www.ProFTPD.de
13. März 2007, 21:16:14 *
Willkommen Gast. Bitte einloggen oder registrieren.
Haben Sie Ihre Aktivierungs E-Mail übersehen?

Einloggen mit Benutzername, Passwort und Sitzungslänge
News: SMF - Neu installiert!
 
   Übersicht   Hilfe Suche Login Registrieren  
Seiten: [1]   Nach unten
  Drucken  
Autor Thema: probleme mit conf datei  (Gelesen 341 mal)
0 Mitglieder und 1 Gast betrachten dieses Thema.
deebeean
ProFTPD
*
Offline Offline

Beiträge: 3


Profil anzeigen
« am: 26. September 2006, 02:45:20 »

hallo,

habe wahrscheinlich ein problem mit meiner .conf datei (nehme ich mal stark an). habe sie größtenteils von ner seite übernommen und dann noch persönlich aufgefüllt. das problem, was ich momentan habe ist das, das sich einige user momentan nicht connecten können und 2 verschiedene fehlermeldung bekommen, und zwar: entweder "550 unable to service PORT commands" oder "530: login incorrect"... und das obwohl eigentlich alle userdaten stimmen bzw. die leute sich mit den gleichen daten connecten konnten, als ich noch einen anderen ftp-server installiert hatte... aber diese fehlermeldungen kommen auch nur bei ein paar usern, andere haben gar keine probleme...  Huch

ich habe hier mal meine conf datei mit angehängt, vielleicht hat jemand ne idee, warum das so willkürlich passiert und wie man das beheben kann... ich habe an anderer stelle gelesen, das error 500 bedeuten kann, das die jeweiligen user sich nicht per passive mode mit ihrem jeweiligen client connecten und deshalb die message kommt bzw. sie sich nicht einloggen können... ich möchte aber sicher stellen, das alle clients (egal ob active oder passive in dem fall) sich connecten können...


Code:
# This is a basic ProFTPD configuration file (rename it to
# 'proftpd.conf' for actual use.  It establishes a single server
# and a single anonymous login.  It assumes that you have a user/group
# "nobody/nogroup" and "ftp" for normal operation and anon.



ServerName xxx
ServerType standalone

PidFile /var/run/proftpd.pid

 

MaxInstances 30

MaxConnectionRate 4

SocketBindTight off

UseReverseDNS off

 

RootRevoke on

DefaultServer on

MultilineRFC2228 on

 

<IfModule mod_delay.c>

DelayEngine off

#DelayTable var/run/proftpd/proftpd.delay

</IfModule>

 

<IfModule mod_tls.c>

TLSProtocol SSLv23

</IfModule>

 

# Log-Formate definieren

SystemLog NONE

LogFormat default "%h %l %u %t \"%r\" %s %b"

LogFormat auth "%v [%P] %h %t \"%r\" %s"

LogFormat write "%h %l %u %t \"%r\" %s %b"

 

 

 

# --------------------------------------------

# globale Settings

# --------------------------------------------

 

<Global>

User nobody

Group nogroup

 

 

# --------------------------------------------

# Login

# --------------------------------------------

 

ServerIdent on "FTP server ready."

DeferWelcome on

DisplayConnect /etc/proftpd.msg

 

IdentLookups off

UseFtpUsers on

RequireValidShell off

 

TimeoutLogin 60

MaxLoginAttempts 3

MaxClientsPerHost 3

 

 

# --------------------------------------------

# Authentifikation: Standard

# --------------------------------------------

 

<IfModule !mod_sql.c>

AuthOrder mod_auth_unix.c

 

<Limit RETR LOGIN>

DenyGroup !ftpuser
IgnoreHidden on
AllowGroup xxx
AllowGroup xxx

</Limit>

</IfModule>

 

 

# --------------------------------------------

# Authentifikation per SQL

# --------------------------------------------

 

<IfModule mod_sql.c>

AuthOrder mod_sql.c

 

SQLConnectInfo db@localhost sqluser pass

SQLUserInfo ftp userid passwd uid gid homedir NULL

SQLAuthTypes Plaintext

SQLAuthenticate users

SQLMinUserUID 1024

SQLMinUserGID 555

SQLNegativeCache on

</IfModule>

 

 

# --------------------------------------------

# TLS Standards

# --------------------------------------------

 

<IfModule mod_tls.c>

TLSEngine off

TLSTimeoutHandshake 60

TLSRequired off

TLSVerifyClient off

 

#TLSOptions NoCertRequest

#TLSLog /var/log/proftpd/tls.log

 

# TLSCACertificateFile /etc/ssl/certs/CA.cert # CA-Cert optional

</IfModule>

 

 

# --------------------------------------------

# Post-Login, Timeouts

# --------------------------------------------

 

PassivePorts 49152 65534

 

DisplayLogin welcome.msg

DisplayFirstChdir .message

AllowOverride off

 

TimeoutIdle 600 # Inaktivitaet

TimeoutNoTransfer 3600 # keine Datenuebertragung (Listing, File, ...)

TimeoutStalled 300 # haengende Datenuebertragung

TimeoutSession 7200 # Gesamtdauer einer Session

 

 

# --------------------------------------------

# Session

# --------------------------------------------

 

DefaultRoot ~

 

DenyFilter \*.*/

ListOptions "-An +R" strict

UseGlobbing off

 

ShowSymlinks on

TimesGMT on

 

 

# --------------------------------------------

# Up- & Download

# --------------------------------------------

 

AllowOverwrite on

AllowRetrieveRestart on

HiddenStores off

DeleteAbortedStores off

AllowStoreRestart on
# widerspricht sonst "DeleteAbortedStores"

 

# --------------------------------------------

# Datei & Verzeichnis

# --------------------------------------------

 

Umask 0017 0007

 



### hierher alle <Directory>-Bloecke
#------------------------------------------

# Directory Anweisungen

#  xxx

<Directory /xxx/xxx/*/Upload/>

<Limit RETR>
AllowUser xxx
DenyAll
</Limit>

<Limit DELE>
AllowUser xxx
DenyAll
</Limit>

AllowStoreRestart on
DeleteAbortedStores off
HiddenStores off
</Directory>


<Directory /xxx/xxx/xxx/xxx/Upload/>

<Limit RETR>
AllowUser xxx
AllowUser xxx
DenyAll
</Limit>

<Limit DELE>
AllowUser xxx
DenyAll
</Limit>

AllowStoreRestart on
DeleteAbortedStores off
HiddenStores off
</Directory>

# xxx

<Directory /xxx/xxx/xxx/xxx/Upload/>

<Limit RETR>
AllowUser xxx
DenyAll
</Limit>

<Limit DELE>
AllowUser xxx
DenyAll
</Limit>


AllowStoreRestart on
DeleteAbortedStores off
HiddenStores off

</Directory>


<Directory /xxx/xxx/xxx/xxx/Upload/>

<Limit RETR>
AllowUser xxx
DenyAll
</Limit>

<Limit DELE>
AllowUser xxx
DenyAll
</Limit>


AllowStoreRestart on
DeleteAbortedStores off
HiddenStores off

</Directory>


<Directory /xxx/xxx/xxx/xxx/Upload/>

<Limit RETR>
AllowUser xxx
DenyAll
</Limit>

<Limit DELE>
AllowUser xxx
DenyAll
</Limit>


AllowStoreRestart on
DeleteAbortedStores off
HiddenStores off

</Directory>

 

# --------------------------------------------

# Anonymous FTP

# --------------------------------------------

 

# <Anonymous /home/ftp>

# User ftp

# Group ftpuser

# UserAlias anonymous ftp

#

# MaxClients 5 # weniger anonymous-User als Reg.User

# MaxRetrieveFileSize 512 Mb # max. Downloadgroesse

#

# # Geschwindigkeit von Up/Downloads

# # auf 255 K/sec. beschraenken

# TransferRate APPE,RETR,STOR,STOU 255

#

# <Directory *>

# HideNoAccess on

# <Limit WRITE>

# DenyAll

# IgnoreHidden on

# </Limit>

# </Directory>

# </Anonymous>

 

 

# --------------------------------------------

# Logging

# --------------------------------------------

debugLevel 6

Serverlog /var/log/proftpd.debug.log 


WtmpLog off

TransferLog /var/log/proftpd/xferlog

 

#Record all logins

ExtendedLog /var/log/proftpd/auth.log AUTH auth

 

# Logging file/dir access

ExtendedLog /var/log/proftpd/access.log WRITE,READ write

 

# Paranoia logging level....

ExtendedLog /var/log/proftpd/paranoid.log ALL default

 

# fuer Debug: alle modMySQL Kommentare (Datenmenge immens!)

#SQLLogFile /var/log/proftpd/sql.log

</Global>

 

 

# --------------------------------------------

# Standard-Server

# --------------------------------------------

 

DefaultAddress xx.xxx.xxx.xx

ServerName xxx

ServerAdmin xx@xxx.com

MasqueradeAddress xxx.xxx.xxx

 

#<IfModule mod_tls.c>

#TLSEngine on

#TLSRSACertificateFile /etc/ssl/certs/meinserver.tld.cert

#TLSRSACertificateKeyFile /etc/ssl/certs/meinserver.tld.key

#</IfModule>

 

 

# --------------------------------------------

# Virtuelle Hosts...

# --------------------------------------------

 

#<VirtualHost 192.168.1.101>

#ServerName server2.meinserver.tld

#ServerAdmin hostmaster@meinserver.tld

 

#<IfModule mod_tls.c>

#TLSEngine on

#TLSRSACertificateFile /etc/ssl/certs/server2.meinserver.tld.cert

#TLSRSACertificateKeyFile /etc/ssl/certs/server2.meinserver.tld.key

#</IfModule>

#</VirtualHost>


eine weitere sache ist die, das ich per limitanweisungen ein paar directories modifiziert habe (siehe oben!). ich habe die info bekommen, das ich durch den befehl <Directory /xxx/xxx/*/Upload/> alle verzeichnisse in dem unterverzeichnis von /xxx/xxx/ mit dem namen "upload" limitieren kann... richtig ? gilt dies dann auch für einen ordner, der dann in /xxx/xxx/*/xxx/upload liegen würde oder müsste ich das dann so /xxx/xxx/*/*/upload benennen, also dann mit ner zusätzlichen directory anweisung ? mal ganz davon abgesehen funzt auch der <Directory /xxx/xxx/*/Upload/> befehl nicht... irgendwelche ideen ??

übrigens, ich bin noch anfänger was linux angeht, insofern bitte ich blöde fragen im vorfeld direkt zu entschuldigen... Zwinkernd

also, wenn mal hier einer über die .conf schauen könnte und mir evtl. sagen könnte, was da falsch ist bzw. noch zu optimieren wäre, wäre ich sehr dankbar...

gruß

deebeean
Gespeichert
VolGas
Moderator
ProFTPD
*****
Offline Offline

Beiträge: 771



Profil anzeigen
« Antwort #1 am: 26. September 2006, 12:21:03 »

Hallo!

Zuerst zu den Fehlermeldungen: die Fehlermeldungen der FTP-Clients sind i.d.R. überhaupt
nicht zu gebrauchen, denn sie bringen meist nur generalisierte Fehlermeldungen - jeder
seine eigene.

Die Clients nutzen heutzutage standardmäßig den passive mode, das dürfte kein Problem
darstellen. Was aber zum Problem werden kann, ist eine dazwischengeschaltete Firewall
(oder IPTables), die bestimme Ports nicht durchlässt. Das solltest Du überprüfen.
Ansonsten: laß' Dich nicht verrückt machen, oder sind falsch konfigurierte Clients Dein
Problem? Dann wirst Du immer eines haben.

Zur proftpd.conf: da Du das Muster von Stonki's Site genommen hast, ist Deine proftpd.conf
schon recht gut optimiert. Nun zu den Details: Teile (wie TLS oder SQL), die Du nicht brauchst,
kannst Du einfach mitsamt Kommentar entfernen.

  • "UseFtpUsers" kannst Du ruhig auf "off" setzen: der Zugriff wird durch Gruppenzu-
    gehörigkeit geregelt. Ist sonst nur zusätzlicher Aufwand.
  • bei der Authentifikation werden alle User, die NICHT zur Gruppe "ftpuser" gehören,
    abgewiesen. Ob dann die (doppelte) Anweisung "AllowGroup xxx" noch etwas daran
    ändert (und Sinn macht), weiß ich nicht.
  • wirklich notwendig ist das "RETR" in <Limit RETR LOGIN> auch nicht.
  • die ganzen "...store..."-Direktiven sind schon einmal zentral definiert müssen dies
    nicht immer wieder in jedem "<Directory..."-Block neu definiert werden -
    es sei denn, es soll sich wirklich etwas ändern.
  • die "<Directory"-Blöcke werden nicht funktionieren, wenn Du nicht wirklich die
    "/xxx"-Verzeichnisse hast. Es gibt nur ein Alias-Zeichen, nämlich das Sternchen: "*"
    Ich vermute einmal, Du wolltest so etwas wie: "<Directory ~/*/Upload/">.
    Aufgeschlüsselt: vom Homedir ausgehend irgend etwas, das in einem Verzeichnis
    mit dem Namen "Upload" endet. Lies' Dir einmal ->"Configuring a <Directory>" durch...
  • man kann mehrere FTP-Befehle gleichzeitig einschränken: "<Limit RETR DELE ...>".
    Die Direktive wird ->hier beschrieben. Hast Du wirklich einen User und eine
    Gruppe "xxx", die Du gesondert behandeln möchtest?
  • Ein freigegebenes Upload-Verzeichnis hat man für Gewöhnlich nur in "Anonymous"
    Installationen - und dann auch nur eines. Bist Du Dir mit Deiner Installation sicher?

Es bleibt Dir wohl nichts übrig, aber Du wirst noch einmal Deine proftpd.conf überarbeiten
müssen, denn die "<Directory...>"-Blöcke sind wohl wirklungslos und für die Katz'...

mfg.
  VolGas
Gespeichert
deebeean
ProFTPD
*
Offline Offline

Beiträge: 3


Profil anzeigen
« Antwort #2 am: 26. September 2006, 13:24:13 »

erstmal vielen dank für die schnelle und nette beantwortung meiner fragen, das ist mir in anderen
foren nicht immer unbedingt so passiert...
habe jedenfalls angefangen, nach deinen tips die conf anzugleichen, werde sie auch später nochmal
posten... jetzt erst zu deinen einzelnen anmerkungen:

Zitat
Ansonsten: laß' Dich nicht verrückt machen, oder sind falsch konfigurierte Clients Dein
Problem? Dann wirst Du immer eines haben.

nee, ich lass mich nicht verrückt machen, aber ich würde gern gewährleisten, das halt möglichst viele der
user sich stressfrei connecten können. stressfrei heisst auch, das ich nicht ständig irgendwelche mails
beantworten muss, die eben genau diese fehlermeldungen betreffen. wenn das aber nun an den clients
der einzelnen user liegt, ist das halt so... Zwinkernd

Zitat
# bei der Authentifikation werden alle User, die NICHT zur Gruppe "ftpuser" gehören,
abgewiesen. Ob dann die (doppelte) Anweisung "AllowGroup xxx" noch etwas daran
ändert (und Sinn macht), weiß ich nicht.

also, hier füge ich nur die gruppe ein, die ich für den server angelegt habe, richtig ? mal angenommen die
gruppe heisst "halloftpusers" würde der befehl: DenyGroup !halloftpusers lauten, richtig ?

Zitat
die "<Directory"-Blöcke werden nicht funktionieren, wenn Du nicht wirklich die
"/xxx"-Verzeichnisse hast. Es gibt nur ein Alias-Zeichen, nämlich das Sternchen: "*"
Ich vermute einmal, Du wolltest so etwas wie: "<Directory ~/*/Upload/">.
Aufgeschlüsselt: vom Homedir ausgehend irgend etwas, das in einem Verzeichnis
mit dem Namen "Upload" endet

die verzeichnisse sind schon existent und die limit anweisungen funktionieren auch, lediglich die erste:

(jetzt schon hoffentlich richtig abgewandelt)

<Directory /xxx/xxx/*/Upload/>

<Limit RETR DELE>
AllowUser xxx
DenyAll
</Limit>

</Directory>

funzt nicht wie sie soll.

ich wollte halt durch diesen befehl alle ordner namens "upload" in dem server ordner gleichzeitig limitieren.
ich hab da alllerdings noch verständnisschwierigkeiten:
bei so einem befehl, wenn wir annehmen, die user verzeichnisse würden in /usr/halloserver/ liegen,
dachte ich das durch diesen befehl eben alle ordner namens "upload", die in den unterverzeichnissen von
/usr/halloserver/ liegen, mit limitiert werden... was mir dabei aber noch nicht klar ist, ob dann in diesem fall
z.b. auch der ordner /usr/halloserver/user/userprojekt/upload mit limitiert wird, da er ja 2 verzeichnisse
weiter "unten" liegt ?? hoffe ich konnte das verständlich machen...
ist dann für so eine anwendung der: "<Directory ~/*/Upload/>" befehl ?

Zitat
Ein freigegebenes Upload-Verzeichnis hat man für Gewöhnlich nur in "Anonymous"
Installationen - und dann auch nur eines. Bist Du Dir mit Deiner Installation sicher?

hhhmmm, eigentlich bin ich mir da sicher. erstens will ich ja kein anonymous installation, also keine anonymous
user auf meinem server und zweitens, will ich jedem user ein homeverzeichnis geben, in dem nur er (und natürlich ich)
sich drin bewegen können. er soll dort eingesperrt sein und ausserdem einen ordner für downloads und einen ordner
für uploads haben... macht das keinen sinn ?

Zitat
Hast Du wirklich einen User und eine Gruppe "xxx", die Du gesondert behandeln möchtest?

naja, wie gerade schon erwähnt, möchte ich trotz aller beschränkungen in den ordnern der user nicht von diesen
limitierungen betroffen sein, deswegen habe ich dann zumindest bei den RETR und DELE anweisungen mich durch
den AllowUser xxx befehl ausgeklammert... oder ist das auch anders zu regeln ?

ok, soweit erstmal... nochmals vielen dank für die hilfe

gruß

deebeean
Gespeichert
VolGas
Moderator
ProFTPD
*****
Offline Offline

Beiträge: 771



Profil anzeigen
« Antwort #3 am: 26. September 2006, 16:12:01 »

Zitat
also, hier füge ich nur die gruppe ein, die ich für den server angelegt habe, richtig ? mal angenommen die
gruppe heisst "halloftpusers" würde der befehl: DenyGroup !halloftpusers lauten, richtig ?

Genau.
Wichtig ist das Ausrufezeichen vor dem Gruppennamen, das die Bedeutung umkehrt:
statt die speziell diese Gruppe zu verbieten, wird diese eben freigegeben und dafür allen
anderen der Zugang verwehrt.

Zitat
<Limit RETR DELE>
AllowUser xxx
DenyAll
</Limit>

Hier ist das selbe Spiel wie gerade eben: statt "Allow..." schreibe den Block so:
  <Limit RETR DELE>
    DenyUser !xxx
  </Limit>
Wichtig ist auch hier wieder das Ausrufezeichen, das alles umdreht.

Aber eine andere Sache, die Dir vermutlich noch nicht bewußt ist: nach dem Einloggen
ist der ProFTPD wie eine Usershell zu verstehen: der Prozess läuft unter der UID/GID des
eingeloggten Users, hat also die selben Einschränkungen und Rechte wie dieser.

Setzt ein User z.B. die Rechte eines Verzeichnisses oder einer Datei auf chmod 600 (rw-------),
so kann nur er alleine darauf zugreifen. Das ist nicht zu umgehen oder auszutricksen -
es sei denn, man ist "root"! Der hat aber aus Sicherhheitsgründen keinen FTP-Zugang!

Damit ist ein "allmächtiger" Admin, der auf alles zugreifen und regeln kann, nicht wirklich
möglich und die ganzen Limitierungs-Konstruktionen dahingehend sinnlos. Da bleibt Dir
weiterhin nur der Shellzugriff als "root" zum administrieren. Schade, ist aber so.

Zitat
bei so einem befehl, wenn wir annehmen, die user verzeichnisse würden in /usr/halloserver/ liegen,
dachte ich das durch diesen befehl eben alle ordner namens "upload", die in den unterverzeichnissen von
/usr/halloserver/ liegen, mit limitiert werden... was mir dabei aber noch nicht klar ist, ob dann in diesem fall
z.b. auch der ordner /usr/halloserver/user/userprojekt/upload mit limitiert wird, da er ja 2 verzeichnisse
weiter "unten" liegt ??

Um es ganz deutlich zu machen: mit "<Directory /xxx/xxx/*/Upload/>" wird dies nicht
gelingen, sondern nur mit "<Directory /usr/halloserver/*/Upload/>" oder, nach Linux-Art:
"<Directory ~/*/Upload/>" - sofern das Homeverzeichnis des Users "/usr/halloserver" ist.

Die beiden Zeichen "~" und "*" sind etwas Unix-spezielles: beginnt ein Pfadnamen mit "~", so
ist damit ein Pfad, beginnend ab einem Homeverzeichnis eines Users, gemeint. Solch ein Pfad
ist also kein absoluter Pfad, sondern geht immer vom Home-Verzeichnis des jeweiligen Users
aus - egal wo es liegt.

Das Sternchen ist ein "Joker"-Zeichen und dient als variabler Platzhalter für Pfade.
Das kann ein einzelnes Zeichen sein oder ein ganzer Teil eines riesigen Pfades - auch über
mehrere Verzeichnisse hinweg.

Jetzt, wo Du das alles weist, haben sich damit wohl alle weiteren Fragen erledigt, oder?  Zwinkernd
Wenn nicht, melde Dich einfach wieder hier.
Aber denke bitte daran: das hier ist ein ProFTPD-Forum...

Noch ein Tipp: Solltest Du ernsthaft Interesse an Linux haben, so kann ich Dir nur wärmstens
z.B. das Standardwerk, den "Kofler" empfehlen...

mfg.
  VolGas
Gespeichert
deebeean
ProFTPD
*
Offline Offline

Beiträge: 3


Profil anzeigen
« Antwort #4 am: 27. September 2006, 00:23:31 »

so... die conf datei ist bearbeitet... server läuft soweit ohne probleme... wieder ein paar sachen dazugelernt... und kofler schon bestellt... Zwinkernd

werde mich dann damit erstmal weiter in die basics von linux einarbeiten (versprochen!), jetzt war nur das problem, das ich den server mit den speziellen anweisungen schnell ans laufen bekomme...

hier nochmal die vorläufige conf datei: (wird natürlich noch weiter optimiert) Zwinkernd

Code:
# This is a basic ProFTPD configuration file (rename it to
# 'proftpd.conf' for actual use.  It establishes a single server
# and a single anonymous login.  It assumes that you have a user/group
# "nobody/nogroup" and "ftp" for normal operation and anon.



ServerName TestFTP
ServerType standalone

PidFile /var/run/proftpd.pid

 

MaxInstances 30

MaxConnectionRate 4

SocketBindTight off

UseReverseDNS off

 

RootRevoke on

DefaultServer on

MultilineRFC2228 on

 

<IfModule mod_delay.c>

DelayEngine off

#DelayTable var/run/proftpd/proftpd.delay

</IfModule>

 

<IfModule mod_tls.c>

TLSProtocol SSLv23

</IfModule>

 

# Log-Formate definieren

SystemLog NONE

LogFormat default "%h %l %u %t \"%r\" %s %b"

LogFormat auth "%v [%P] %h %t \"%r\" %s"

LogFormat write "%h %l %u %t \"%r\" %s %b"

 

 

 

# --------------------------------------------

# globale Settings

# --------------------------------------------

 

<Global>

User nobody

Group nogroup

 

 

# --------------------------------------------

# Login

# --------------------------------------------

 

ServerIdent on "FTP server ready."

DeferWelcome on

DisplayConnect /etc/proftpd.msg

 

IdentLookups off

UseFtpUsers off

RequireValidShell off

 

TimeoutLogin 60

MaxLoginAttempts 3

MaxClientsPerHost 3

 

 

# --------------------------------------------

# Authentifikation: Standard

# --------------------------------------------

 

<IfModule !mod_sql.c>

AuthOrder mod_auth_unix.c

 

<Limit LOGIN>

DenyGroup !testftpuser
IgnoreHidden on

</Limit>

</IfModule>

 

 

# --------------------------------------------

# Authentifikation per SQL

# --------------------------------------------

 

#<IfModule mod_sql.c>

#AuthOrder mod_sql.c

 

#SQLConnectInfo db@localhost sqluser pass

#SQLUserInfo ftp userid passwd uid gid homedir NULL

#SQLAuthTypes Plaintext

#SQLAuthenticate users

#SQLMinUserUID 1024

#SQLMinUserGID 555

#SQLNegativeCache on

#</IfModule>

 

 

# --------------------------------------------

# TLS Standards

# --------------------------------------------

 

#<IfModule mod_tls.c>

#TLSEngine off

#TLSTimeoutHandshake 60

#TLSRequired off

#TLSVerifyClient off

 

#TLSOptions NoCertRequest

#TLSLog /var/log/proftpd/tls.log

 

# TLSCACertificateFile /etc/ssl/certs/CA.cert # CA-Cert optional

#</IfModule>

 

 

# --------------------------------------------

# Post-Login, Timeouts

# --------------------------------------------

 

PassivePorts 49152 65534

 

DisplayLogin welcome.msg

DisplayFirstChdir .message

AllowOverride off

 

TimeoutIdle 600 # Inaktivitaet

TimeoutNoTransfer 3600 # keine Datenuebertragung (Listing, File, ...)

TimeoutStalled 300 # haengende Datenuebertragung

TimeoutSession 7200 # Gesamtdauer einer Session

 

 

# --------------------------------------------

# Session

# --------------------------------------------

 

DefaultRoot ~

 

DenyFilter \*.*/

ListOptions "-An +R" strict

UseGlobbing off

 

ShowSymlinks on

TimesGMT on

 

 

# --------------------------------------------

# Up- & Download

# --------------------------------------------

 

AllowOverwrite on

AllowRetrieveRestart on

HiddenStores off

DeleteAbortedStores off

AllowStoreRestart on
# widerspricht sonst "DeleteAbortedStores"

 

# --------------------------------------------

# Datei & Verzeichnis

# --------------------------------------------

 

Umask 0017 0007

 



### hierher alle <Directory>-Bloecke
#------------------------------------------

# Directory Anweisungen

#  xxx


<Directory /weg/zum/speziellen/Verzeichnis1/Upload/>

<Limit RETR DELE>
AllowUser user1
AllowUser user2
DenyAll
</Limit>

</Directory>

# xxx

<Directory /weg/zum/speziellen/Verzeichnis2/Upload/>

<Limit RETR DELE>
AllowUser user1
DenyAll
</Limit>

</Directory>


<Directory /weg/zum/speziellen/Verzeichnis3/Upload/>

<Limit RETR DELE>
AllowUser user1
DenyAll
</Limit>

</Directory>


<Directory /weg/zum/speziellen/Verzeichnis4/Upload/>

<Limit RETR DELE>
AllowUser user1
DenyAll
</Limit>

</Directory>

 

# --------------------------------------------

# Anonymous FTP

# --------------------------------------------

 

# <Anonymous /home/ftp>

# User ftp

# Group ftpuser

# UserAlias anonymous ftp

#

# MaxClients 5 # weniger anonymous-User als Reg.User

# MaxRetrieveFileSize 512 Mb # max. Downloadgroesse

#

# # Geschwindigkeit von Up/Downloads

# # auf 255 K/sec. beschraenken

# TransferRate APPE,RETR,STOR,STOU 255

#

# <Directory *>

# HideNoAccess on

# <Limit WRITE>

# DenyAll

# IgnoreHidden on

# </Limit>

# </Directory>

# </Anonymous>

 

 

# --------------------------------------------

# Logging

# --------------------------------------------

debugLevel 6

Serverlog /var/log/proftpd.debug.log 

WtmpLog off

TransferLog /var/log/proftpd/xferlog

 

#Record all logins

ExtendedLog /var/log/proftpd/auth.log AUTH auth

 

# Logging file/dir access

ExtendedLog /var/log/proftpd/access.log WRITE,READ write

 

# Paranoia logging level....

ExtendedLog /var/log/proftpd/paranoid.log ALL default

 

# fuer Debug: alle modMySQL Kommentare (Datenmenge immens!)

#SQLLogFile /var/log/proftpd/sql.log

</Global>

 

 

# --------------------------------------------

# Standard-Server

# --------------------------------------------

 

DefaultAddress xx.xxx.xxx.xx

ServerName TestFTP
ServerAdmin xx@xxx.com

MasqueradeAddress xxx.xxx.xxx

 

#<IfModule mod_tls.c>

#TLSEngine on

#TLSRSACertificateFile /etc/ssl/certs/meinserver.tld.cert

#TLSRSACertificateKeyFile /etc/ssl/certs/meinserver.tld.key

#</IfModule>

 

 

# --------------------------------------------

# Virtuelle Hosts...

# --------------------------------------------

 

#<VirtualHost 192.168.1.101>

#ServerName server2.meinserver.tld

#ServerAdmin hostmaster@meinserver.tld

 

#<IfModule mod_tls.c>

#TLSEngine on

#TLSRSACertificateFile /etc/ssl/certs/server2.meinserver.tld.cert

#TLSRSACertificateKeyFile /etc/ssl/certs/server2.meinserver.tld.key

#</IfModule>

#</VirtualHost>



denke das ist schon ein wenig aufgeräumter so... Smiley

eine sache funzt aber doch noch nicht und zwar die mit "<Directory ~/*/Upload/>"...

<Directory ~/*/Upload/>

<Limit RETR DELE>
DenyAll
</Limit>

</Directory>

obwohl ich den befehl so eingetragen habe (in der obigen conf) und natürlich dann noch die alten directory anweisungen entfernt wurden, hatten die ordner, die ich vorher einzeln limitiert habe, leider nicht das gleiche verhalten wie zuvor (wobei ich dachte, das dies durch diesen befehl eben abgedeckt ist)... 
man konnte nach neustart des servers wieder die files aus diesen ordnern runterladen oder löschen ! genau das soll ja eben nicht möglich sein...

habe ich da noch nen fehler drin oder hab ich es einfach doch noch nicht verstanden ??  Huch

vielen dank nochmal an volgas für die geduldige hilfe !!!  Cool
Gespeichert
VolGas
Moderator
ProFTPD
*****
Offline Offline

Beiträge: 771



Profil anzeigen
« Antwort #5 am: 27. September 2006, 09:57:02 »

Zitat
obwohl ich den befehl so eingetragen habe (in der obigen conf) und natürlich dann noch die alten directory anweisungen entfernt wurden, hatten die ordner, die ich vorher einzeln limitiert habe, leider nicht das gleiche verhalten wie zuvor (wobei ich dachte, das dies durch diesen befehl eben abgedeckt ist)...

Dachte ich eigentlich auch. Verlegen
Absolute Pfade sind halt doch besser.
Wenn Deine proftpd.conf funktioniert, dann laß es einfach so.

Aber ich würde die Limit-Anweisung noch detailierter schreiben und zusätzlich verhindern,
daß Uploads -ob beabsichtigt oder unbeabsichtigt- nachträglich "sabotiert" werden können:

<Directory /Pfad_zu_Homedirs/*/Upload/>
  DeleteAbortedStores on
  AllowStoreRestart off

  <Limit READ DIRS MKD RTFR DELE>
    DenyAll
  </Limit>
</Directory>

Das trifft es genauer und sollte funktionieren, siehe ->hier.
(ich bin nun ein wenig vorsichtiger, mit dem was ich schreibe)

Zitat
habe ich da noch nen fehler drin oder hab ich es einfach doch noch nicht verstanden ??

Vielleicht ich ja auch noch nicht...

Es freut mich dennoch, wenn ich Dir irgendwie weiterhelfen konnte.

mfg.
  VolGas
Gespeichert
Seiten: [1]   Nach oben
  Drucken  
 
Gehe zu:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.2 | SMF © 2006-2007, Simple Machines LLC Prüfe XHTML 1.0 Prüfe CSS
Seite erstellt in 0.087 Sekunden mit 17 Zugriffen.