Grundsätzliche Verständisfragen // Erste Schritte proftpd

[ifsilver]

Hallo Zusammen

Na das ist mein zweiter Anlauf mit proftpd. Hoffentlich halten dieses mal meine Nerven respektive meine Geduld

Mal ein paar Grundsätzliche Fragen:

ganz normale StandardConf
Zusätzlich:
DenyFilter \*.*/
Default Root ~
<- so wie ich das verstanden habe sperrt das den User in sein HomeVerzeichnis ein. <- er hat somit keine Möglichkeit keine mehr das zu verlassen! (auch nicht mit Soft/Hardlinks)<- richtig verstanden?

2. ich habe diese Anweisungen mal rausgenommen.
habe anschliessend folgende Direktive hinzugefügt

<Directory />
DenyAll
</Directory>
also eigentlich sollte der User jetzt nirgends einen Zugriff haben. <- wieso kann ich dan mit mit sftp tortzdem überall zugreifen(Wo es die Systemrechte erlauben? <- wie kann ich das kontrollieren?

anschliessend habe ich die Directory geändert in

<Directory>
AllowAll
</Directory>

Folgendes wurde in der Konsole eingeben
gublepas@stdgublepas:~/.ssh$ ftp
ftp> open 192.168.1.37
Connected to 192.168.1.37.
220 ProFTPD 1.2.10 Server (ifsilverFTP) [192.168.1.37]
Name (192.168.1.37:gublepas): ifsilver
331 Password required for ifsilver.
Password:
230 User ifsilver logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> cd /
250 CWD command successful
ftp> ls
200 PORT command successful
150 Opening ASCII mode data connection for file list
drwxr-xr-x   2 ifsilver ifsilver     4096 Dec 27 22:12 hallo
drwxr-xr-x   2 ifsilver ifsilver     4096 Dec 28 00:57 tag
226 Transfer complete.
ftp> ls /
200 PORT command successful
150 Opening ASCII mode data connection for file list
drwxr-xr-x   2 ifsilver ifsilver     4096 Dec 27 22:12 hallo
drwxr-xr-x   2 ifsilver ifsilver     4096 Dec 28 00:57 tag
226 Transfer complete.
ftp>

Wieso komm ich nun nicht in das Root?



-------------------------------------------------------
Wäre froh wenn mir einer diese grundlegenden Fragen beantwortet vorher hat es gar keinen Sinn sich gross mit den Direktiven rumzuschlagen, bevor ich das nicht kapiert habe.
Mein Ziel wäre, das nur der Zugriff via SFTP erlaubt wird.

dazu habe ich ein Wenig gegooglet:
<Limit Connect>
Allow from 192.168.1.36/22 <- wäre  eine Möglichkeit
Allow from ..../22 <- für alle Rechner?
Deny All
</Limit>


Noch eine weiter Frage hat sich mir aufgetan.

Ich habe den Test auf www.proftpd.de x mal gelesen bin aber leider immer noch nicht ganz drausgekommen.

Order Deny.All
bedeutet ja, dass zuerst alles verboten ist bis iman es erlaubt
<Directory /ftp/share>
 Order Deny,All
 <Limit Write>
   AllowUser test
</Limit>
</Directory>
<- sperrt alles nur der User test hat schreibzugriff.
--> also wird dieser Anweisung überflüssig
<Limit ALL>
DenyAll>
</Limit>
richtig verstanden?


Ich wäre froh wenn sich jemand die Zeit nehmen könnte und mir diese Fragen beantworten könnte. Danke für die Bemühungen.

Gruss Pascal Gubler

[ifsilver]

Sorry für die vielen Schreibfehlern: ist schon spät und meine Augen sind schon sehr am zufallen nach 10 Stunden proftpd pröbeln 

Hier die Berechtigungen (habe leider nirgends gefunden wo ich den Text editieren kann)
<Directory />
Allow All
</Directory>
------------
Order Deny,Allow
---------------

[VolGas]

Hallo!

Au weh, das sind aber viele Fragen, auf die ich aber nicht im einzelnen eingehen möchte.

Zuerst einmal etwas grundsätzliches:
Der ProFTPD ist wie eine Usershell zu betrachten: nach dem Einloggen hat der neu gestartete, individuelle
Prozess die selbe User- und Group-ID wie der eingeloggte User - alle Root-Rechte wurden aufgegeben.
Damit hat der ProFTPD nur noch die selben Zugriffsrechte wie der User. Das kann nicht ausgehebelt oder
umgangen, sondern nur weiter ausgebaut werden!

Also: der ProFTPD nutzt im vollen Umfang die Zugriffsrechte des Filesystems, nein, er ist ihnen sogar völlig
unterworfen. Alles, was man in der Konfiguration mit "<Limit>" zusätzlich einschränkt, sind nur FTP-Befehle,
keine eigentlichen Zugriffsrechte. Daher ist man gut beraten, wenn man Limitierungen in der proftpd.conf
möglichst sparsam oder besser gar nicht verwendet.

Es stimmt, mit "DefaultRoot ~" werden alle User in ihr Homedir "gebeamt" und dort "eingesperrt".
Das sollte als Sicherheit reichen, weitere Limitierungen beruhigen zwar vielleicht das Gemüt, sind aber
oft nicht wirklich notwendig und machen die Konfiguration unnötig unübersichtlich und kompliziert.

Nächster Punkt: Nutze FTPS, nicht SFTP - das ist wesentlich besser!
Mehr dazu bei den Docs auf Stonki's Website: ->HowTo: SFTP (TLS, verschlüsseltes FTP)
Tipp: zuerst den Server ohne TLS zum Laufen bringen. Weiteres kann man dann, wenn alles funktioniert,
nachträglich dazuschalten.

Damit Du schnell einen Erfolg hast und Dich nicht weiter quälen mußt, empfehle ich Dir die Konfigurations-
beispiele ->hier anzusehen. Speziell die ->proftpd.conf Standard Deluxe wäre für Dich interessant: sie ist
für die gebräuchlichsten Konfigurationsanforderungen zusammengestellt und funktioniert i.d.R. mit wenigen
Anpassungen.

Ich denke, Du kommst mit all diesen Informationen deutlich weiter, wie wenn man Dir alles von Pontius bis
Pilatus neu erklären wollte.

Noch ein Lesetipp: solltest Du ernsthaft Interesse an Linux haben, so kann ich Dir nur wärmstens z.B. das
Standardwerk, den "Kofler" empfehlen - das macht alles ein wenig leichter...

Viel Erfolg!

mfg.
  VolGas

[ifsilver]

Danke für deine Zeit (und den langen Text), hab ihn mir zu Herzen genommen und mich nochmal in die bisherigen Wikis vertieft und noch eine kleine Abhandlung zu SFTP gelesen

hatte gestern wirklich einen schlechten Tag erwischt. Aber für das gibt es ja einen neuen .

So habe jetzt nochmal angefangen FTP-Server läuft //SFTP-Zugang für die unerwünschten User gesperrt// FTPS-konfiguriert aber noch nicht getestet (weiss gerade jemand wie man gftp auf SSL umstellt?)

auch ein gutes Wiki:
http://www.debianhowto.de/doku.php/de:howtos:sarge:proftpd_tls <- kommt hier sicher wem bekannt vor


So jetzt noch ein kleines problem: wo ich noch dran arbeite:
Files macht er schön mit den berechtigungen: -rw-r--r-- Ordner aber konsequent mit d---------  kann mir einer sagen warum? umask wurde auf 022 022 gelassen.

Gruss und nochmal danke.

[ifsilver]

so problem hat sich gelöst

war eine Eigenheit von gftp // andere ftp client keine problem <- so kann sich auch probleme schaffen

Lösung:
gftp->FTP->Option "Dateireche beibehalten hacken entfernen"

[ifsilver]

Hallo zusammen ich bleibe gleich in diesem Thread, der Übersicht wegen.


Kleine Verständisfrage zur Strukturgestaltung (sicherheitstechnisch)

Kurz was zu meinem FileServer
Raid5 mit 6 Platten
3 Bereiche ins FIleSystem gemoutet :  Private download upload
2 FTP-User: Friends, Kunden

die beiden User werden in ihrem Homeverzeichnis eingesperrt.
- Sie müssen jedoch Zugriff auf diese 3 Bereiche erhalten.(das FileSystem wurde schon entsprechend konfiguriert)
3 Bereiche:
/mnt/private
/mnt/download
/mnt/upload

Meine Frage:

ich "angle" mich mit dem "mount --bind" vom Home-Verzeichnis eines User zu Ordner zu Ordner

z.b:

mount --bind /mnt/download /home/friends/download
mount --bind /mnt/private/forall /mnt/download/meineDaten/

-> hat so jemand die Möglichkeit da auszubrechen?

Gruss Danke fürs Durchdenken.

[ifsilver]

gftp auf FTPS und HTTPS umstellen

Lösung hier:
http://seveas.imbrandon.com/