www.ProFTPD.de
13. März 2007, 20:40:42 *
Willkommen Gast. Bitte einloggen oder registrieren.
Haben Sie Ihre Aktivierungs E-Mail übersehen?

Einloggen mit Benutzername, Passwort und Sitzungslänge
News: SMF - Neu installiert!
 
   Übersicht   Hilfe Suche Login Registrieren  
Seiten: [1]   Nach unten
  Drucken  
Autor Thema: root user für Read Only Anonymous Berreich  (Gelesen 279 mal)
0 Mitglieder und 1 Gast betrachten dieses Thema.
DrFlow
ProFTPD
*
Offline Offline

Beiträge: 4

migthy@gmx.ch
Profil anzeigen WWW E-Mail
« am: 25. Juli 2003, 10:36:02 »

Morgen Jungs, erst mal Happy AdminDay. ;-)

Und jetzt mal ne Nuss zum Knacken.

Ich habe einen Anonymous Bereich mit upload Verzeichnis angelegt. D.H. im ?/? dürfen die Anonymous User nur gucken und runterladen. Dann gibt es wie sich das gehört noch ein ?/upload? zum uppen. Soweit so gut.

User aus eine privilegierten Gruppe, die nicht als Anonymous angemeldet sind (quasi ne root Gruppe) soll aber in den geschützten Bereich Dateien schreiben dürfen. Die Datei und Gruppen Rechte müssen natürlich beim schreiben wieder so verbogen werden, das die Anos ftp User da auch dann dürfen. So wie ich das mache habe ich natürlich nur einen 550 Access Permitted beim Schreiben.

Seltsamerweise kann ich aber im Verzeichnis /upload Dateien löschen, was mit normalen Anoymous Rechten nicht gehen kann.

Und da mein Gehirn gerade mal wieder einen Knoten hat, könnt Ihr mir vielleicht mal einen Tipp geben.

Ach ja, Filesystem ist fürs debugging mal pauschal 777 ;-)

# !/bin/bash
# /etc/proftpd.conf
# Configuration File of the proftpd Server

####################################################################################


#**********************************************************************************
#Basic's
########################
ServerName    "xxx FTP Servere"
ServerType    inetd

ServerAdmin    postmaster@xxx
DefaultServer    on
DeferWelcome    on
ServerIdent    on "Microsoft FTP Service"

# Port 21 is the standard FTP port.
Port 21

# Umask 022 is a good standard umask to prevent new dirs and files
# from being group and world writable.
Umask 002

 
# Note that this ONLY works in standalone mode
#MaxInstances 30

# Set the user and group under which the server will run.
User         nobody
Group          nobody

RequireValidShell   off

PassivePorts      50000 50050


AuthUserFile      /etc/proftpd.passwd
AuthGroupFile      /etc/proftpd.group

 
# To cause every FTP user to be "jailed" (chrooted) into their home
# directory, uncomment this line.
DefaultRoot /var/ftp


# Global File Operation
###################
<Global>
  HiddenStor       off
  AllowStoreRestart   on
  AllowRetrieveRestart   on   
  AllowOverwrite   on
</Global>


#******************************************************************
#
# Login Msg
#
#DisplayConnect      /var/ftp/.connectmsg.txt
#DisplayLogin      /var/ftp/.loginmsg.txt
#DisplayQuit      /var/ftp/.quitmsg.txt
#DisplayFirstChdir   /var/ftp/.firstchdirmsg.txt


#******************************************************************
#
# Logging Options
#
LogFormat default    "%h %l %u %t \"%r\" %s %b"
LogFormat auth         "%v [%P] %h %t \"%r\" %s"
LogFormat write      "%h %l %u %t \"%r\" %s %b"

ExtendedLog      /var/log/proftpd/access_log WRITE,READ write
ExtendedLog      /var/log/proftpd/auth_log AUTH auth
ExtendedLog      /var/log/proftpd/paranoid_log ALL default


#*******************************************************************
#
# Filter
#

# It is a very good idea to allow only filenames containing normal
# alphanumerica characters for uploads ( and not shell code)
#PathAllowFilter      "^[a-zA-Z0-9_.-]()'+$"

# We do not want .ftpaccess or .htaccess files to be uploaded
#PathDenyFilter      "(\.ftp)[a-z]+$|(\.ht)[a-z]+$"

# Do not allow to pass printf-Formats (security! see documentation!):
#AllowFilter      "^[a-zA-Z0-9@~/,_.-]*$"
#DenyFilter      "%"
#DenyFilter      \*.*/



#******************************************************************
#
# File & Folder
#


# Normally, we want files to be overwriteable.
<Directory />
  AllowOverwrite    on
  HideNoAccess      on
</Directory>


<Directory /var/ftp/members/cust1>
  AllowOverwrite   on
  HideNoAccess      on
  UserOwner      kunde1
  GroupOwner      kunde1
</Directory>

<Directory /var/ftp/members/cust2>
  AllowOverwrite   on
  HideNoAccess      on
  UserOwner      kunde2
  GroupOwner      kunde2
</Directory>

<Directory /var/ftp/members/cust3>
  AllowOverwrite   on
  HideNoAccess      on
  UserOwner      kunde3
  GroupOwner      kunde3
</Directory>

<Directory /var/ftp/public/>
  AllowOverwrite   on
  HideNoAccess      on
  UserOwner      ftp
  GroupOwner      ftp
</Directory>

# Systemnachrichten
AccessGrantMsg "Willkommen auf dem FTP-Server der xxx"
AccessDenyMsg "Zugriff verweigert"

# Loginversuche bevor Verbindung getrennt werden soll
MaxLoginAttempts 3


# A basic anonymous configuration, with upload directories.
<Anonymous ~ftp>
  # der ftp-benutzer ist normalerweise ftp. kann aber auch jeder andere
  # benutzer sein.
  User                          ftp
  Group                         ftp

  # login mit "anonymous" ist genauso gültig wie "ftp"
  UserAlias                     anonymous ftp

 # AuthAliasOnly         on

  # die maximale anzahl von clienten wird auf 5 beschränkt
  MaxClients  5 "Sorry, max %m anonymous users allowed. Try again later"

  # es sind maximal 2 verbindungen pro ip-adresse gültig
  MaxClientsPerHost 2 "Sorry, you may not connect more than %m times."

  # der filetransfer wird hier aufgezeichnet
  TransferLog             /var/log/proftpd/proftpd.pub.log

  # bei login wird die datei welcome.msg angezeigt. sie muss sich im
  # homeverzeichnis des benutzer ftp befinden
  DisplayLogin                  welcome.msg

  # bei einem wechsel in ein verzeichnis wird die datei .message angezeigt
  DisplayFirstChdir             .message

  <Directory /var/ftp/public>
     UserOwner         ftp
     GroupOwner         ftp
   <Limit ALL>
     IgnoreHidden      on
   </Limit>
   <Limit Write>
      AllowGroup      gstep
   </Limit>
  </Directory>


  <Directory upload/>
     AllowOverwrite      on
     HideNoAccess      on
     UserOwner         ftp
     GroupOwner         ftp
   <Limit STOR>
     AllowAll
   </Limit>
   <Limit READ WRITE RMD DELE MKD>
     AllowGroup      gstep
   </Limit>
  </Directory>
</Anonymous>
Gespeichert

--

Deine Attitüde, mit der Du dich profilierst, tangiert mich peripher.
stonki
Administrator
ProFTPD
*****
Offline Offline

Beiträge: 1853


15318939
Profil anzeigen WWW E-Mail
« Antwort #1 am: 25. Juli 2003, 11:06:35 »

Zitat von: "DrFlow"
User aus eine privilegierten Gruppe, die nicht als Anonymous angemeldet sind (quasi ne root Gruppe) soll aber in den geschützten Bereich Dateien schreiben dürfen. Die Datei und Gruppen Rechte müssen natürlich beim schreiben wieder so verbogen werden, das die Anos ftp User da auch dann dürfen. So wie ich das mache habe ich natürlich nur einen 550 Access Permitted beim Schreiben.


es mag daran liegen, dass ich a) ein PISA Fall bin, b) gestern in SoHO zuviel getrunken habe, aber ich verstehe den Satz nicht....

cu
stonki
Gespeichert

www.stonki.de:    the more I see, the more I know.......
www.proftpd.de:   Deutsche ProFTPD Dokumentation
www.krename.net:  Der Batch Renamer für KDE
www.kbarcode.net: Die Barcode Solution für KDE
DrFlow
ProFTPD
*
Offline Offline

Beiträge: 4

migthy@gmx.ch
Profil anzeigen WWW E-Mail
« Antwort #2 am: 25. Juli 2003, 11:25:14 »

OK ich Versuche es noch mal:  Vielleicht verstehe ich es ja selber nicht.

Anonymous Bereich:

/ & /upload

Im Verzeichnis / kein upload / delete etc. für Anonymous
Im Verzeichnis /upload nur upload siehe Conf File

Ein ?Admin User? der Gruppe ?gstep? soll jetzt in der Lage sein, die Dateien und alles Andere in das Verzeichnis / zu legen. Er ist natürlich nicht als Anonymous angemeldet, sondern als vollwertiger User.

Außerdem muss der für den User eine ?UserOwner? und ?GroupOwner? greifen, da sonnst die Armen Anonymous User keinen Zugriff auf die Dateien habe. Ein manueller Chmod nach dem Aufspielen der Dateien ist nämlich Murks.

Vielen Dank schon mal für den Versuch es zu verstehen. *g*


Ich habe bereits wieder etwas gespielt, bitte neue Conf beachten:

Für Anonymous;

<Directory /var/ftp/public>
     UserOwner                  ftp
     GroupOwner                 ftp
        <Limit ALL>
          IgnoreHidden          on
        </Limit>
        <Limit Write>
          Order Deny,Allow
           DenyAll
           AllowGroup           gstep
        </Limit>
  </Directory>


  <Directory upload/>
     AllowOverwrite             on
     HideNoAccess               on
     UserOwner                  ftp
     GroupOwner                 ftp
        <Limit STOR>
          AllowAll
        </Limit>
        <Limit READ WRITE RMD DELE MKD>
          Order Deny,Allow
          DenyAll
          AllowGroup            gstep
        </Limit>
  </Directory>
Gespeichert

--

Deine Attitüde, mit der Du dich profilierst, tangiert mich peripher.
stonki
Administrator
ProFTPD
*****
Offline Offline

Beiträge: 1853


15318939
Profil anzeigen WWW E-Mail
« Antwort #3 am: 25. Juli 2003, 13:18:03 »

Zitat von: "DrFlow"

[...]
anononyme section
[...]
     
        <Limit READ WRITE RMD DELE MKD>
          Order Deny,Allow
          DenyAll
          AllowGroup            gstep



ich haenge heute echt durch, aber wenn Du Dich anonym einloggt, dann bringt dieser ganze AllowGroup Kram nichts, denn die Gruppe steht ja fuer anonymen FTP fest.,

cu
stonki
Gespeichert

www.stonki.de:    the more I see, the more I know.......
www.proftpd.de:   Deutsche ProFTPD Dokumentation
www.krename.net:  Der Batch Renamer für KDE
www.kbarcode.net: Die Barcode Solution für KDE
DrFlow
ProFTPD
*
Offline Offline

Beiträge: 4

migthy@gmx.ch
Profil anzeigen WWW E-Mail
« Antwort #4 am: 25. Juli 2003, 14:05:31 »

Das eigentliche Problem ist, dass ich mit meinem Admin User nicht in die Anonymous Verzeichnisse schreiben kann. Deswegen probiere ich gerade mit dem AllowGroup rum. Der User ist halt ein Mitglied der Gruppe FTP und gstep(gstep ist primäre Gruppe). Da er ein Mitglied der Gruppe FTP ist, müsste ich auch Schreibrechte für Die Anonymous Verzeichnisse haben. Laut Filesystemerechten.

Das Ziel soll sein, dass ich mit meinem User der Gruppe xyz das Anonymous Verzeichnis verwalten kann.

Wenn sich Jemand Anonymous anmeldet darf er halt nicht schreiben können (im /upload ja). Das Funktioniert soweit.

Der Angemeldete User soll aber schreiben/lesen könne. Lesen kann ich, schreiben geht nicht.

Jetzt suche ich halt ein Beispiel, Ansatz oder meinen Denkfehler. Das muss in dieser Form ja schon X mal gemacht worden sein.

Zitat von: "stonki"
Zitat von: "DrFlow"

[...]
anononyme section
[...]
     
        <Limit READ WRITE RMD DELE MKD>
          Order Deny,Allow
          DenyAll
          AllowGroup            gstep



ich haenge heute echt durch, aber wenn Du Dich anonym einloggt, dann bringt dieser ganze AllowGroup Kram nichts, denn die Gruppe steht ja fuer anonymen FTP fest.,

cu
stonki
Gespeichert

--

Deine Attitüde, mit der Du dich profilierst, tangiert mich peripher.
stonki
Administrator
ProFTPD
*****
Offline Offline

Beiträge: 1853


15318939
Profil anzeigen WWW E-Mail
« Antwort #5 am: 25. Juli 2003, 15:16:51 »

dann kopiere doch einmal den <dir upload> block (mit vollstaendiger Pfadangabe) in den globalen Bereich der config
Gespeichert

www.stonki.de:    the more I see, the more I know.......
www.proftpd.de:   Deutsche ProFTPD Dokumentation
www.krename.net:  Der Batch Renamer für KDE
www.kbarcode.net: Die Barcode Solution für KDE
DrFlow
ProFTPD
*
Offline Offline

Beiträge: 4

migthy@gmx.ch
Profil anzeigen WWW E-Mail
« Antwort #6 am: 25. Juli 2003, 15:27:05 »

Schon passiert. Funktioniert auch.

Einziger Haken: Ich kann Dateien nicht überschreiben, obwohl ich die Obtion jetzt überall gesetzt habe. Komischerweise geht das in allen anderen Verzeichnissen, die nicht zum Anonymous gehören. Konfig ist bis auf die User/Group überall gleich. Naja

Jedenfalls erst mal Danke schön.

Zitat von: "stonki"
dann kopiere doch einmal den <dir upload> block (mit vollstaendiger Pfadangabe) in den globalen Bereich der config
Gespeichert

--

Deine Attitüde, mit der Du dich profilierst, tangiert mich peripher.
Seiten: [1]   Nach oben
  Drucken  
 
Gehe zu:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.2 | SMF © 2006-2007, Simple Machines LLC Prüfe XHTML 1.0 Prüfe CSS
Seite erstellt in 0.073 Sekunden mit 17 Zugriffen.