www.ProFTPD.de
13. März 2007, 19:52:49 *
Willkommen Gast. Bitte einloggen oder registrieren.
Haben Sie Ihre Aktivierungs E-Mail übersehen?

Einloggen mit Benutzername, Passwort und Sitzungslänge
News: SMF - Neu installiert!
 
   Übersicht   Hilfe Suche Login Registrieren  
Seiten: [1]   Nach unten
  Drucken  
Autor Thema: 530 Login incorrect.  (Gelesen 416 mal)
0 Mitglieder und 1 Gast betrachten dieses Thema.
Ringwraith
ProFTPD
*
Offline Offline

Beiträge: 3


Profil anzeigen
« am: 26. Oktober 2006, 15:10:10 »

Hallo alle zusammen.

Möchte mit ProFtpd folgendes machen:
- User 'anonymous' (/home/ftp/anonymous); kein Passwort
- User 'cdvmatura' (/home/ftp/cdvmatura);
         Passwort des Systemusers soll eingegeben werden müssen;
         User existiert auf dem System;
         User ist Mitglied der Gruppe 'ftpuser'
- User 'ringwraith' (/home/ftp);
         Passwort des Systemusers soll eingegeben werden müssen;
         User existiert auf dem System;
         User ist Mitglied der Gruppe 'ftpuser'

Aktueller Stand:
- Anonymous funktioniert
- cdvmatura + ringwraith ==> 530 login incorrect
- ringwraith passwort stimmt ganz bestimmt. Man kann sich in der konsole anmelden
- cdvmatura passwort stimmt auch.

Aktuelle Config:
Code:
#
# /etc/proftpd.conf -- This is a basic ProFTPD configuration file.
# To really apply changes reload proftpd after modifications.
#

ServerName                      "Bamboocha"
ServerType                      standalone

DeferWelcome                    on
ServerIdent                     on "FTP server ready"
DisplayConnect                  /home/ftp/welcome.msg
AllowForeignAddress             on

MultilineRFC2228                on
DefaultServer                   on
ShowSymlinks                    on

TimeoutNoTransfer               600
TimeoutStalled                  600
TimeoutIdle                     1200

ListOptions                     "-l"

#DenyFilter                     \*.*/
AllowOverride                   off

# Uncomment this if you are using NIS or LDAP to retrieve passwords:
#PersistentPasswd               off

# Uncomment this if you would use TLS module:
#TLSEngine                      on

# Uncomment this if you would use quota module:
#Quotas                         on

# Uncomment this if you would use ratio module:
#Ratios                         on

# Port 21 is the standard FTP port.
Port                            21

# To prevent DoS attacks, set the maximum number of child processes
# to 30.  If you need to allow more than 30 concurrent connections
# at once, simply increase this value.  Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd)
MaxInstances                    30
MaxClients                      8 "Sorry, max %m users -- try again later"
MaxClientsPerHost               2 "Sorry, max %m connections"

#Allow Restart
AllowStoreRestart               on
AllowRetrieveRestart            on

#Jail all users into their virtual home dir
DefaultRoot                     ~

UseFtpUsers                     off
RequireValidShell               off

# Set the user and group that the server normally runs at.
User                            nobody
Group                           nogroup

# Umask 022 is a good standard umask to prevent new files and dirs
# (second parm) from being group and world writable.
Umask                           022  022
# Normally, we want files to be overwriteable.
AllowOverwrite                  on

# Delay engine reduces impact of the so-called Timing Attack described in
# http://security.lss.hr/index.php?page=details&ID=LSS-2004-10-02
# It is on by default.
#DelayEngine                    off

#Root-Login verbieten
RootLogin                       off

<Limit LOGIN>
  DenyGroup !ftpuser
</Limit>


#Speed erh<C3><B6>hen
UseReverseDNS                   off
IdentLookups                    off


#
# Logging options
#
TransferLog                     /var/log/proftpd.xferlog

# Some logging formats
LogFormat default "%h %l %u %t \"%r\" %s %b"
LogFormat auth  "%v [%P] %h %t \"%r\" %s"
LogFormat write "%h %l %u %t \"%r\" %s %b"

# Log file/dir access
ExtendedLog /var/log/proftpd.access_log WRITE,READ write

# Record all logins
ExtendedLog /var/log/proftpd.auth_log AUTH auth

# Paranoia logging level....
ExtendedLog /var/log/proftpd.paranoid_log ALL default
<IfModule mod_auth_pam.c>
  AuthPAM off
</IfModule>

<IfModule !mod_sql.c>
  AuthOrder mod_auth_unix.c
</IfModule>

# Our "basic" anonymous configuration, including a single
# upload directory ("uploads")
<Anonymous ~ftp/anonymous>

  # Allow logins if they are disabled above.
  <Limit LOGIN>
    AllowAll
  </Limit>

  # Maximum clients with message
  MaxClients                    5 "Sorry, max %m users -- try again later"

  User                          ftp
  Group                         ftp
  # We want clients to be able to login with "anonymous" as well as "ftp"
  UserAlias                     anonymous ftp

  # Limit WRITE everywhere in the anonymous chroot
  <Limit WRITE>
    DenyAll
  </Limit>

  # An upload directory that allows storing files but not retrieving
  # or creating directories.
  <Directory *>
    <Limit WRITE>
      DenyAll
    </Limit>
    <Limit MKD STOR RETR>
      AllowAll
    </Limit>
  </Directory>
</Anonymous>

<Anonymous ~ftp/cdvmatura>
  User                          ftp
  Group                         ftp
  UserAlias                     cdvmatura ftp
  AnonRequirePassword           on

  # Permit uploading and creation of new directories in
  <Limit WRITE>
    DenyAll
  </Limit>

  # An upload directory that allows storing files but not retrieving
  # or creating directories.
  <Directory *>
    <Limit MKD STOR RETR>
      AllowAll
    </Limit>
  </Directory>
</Anonymous>

<Anonymous ~ftp>
  User                          ftp
  Group                         ftp
  UserAlias                     ringwraith ftp
  AnonRequirePassword           on

  <Limit ALL>
    AllowAll
  </Limit>
</Anonymous>

Log von Proftpd:
Code:
- mod_tls/2.0.7: using OpenSSL 0.9.8a 11 Oct 2005
 - parsing '/etc/proftpd.conf' configuration
 - <IfModule>: found 'mod_auth_pam.c' module
 - <IfModule>: found 'mod_sql.c' module
 - <Directory *>: adding section for resolved path '*'
 - <Directory *>: adding section for resolved path '*'
Bamboocha.lan -
Bamboocha.lan - Config for Bamboocha:
Bamboocha.lan - ~ftp/
Bamboocha.lan -  Limit
Bamboocha.lan -   AllowAll
Bamboocha.lan -  UserName
Bamboocha.lan -  GroupName
Bamboocha.lan -  UserAlias
Bamboocha.lan -  AnonRequirePassword
Bamboocha.lan -  AllowForeignAddress
Bamboocha.lan -  ShowSymlinks
Bamboocha.lan -  ListOptions
Bamboocha.lan -  AllowOverride
Bamboocha.lan -  MaxClients
Bamboocha.lan -  MaxClientsPerHost
Bamboocha.lan -  AllowStoreRestart
Bamboocha.lan -  AllowRetrieveRestart
Bamboocha.lan -  UseFtpUsers
Bamboocha.lan -  RequireValidShell
Bamboocha.lan -  Umask
Bamboocha.lan -  DirUmask
Bamboocha.lan -  AllowOverwrite
Bamboocha.lan -  RootLogin
Bamboocha.lan -  TransferLog
Bamboocha.lan - ~ftp/cdvmatura/
Bamboocha.lan -  Limit
Bamboocha.lan -   AllowAll
Bamboocha.lan -  Limit
Bamboocha.lan -   DenyAll
Bamboocha.lan -  UserName
Bamboocha.lan -  GroupName
Bamboocha.lan -  UserAlias
Bamboocha.lan -  AnonRequirePassword
Bamboocha.lan -  AllowForeignAddress
Bamboocha.lan -  ShowSymlinks
Bamboocha.lan -  ListOptions
Bamboocha.lan -  AllowOverride
Bamboocha.lan -  MaxClients
Bamboocha.lan -  MaxClientsPerHost
Bamboocha.lan -  AllowStoreRestart
Bamboocha.lan -  AllowRetrieveRestart
Bamboocha.lan -  UseFtpUsers
Bamboocha.lan -  RequireValidShell
Bamboocha.lan -  Umask
Bamboocha.lan -  DirUmask
Bamboocha.lan -  AllowOverwrite
Bamboocha.lan -  RootLogin
Bamboocha.lan -  TransferLog
Bamboocha.lan - ~ftp/anonymous/
Bamboocha.lan -  Limit
Bamboocha.lan -   DenyAll
Bamboocha.lan -  Limit
Bamboocha.lan -   AllowAll
Bamboocha.lan -  Limit
Bamboocha.lan -   DenyAll
Bamboocha.lan -  Limit
Bamboocha.lan -   AllowAll
Bamboocha.lan -  MaxClients
Bamboocha.lan -  UserName
Bamboocha.lan -  GroupName
Bamboocha.lan -  UserAlias
Bamboocha.lan -  AllowForeignAddress
Bamboocha.lan -  ShowSymlinks
Bamboocha.lan -  ListOptions
Bamboocha.lan -  AllowOverride
Bamboocha.lan -  MaxClientsPerHost
Bamboocha.lan -  AllowStoreRestart
Bamboocha.lan -  AllowRetrieveRestart
Bamboocha.lan -  UseFtpUsers
Bamboocha.lan -  RequireValidShell
Bamboocha.lan -  Umask
Bamboocha.lan -  DirUmask
Bamboocha.lan -  AllowOverwrite
Bamboocha.lan -  RootLogin
Bamboocha.lan -  TransferLog
Bamboocha.lan - Limit
Bamboocha.lan -  DenyGroup
Bamboocha.lan - DeferWelcome
Bamboocha.lan - ServerIdent
Bamboocha.lan - DisplayConnect
Bamboocha.lan - AllowForeignAddress
Bamboocha.lan - DefaultServer
Bamboocha.lan - ShowSymlinks
Bamboocha.lan - TimeoutNoTransfer
Bamboocha.lan - TimeoutStalled
Bamboocha.lan - TimeoutIdle
Bamboocha.lan - ListOptions
Bamboocha.lan - AllowOverride
Bamboocha.lan - MaxClients
Bamboocha.lan - MaxClientsPerHost
Bamboocha.lan - AllowStoreRestart
Bamboocha.lan - AllowRetrieveRestart
Bamboocha.lan - DefaultRoot
Bamboocha.lan - UseFtpUsers
Bamboocha.lan - RequireValidShell
Bamboocha.lan - UserID
Bamboocha.lan - UserName
Bamboocha.lan - GroupID
Bamboocha.lan - GroupName
Bamboocha.lan - Umask
Bamboocha.lan - DirUmask
Bamboocha.lan - AllowOverwrite
Bamboocha.lan - RootLogin
Bamboocha.lan - IdentLookups
Bamboocha.lan - TransferLog
Bamboocha.lan - ExtendedLog
Bamboocha.lan - ExtendedLog
Bamboocha.lan - ExtendedLog
Bamboocha.lan - AuthPAM
Bamboocha.lan - AuthOrder
Bamboocha.lan - ProFTPD 1.2.10 (stable) (built do mrt 22 18:28:32 CET 2001) standalone mode STARTUP
Bamboocha.lan (192.168.1.101[192.168.1.101]) - FTP session requested from unknown class
Bamboocha.lan (192.168.1.101[192.168.1.101]) - AuthOrder in effect, resetting auth module order
Bamboocha.lan (192.168.1.101[192.168.1.101]) - connected - local  : 192.168.1.120:21
Bamboocha.lan (192.168.1.101[192.168.1.101]) - connected - remote : 192.168.1.101:1892
Bamboocha.lan (192.168.1.101[192.168.1.101]) - FTP session opened.
Bamboocha.lan (192.168.1.101[192.168.1.101]) - dispatching PRE_CMD command 'USER ringwraith' to mod_rewrite
Bamboocha.lan (192.168.1.101[192.168.1.101]) - dispatching PRE_CMD command 'USER ringwraith' to mod_tls
Bamboocha.lan (192.168.1.101[192.168.1.101]) - dispatching PRE_CMD command 'USER ringwraith' to mod_core
Bamboocha.lan (192.168.1.101[192.168.1.101]) - dispatching PRE_CMD command 'USER ringwraith' to mod_core
Bamboocha.lan (192.168.1.101[192.168.1.101]) - dispatching PRE_CMD command 'USER ringwraith' to mod_delay
Bamboocha.lan (192.168.1.101[192.168.1.101]) - dispatching PRE_CMD command 'USER ringwraith' to mod_auth
Bamboocha.lan (192.168.1.101[192.168.1.101]) - dispatching CMD command 'USER ringwraith' to mod_ratio
Bamboocha.lan (192.168.1.101[192.168.1.101]) - dispatching CMD command 'USER ringwraith' to mod_auth
Bamboocha.lan (192.168.1.101[192.168.1.101]) - dispatching POST_CMD command 'USER ringwraith' to mod_delay
Bamboocha.lan (192.168.1.101[192.168.1.101]) - mod_delay/0.4: delaying for 393 usecs
Bamboocha.lan (192.168.1.101[192.168.1.101]) - dispatching LOG_CMD command 'USER ringwraith' to mod_log
Bamboocha.lan (192.168.1.101[192.168.1.101]) - dispatching PRE_CMD command 'PASS (hidden)' to mod_rewrite
Bamboocha.lan (192.168.1.101[192.168.1.101]) - dispatching PRE_CMD command 'PASS (hidden)' to mod_tls
Bamboocha.lan (192.168.1.101[192.168.1.101]) - dispatching PRE_CMD command 'PASS (hidden)' to mod_core
Bamboocha.lan (192.168.1.101[192.168.1.101]) - dispatching PRE_CMD command 'PASS (hidden)' to mod_core
Bamboocha.lan (192.168.1.101[192.168.1.101]) - dispatching PRE_CMD command 'PASS (hidden)' to mod_delay
Bamboocha.lan (192.168.1.101[192.168.1.101]) - dispatching PRE_CMD command 'PASS (hidden)' to mod_wrap
Bamboocha.lan (192.168.1.101[192.168.1.101]) - dispatching PRE_CMD command 'PASS (hidden)' to mod_radius
Bamboocha.lan (192.168.1.101[192.168.1.101]) - dispatching PRE_CMD command 'PASS (hidden)' to mod_auth
Bamboocha.lan (192.168.1.101[192.168.1.101]) - dispatching CMD command 'PASS (hidden)' to mod_auth
Bamboocha.lan (192.168.1.101[192.168.1.101]) - USER ringwraith (Login failed): Incorrect password.
Bamboocha.lan (192.168.1.101[192.168.1.101]) - dispatching POST_CMD_ERR command 'PASS (hidden)' to mod_delay
Bamboocha.lan (192.168.1.101[192.168.1.101]) - mod_delay/0.4: delaying for 1929 usecs
Bamboocha.lan (192.168.1.101[192.168.1.101]) - dispatching LOG_CMD_ERR command 'PASS (hidden)' to mod_log
Bamboocha.lan (192.168.1.101[192.168.1.101]) - dispatching LOG_CMD_ERR command 'PASS (hidden)' to mod_auth
Bamboocha.lan (192.168.1.101[192.168.1.101]) - FTP session closed.

Kann mir hier jemand weiterhelfen? Weinen

BTW: bin Linux-Newbie
Gespeichert
VolGas
Moderator
ProFTPD
*****
Offline Offline

Beiträge: 771



Profil anzeigen
« Antwort #1 am: 27. Oktober 2006, 13:36:11 »

Hallo!

Meine Antwort hat leider ein wenig gedauert, und ich bin naiver davon ausgegangen,
daß während meiner Abwesenheit jemand anderes antwortet. Wohl nicht, nun gut...

Deine proftpd.conf sieht je recht ordentlich und vernünftig aus, aber ab incl. Zeile 150
("<Anonymous ~ftp/cdvmatura>") solltest Du den Rest einfach löschen.
Damit sollte es dann funktionieren.

Interessanter Ansatz, aber Du möchtest zwei (oder viele) reguläre User, keine
unterschiedlich anonyme User. Die "normalen" User wurden alle auf einmal schon
außerhalb des "<Anonymous ..."-Blocks definiert: das ist jeder, der zur Gruppe
"ftpuser" gehört...

Was du evtl. sonst noch ändern könntest: lösche gänzlich alle "<IfModule"-Blöcke
und setze statt dessen: "AuthOrder mod_auth_unix.c". Ggf. kannst Du auch
"DelayEngine off" wieder reaktivieren.

mfg.
  VolGas
Gespeichert
Ringwraith
ProFTPD
*
Offline Offline

Beiträge: 3


Profil anzeigen
« Antwort #2 am: 28. Oktober 2006, 01:51:30 »

Hallo VolGas,

Danke für die Antwort.
Hab das jetzt mal versucht.

Ergebnis:
- Kann mich mit ringwraith anmelden.
- Bei cdvmatura kommt weiterhin "login incorrect"

Was kann ich da sonst noch prüfen?

Weitere Fragen:
- Wie kann ich nun - wenn ich diese anonymous-Blöcke nicht mehr habe - für einen User das Root-Verzeichnis angeben?
- Wie kann ich für einen User die Rechte auf bestimmte Verzeichnisse einschränken (zB. Löschen von Verzeichnissen und Dateien)?
- Wie kann ich einem User verbieten sich von bestimmten IPs zu verbinden?
   Im Anonymous-Block hätte ich das ungefähr so versucht:
Code:
<Limit LOGIN>
  Order  allow,deny
  Allow from IP1
  Allow from IP2
  Deny from all
</Limit>
Gespeichert
VolGas
Moderator
ProFTPD
*****
Offline Offline

Beiträge: 771



Profil anzeigen
« Antwort #3 am: 28. Oktober 2006, 12:22:24 »

Hallo,

Neue User definiert man mit Deiner Konfiguration im System, der ProFTPD entnimmt diesem
dann alles notwendige. Jetzt kommt die Stelle, an der ich Dir leider sagen muß, daß man
zumindest die absolut notwendigsten Grundkenntnisse von einem Linux-System haben sollte,
bevor man dort anfängt, etwas ändern oder einrichten zu wollen. Ein Teil Deiner Fragen gehören
zu den Linux-Grundlagen, die hier eigentlich als vorhanden vorausgesetzt werden nicht weiter
behandelt werden sollten.

Ich kann Dir für den Anfang wärmstens z.B. das Standardwerk, den ->"Kofler" empfehlen,
es gibt aber auch sehr viel weiterführende Literatur im Internet...

So nachdem ich das getan habe: jeder User hat sein "Heimatverzeichnis" (Homedir), das beim
Anlegen des Users definiert und angelegt wird. Gibt man dabei selbst keinen Pfad zu einem
Homedir vor, so wird dafür per default vom System in "/home" ein Verzeichnis mit dem Namen
des Users erstellt und definiert.

Hier ein paar Befehle: mit z.B. "groupadd gruppe" (in der Unix-Shell) legt man eine neue Benutzer-
gruppe an, mit z.B. "useradd -d /pfad/zum/homedir -g gruppe username" einen neuen User,
mit "usermod -d /pfad/zum/homedir username" ändert man das Homedir eines schon existierenden
User-Accounts und mit "passwd username" erstellt oder ändert man ein Userpasswort.
Das ist z.T. systembedingt und Du solltest diese Befehle nicht einfach blind übernehmen.
Hilfe zu jedem Befehl gibt es normalerweise via "man ...", also z.B. "man useradd".

Nun zu Deinen weiteren Fragen: solange der User "cdvmatura" nicht in der Gruppe "ftpuser" ist oder
er für sein Homedir nicht die nötigen Zugriffsrechte hat, solange wird er sich auch nicht einloggen
können.

Der ProFTPD ist wie eine Usershell zu betrachten: nach dem Einloggen hat der neu gestartete,
individuelle Prozess die selbe User- und Group-ID wie der eingeloggte User - alle Root-Rechte
wurden aufgegeben. Damit hat der ProFTPD nur noch die selben Zugriffsrechte wie der User.
Das kann nicht ausgehebelt oder umgangen, sondern nur weiter ausgebaut werden.

Du kannst also als ersten Schritt versuchen, durch geschickte Vergabe von Benutzer- und Gruppen-
rechten die Zugriffsmöglichkeiten zu steuern. Geht es nicht anders oder sollte dies nicht reichen, so
kann man in der Konfiguration des ProFTPd weitere Restriktionen definieren. Das Thema ist umfangreich
und ich verweise hier auf zwei Seiten des Entwicklers: ->Mini-HOWTO discussing <Limit> und
->Mini-HOWTO on per-directory configurations

In Betracht kommen könnten auch die Themen ->mod_ifsession und die Klassen-Definitionen (->Classes);
beide sind in den o.g. mini-HOWTO's ebenfalls erwähnt und verlinkt.

Eine Menge an Informationen und Arbeit, aber ausgeklügelte Systeme bedürfen eben auch einer umfangreichen
Vorarbeit und Wissens. Ohne das wärst Du immer auf die Hilfe anderer angewiesen - also...

Viel Erfolg!

mfg.
  VolGas
« Letzte Änderung: 28. Oktober 2006, 12:25:11 von VolGas » Gespeichert
Ringwraith
ProFTPD
*
Offline Offline

Beiträge: 3


Profil anzeigen
« Antwort #4 am: 28. Oktober 2006, 16:20:30 »

Nochmals besten Dank!

Die Links haben mir sehr weitergeholfen.
Hab jetzt alles so hinbekommen wie ich es mir vorgestellt hab. L&auml;chelnd
Gespeichert
Seiten: [1]   Nach oben
  Drucken  
 
Gehe zu:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.2 | SMF © 2006-2007, Simple Machines LLC Prüfe XHTML 1.0 Prüfe CSS
Seite erstellt in 0.066 Sekunden mit 16 Zugriffen.