anonymous zugang

[ravermeister]

hallo, ich habe da mal ne frage, und zwar habe ich proftpd installiert, und möchte gerne einen anonymen zugang einrichten,
der kein passwort erfordert (und kein benutzernamen also halt den anonymous der standard gesetzt wird bei z.b. gftp)

ich habe proftpd bis jetzt über webmin eingerichtet, da ich mit proftp noch nich viel gemacht habe.

ich würde das homedirectory vom anonymous gern auf einen bestehenden order (auf FAT partition) zuweisen, und von dort aus
links zu anderen directorys (die er mit unterordnern NUR lesen darf)
im homedirectory selber soll er dateien hochladen können. was muss ich da einstellen??

ps
ich habe mit webmin einen virtuellen server erstellt, hier meine /etc/proftpd.conf:

####################################################################
#
# /etc/proftpd.conf -- This is a basic ProFTPD configuration file.
# To really apply changes reload proftpd after modifications.
#

ServerName                      "Debian"
ServerType                      standalone
DeferWelcome off

MultilineRFC2228                on
DefaultServer on
ShowSymlinks on

TimeoutNoTransfer               600
TimeoutStalled                  600
TimeoutIdle                     1200

DisplayLogin                    welcome.msg
DisplayFirstChdir .message
ListOptions "-l"

DenyFilter                      \*.*/

# Uncomment this if you are using NIS or LDAP to retrieve passwords:
#PersistentPasswd               off

# Uncomment this if you would use TLS module:
#TLSEngine                      on

# Uncomment this if you would use quota module:
#Quotas                         on

# Uncomment this if you would use ratio module:
#Ratios                         on

# Port 21 is the standard FTP port.
Port 21

# To prevent DoS attacks, set the maximum number of child processes
# to 30.  If you need to allow more than 30 concurrent connections
# at once, simply increase this value.  Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd)
MaxInstances                    30

# Set the user and group that the server normally runs at.
User                            nobody
Group                           nogroup

# Umask 022 is a good standard umask to prevent new files and dirs
# (second parm) from being group and world writable.
Umask 022 022
# Normally, we want files to be overwriteable.
AllowOverwrite                  on

# Delay engine reduces impact of the so-called Timing Attack described in
# http://security.lss.hr/index.php?page=details&ID=LSS-2004-10-02
# It is on by default.
#DelayEngine                    off

# A basic anonymous configuration, no upload directories.

# <Anonymous ~ftp>
#   User                                ftp
#   Group                               nogroup
#   # We want clients to be able to login with "anonymous" as well as "ftp"
#   UserAlias                   anonymous ftp
#   # Cosmetic changes, all files belongs to ftp user
#   DirFakeUser on ftp
#   DirFakeGroup on ftp
#
#   RequireValidShell           off
#
#   # Limit the maximum number of anonymous logins
#   MaxClients                  10
#
#   # We want 'welcome.msg' displayed at login, and '.message' displayed
#   # in each newly chdired directory.
#   DisplayLogin                        welcome.msg
#   DisplayFirstChdir           .message
#
#   # Limit WRITE everywhere in the anonymous chroot
#   <Directory *>
#     <Limit WRITE>
#       DenyAll
#     </Limit>
#   </Directory>
#
#   # Uncomment this if you're brave.
#   # <Directory incoming>
#   #   # Umask 022 is a good standard umask to prevent new files and dirs
#   #   # (second parm) from being group and world writable.
#   #   Umask                           022  022
#   #            <Limit READ WRITE>
#   #            DenyAll
#   #            </Limit>
#   #            <Limit STOR>
#   #            AllowAll
#   #            </Limit>
#   # </Directory>
#
# </Anonymous>
<Global>
<Directory /windows/D/Musik>
AllowAll
AllowOverwrite off
AllowRetrieveRestart on
</Directory>
</Global>
AllowRetrieveRestart on
DefaultChdir /windows/F/ftp_home/FTP_Nobody
<VirtualHost virusmaster.homelinux.com>
ServerName virusmaster
DefaultChdir /windows/F/ftp_home/FTP_Nobody
<Anonymous /windows/F/ftp_home/FTP_Nobody>
AllowRetrieveRestart on
MaxClients none
AnonRequirePassword off
</Anonymous>
ServerAdmin jonnyrimkus@yahoo.de
AccessGrantMsg "Wilkommen auf Ravermeister's FTP Server"
DefaultServer on
</VirtualHost>

###########################################

...danke schon mal im voraus gruß
Jonny

[VolGas]

Hallo!

Den ProFTPD mußt Du wie eine Unix-Usershell versehen: nachdem man sich eingeloggt
hat, hat der für eigens reservierte Prozess nur noch die Zugriffsrechte und Beschränkungen
wie man selbst. Die Zugriffsrechte des darunterliegenden Filesystems sind absolut bindend
und können nicht "verbogen" oder gar außer Kraft gesetzt werden - es können nur zusätzliche
Restriktionen per FTP (z.B. Schreib- und Lesesperren) und einige "kosmetische Korrekturen"
realisiert werden.

Außerdem wird nach dem Einloggen zusätzlich ein "chroot" durchgeführt, d.h. man wird quasi
in sein Home-Dir "eingesperrt", das Home-Dir wird zu Root-Dir - es gibt "außenherum"
nichts mehr, man ist isoliert. Daher kann man (normalerweise) mit Symlinks nicht aus
seinem chroot-Gefängnis ausbrechen.

Dafür gibt es unter UNIX eine Not-Lösung, (siehe ->FAQ, Punkt "...Verzeichnis einbinden...")
die man IMHO aber sehr sparsam und mit bedacht einsetzen sollte. Für einen User
(wie den anonymous) und zwei/drei Verzeichnissen sollte sich das allerdings noch vertreten
lassen.

Zum Thema "VirtualHost": Du verwechselst den ProFTPD mit dem Apache - böser Fehler!
Beim ProFTPD gibt es den "Haupserver", der durch die normale Konfiguration definiert
wird und einfach da ist. Bis dahin gleichen sich die beiden Server noch.

Ein "VirtualHost" in ProFTPD jedoch definiert -anders als Apache!- einen weiteren,
zusätzlichen Server auf einer anderen IP oder Port!

Diese wesentlichen Punkte beachtend solltest Du nun Deine Konfiguration überarbeiten.
Es sind so viele Änderungen vorzunehmen, daß Du am besten den letzten Block einfach
entfernst und neu schreibst. Ein schönes Muster für eine anonymous-Konfiguration hast Du
ja auch schon in Deiner proftpd.conf, Du müßtest Sie nur etwas überarbeiten und
"ent-kommentieren"...

mfg.
  VolGas

[ravermeister]

... vielen dank
habe das hier gefunden, um andere ordner einzubinden:

mount --bind olddir newdir

Diese Anweisung bindet das Verzeichnis ein weiteres mal unter "newdir" ein.

soll ich ein script schreiben, das beim starten ausgeführt wird? oder wie mache ich das..

[VolGas]

Was Du da beschreibst, ist genau das, was in dem Punkt der FAQ steht, auf die ich verwiesen hatte.
Da frage ich mich doch, weshalb ich mir hier eigentlich die Finger wund schreibe und meine Zeit
verschwende.

Wohin Du das einbastelst, ist Dir überlassen - ich würde es in das Start-Script des ProFTPD einbinden.

Alternativ zu "mount --bind ..." gibt es noch das Modul der ->VRootEngine, ->mod_vroot, welches
das restriktive "DefaultRoot" ein wenig entschärft und erlaubt, mit Symlinks aus dem chroot-Gefängnis
auszubrechen.

mfg.
  VolGas

[ravermeister]

hab das ja dank dir in den faq's gefunden. vielen dank für die hilfe
war nicht umsonst
gruß Jonny