eine Gruppe zuweist. Dies kann auch eine schon
bestehende Gruppe sein z.B. so etwas wie die Gruppe "webuser" oder "ftpuser".

Um den Zugang z.B. nur den Usern der Gruppe "ftpuser" zu realisieren, füge
Deiner proftpd.conf folgende Zeilen zu:

  <Limit LOGIN>
    DenyGroup !ftpuser
  </Limit>

  RequireValidShell off
  UseReverseDNS off
  IdentLookups off
  AuthOrder mod_auth_unix.c

Mit den ersten drei Zeilen werden alle User, die nicht der Gruppe "ftpuser" angehören, abgewiesen.
Die nachfolgenden Zeilen sind eine Empfehlung von mir...

mfg.
  VolGas

[mike]

yeah
danke
das werd ich testen


die empfehlungen von dir hab ich schon alle drin, bis auf die letzte

[mike]

meine proftpd.conf

Code:

#
# /etc/proftpd.conf -- This is a basic ProFTPD configuration file.
# To really apply changes reload proftpd after modifications.
#

ServerName                      ftp-server #1
ServerType                      standalone
DeferWelcome                    off
ServerAdmin                     no1@home

MultilineRFC2228                on
DefaultServer                   on
ShowSymlinks                    on
AllowOverwrite                  on

AllowRetrieveRestart            on           #  resume erlauben
AllowStoreRestart               on
DeleteAbortedStores             off

TimeoutNoTransfer               600
TimeoutStalled                  600
TimeoutIdle                     1200

DisplayLogin                    welcome.msg
DisplayFirstChdir               .message
ListOptions                     "-l"

DenyFilter                      \*.*/

UseReverseDNS                   off          #  beschleunigt das login
IdentLookups                    off          #  beschleunigt das login

AllowForeignAddress             on           #  fxp erlauben




#
# Logging options
#
TransferLog /var/log/proftpd.xferlog

# Some logging formats
#
LogFormat default "%h %l %u %t \"%r\" %s %b"
LogFormat auth "%v [%P] %h %t \"%r\" %s"
LogFormat write "%h %l %u %t \"%r\" %s %b"

# Log file/dir access
ExtendedLog /var/log/proftpd.access_log WRITE,READ write

# Record all logins
ExtendedLog /var/log/proftpd.auth_log AUTH auth

# Paranoia logging level....
ExtendedLog /var/log/proftpd.paranoid_log ALL default




# Uncomment this if you are using NIS or LDAP to retrieve passwords:
#PersistentPasswd               off

# Uncomment this if you would use TLS module:
#TLSEngine                      on

# Uncomment this if you would use quota module:
#Quotas                         on

# Uncomment this if you would use ratio module:
#Ratios                         on

# Port 21 is the standard FTP port.
Port                            21

# To prevent DoS attacks, set the maximum number of child processes
# to 30.  If you need to allow more than 30 concurrent connections
# at once, simply increase this value.  Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd)
MaxInstances                    30

# Set the user and group that the server normally runs at.
User                            nobody
Group                           nogroup




defaultroot                     ~

RequireValidShell               off




# Umask 022 is a good standard umask to prevent new files and dirs
# (second parm) from being group and world writable.
# Umask                         022  022



<Directory /*>

# Umask 022 is a good standard umask to prevent new files and dirs
# (second parm) from being group and world writable.
  Umask                         007 007

# Normally, we want files to be overwriteable.
  AllowOverwrite                on

# geschriebene .. hochgeladenen verzeichnisse und dateien gehoehren zu der gruppe ftp-user
  GroupOwner                    ftp-user

# den befehl chmod verweigern
  <Limit SITE_CHMOD>
  DenyAll
  </Limit>


  <Limit LOGIN>
  DenyGroup !user-ftp
  </Limit>


</Directory>

in user-ftp dachte ich alle die user zumachen die sich nur auf dem ftp server einloggen sollen
in ftp-user sind alle die leute die sich auf dem server einloggen koennen sollen und duerfen und user die auch mit den dateien zutun haben die mit dem ftpserver zutun haben

ich habe in die proftpd.conf

Code:

  <Limit LOGIN>
  DenyGroup !user-ftp
  </Limit>

eingefuegt und in der gruppe user-ftp noch keinen hinzugefuegt, demach sollte sich also niemand auf dem ftp server einloggen koennen, kann man aber trotzdem
irgendwie muss irgendwo nochwas falsch sein..

[VolGas]

Deine .conf sieht sehr gut aus, bis auf einen Fehler:
<Directory /*>...dazwischen ok...</Directory>

Der "<Limit...>"-Block wird durch den wirkungslosen "<Directory>"-Block
quasi deaktiviert. Entferne einfach "<Directory /*>" und "</Directory>"
und starte den ProFPTD neu - dann klappt's!

mfg.
  VolGas

[mike]

hi

ich hab

Code:

<Limit LOGIN>
DenyGroup !ftpuser
</Limit>

einfach aus dem "Direcotry" block rausgenommen und drueber gesetzt, funktioniert nun - coole sache
du ... das mit dem chmod verbieten, ist doch aber dort an der richtigen stelle, oder?

[VolGas]

Nein, das wird auch blockiert - warum löscht Du denn nicht die beiden Zeilen,
die ich beschrieben habe? Die "<Directory...>"-Anweisung ist sowieso falsch und
kann nie greifen. Also kannst Du sie auch löschen und alles was dazwischen ist,
wird dann wieder aktiv.

Ich mache nun Feierabend und gehe in die Heia.

Viel Spaß noch und eine gute N8!

mfg.
  VolGas