User hinzufuegen mit neuem Root-Verzeichnis

[Dominik]

Hallo,
ich habe auf meinem Server schon ewig einen proftpd-standalone Daemon laufen mit anonymous-access im Verzeichnis /ftpdir

Alle anderen User habe ich in der /etc/ftpusers eingetragen, so dass sie sich nicht einloggen und auf ihr homeverzeichnis zugreifen koennen.

Nun moechte ich einen non-anonymous-Zugang einrichten um Daten von unterwegs zwischenzuspeichern. Das soll so aussehen:

Ich logge mich z.B. auf meinem Server mit Username "schule" und passwort ein und moechte dann vollen Zugriff auf das Verzeichnis /schule haben.
Aber das Verzeichnis /schule soll ueber FTP zum rootverzeichnis werden, sprich man soll nicht einfach eine FTP-Verbindung aufbauen und mit cd .. ins echt Rootverzeichnis des Sysyems gelangen koennen (und von dortaus dann in alle weiteren).

Ich habe versucht einen Benutzer "schule" auf meinem System zu erstellen und mich ueber FTP dann angemeldet. Dann befand ich mich aber im Homeverzeichnis /schule und konnte aus dem Homeverzeichnis des Users "schule" einfach raus und in jedes andere Verzeichnis meines Systems rein. Das darf _nicht_ moeglich sein. Wie kriege ich es hin, dass wie beim Anonymouszugang ein angegebenes Verzeichnis beim FTP-Login als Root-Verzeichnis gilt?

Und ist es moeglich neue Benutzer mit Passwort und Arbeitsverzeichnis in proftpd anzulegen _ohne_ das man dazu extra einen neuen, gleichnamigen User im ganzen System anlegen muss?


TIA,
Kermit

[Dominik]

achja.
Ich habe in der proftpd.conf schon
defaultroot ~
angegeben. Aber es funktioniert nicht: Ich kann als user immer noch aus meinem Homeverzeichnis rausbrowsen, bzw. ich sehe mein Homeverzeichnis nicht als / sondern immer noch als /home/user/ wenn ich micht ueber FTP einlogge...

[Wörsty]

1. Neustart proftpd?
2. Nutzt du überhaupt proftpd?

[Dominik]

Danke, es funktioniert jetzt. Habe noch die Gruppe hinter defaultroot ~ geschrieben.

Habe jetzt auch noch einiges selbst herausgefunden:
Also mit Useralias und Userpassword kann ich Usernamen und Passwoerter benutzen, die bei mir im System nicht exisiteren.

Mir bleibt jetzt nur noch eine einzige Frage:

Wie mache ich proftpd klar, dass ich ein anderes Verzeichnis anstatt des Homeverzeichnisses des entsprechenden gealiasten Users chrooten moechte, je nach dem mit welchem Alias sich jemand anmeldet?


Vielen Dank,
Dominik

[Dominik]

Hm, das mit dem Rechten funktioniert auch noch nicht so wie ich will:

<Directory /schule>
Umask 111 000
</Directory>

Was ist falsch? Wenn ich eine Datei uploade, so erscheint sie auf dem System nur mit 644. Ich moechte sie aber in 666 haben.

[stonki]

Hm, das mit dem Rechten funktioniert auch noch nicht so wie ich will:

<Directory /schule>
Umask 111 000
</Directory>

Was ist falsch? Wenn ich eine Datei uploade, so erscheint sie auf dem System nur mit 644. Ich moechte sie aber in 666 haben.

weil Dein Directory nicht /schule ist sondern z.B. /srv/ftp/schule. Die anderen Fragen haben sich erledigt, oder ?

Ausserdem noch eine Anmerkung: Deine Loesung mit User in ftpusers eintragen damit diese sich nicht anmelden koennen mag auf den ersten Blick funktionieren, ist aber (sorry) scheisse. Wieso ? Weil Du immer dran denken musst, wenn Du einen User anlegst. VIEL besser ist in der ProFTPD conf (achtung nur Ansatzweise)
<Limit Login>
DenyAll
AllowUser schule
</limit>

in diesem Fall haben auch neue User KEINEN Zugriff bis Du die hier explizit eintraegst.

Das ist uebrigens fuer mich DER Unterschied zwischen Windows und Unix. Auf Windows Systemen ist alles offen und wird anschliessend bei Bedarf gesperrt, auf Unix Systemen ist meist alles dicht und wird dann bei Befarf geoeffnet. Das Ergebnis spricht fuer sich

cu
stonki

[Dominik]

Hallo,
erstmal danke fuer die Antwort!

weil Dein Directory nicht /schule ist sondern z.B. /srv/ftp/schule

Wieso das? Der User schule hat sein home-Verzeichnis in /schule (so habe ich es jedenfalls in der /etc/passwd eingestellt). Und das Verzeichnis /schule auf dem Server wird beim FTP-Login durch den User schule zum neuen Root-Verzeichnis.

Also mein System (Slackware Linux) war von Hause aus so konfiguriert, dass man alle User, die sich nicht ueber FTP-Einloggen duerfen, in der /etc/ftpuser eintragen musste. Das hat mich auch schon immer gestoert und ich haette es gerne andersrum gehabt, das nur User die in der /etc/ftpuser stehen sich einloggen duerfen. Also vielen Dank fuer den Tipp. Falls das funktioniert, brauche ich die /etc/ftpusers im Grunde nicht mehr.

Die anderen Fragen haben sich erledigt, oder ?

Nein, ich habe auch immer noch das Problem, dass ich nicht weiss wie ich proftpd klarmachen kann, dass er ein anderes Verzeichnis anstatt des Home-Verzeichnisses eines Users chrooten sollen, wenn sich der User ueber FTP anmeldet.
Konkretes Beispiel: Der User Paul mit dem homeverzeichnis /home/paul soll nach Login ueber FTP  sich in einem rootverzeichnis befinden mit dem Inhalt von /tmp und nicht. Natuerlich koennte ich dem User /tmp in der /etc/passwd als Homeverzeichnis zuweisen. Das moechte ich aber nicht.

[stonki]

Wieso das? Der User schule hat sein home-Verzeichnis in /schule (so habe ich es jedenfalls in der /etc/passwd eingestellt). Und das Verzeichnis /schule auf dem Server wird beim FTP-Login durch den User schule zum neuen Root-Verzeichnis.

ok, meine Antwort war da ein wenig kurz. Ich wollte einfach nur sagen: Da gehoert noch der vollstaendige Pfad hin, aber wenn das der ist....

Nein, ich habe auch immer noch das Problem, dass ich nicht weiss wie ich proftpd klarmachen kann, dass er ein anderes Verzeichnis anstatt des Home-Verzeichnisses eines Users chrooten sollen, wenn sich der User ueber FTP anmeldet.
Konkretes Beispiel: Der User Paul mit dem homeverzeichnis /home/paul soll nach Login ueber FTP  sich in einem rootverzeichnis befinden mit dem Inhalt von /tmp und nicht. Natuerlich koennte ich dem User /tmp in der /etc/passwd als Homeverzeichnis zuweisen. Das moechte ich aber nicht.

naja, dafuer gibt es verschiedene Wege.... [//include hack_dirty]

1) Du legst fuer jeden USer eine Gruppe an und sagst "defaultroot /srv/ftp/stonki gruppe_stonki"

2) Du verwendest Ifsession
<ifuser stonki>
defaultroot /srv/ftp/stonki
</ifuser>

3) Du verwendest AuthUserFile fuer die Anmeldung (Alternativ mod_sql, aber bei 2-3 Usern kann man auch uebertreiben). Dort legst Du dann User an mit einem alternativen HomeDir.

(1) und (2) sind dirty, aber funken. (3) ist die beste Moeglichkeit. Ich weiss ja nicht, ob es wirklich ein Schulserver ist, aber denke dran, das FTP das Passwort unverschluesselt uebertraegt. Ich halte daher nicht viel davon in unsicheren Umgebungen User Accounts mit FTP zu verbinden. Da bietet sich dann wirklich authuserfile oder mod_sql oder so an. Wenn man das FTP Password bekommt (Netzwerk Sniffer) hat man trotzdem noch keinen Shell Zugang und der Schaden ist ueberschaubar.

cu
stonki

[Dominik]

2) Du verwendest Ifsession
<ifuser stonki>
defaultroot /srv/ftp/stonki
</ifuser>

Das klingt gut, nur leider funktioniert das bei mir nicht:

Nov 20 15:23:10 server proftpd[66] server: received SIGHUP -- master server rehashing configuration file.
Nov 20 15:23:10 server proftpd[66]: Fatal: unknown configuration directive '<ifuser>' on line 47 of '/etc/proftpd.conf'.


Den 1. Vorschlag mit der Gruppe ist genauso schlecht wie die Idee, jedesmal einen neuen User im System anzulegen.

3. hoert sich ein bisschen nach overkill an. Aber ich werde mal schauen, ob ich irgendwo in der Docu was ueber diese AuthUserFile finde...


Hintergrund:
Es ist kein Schulserver, sondern mein privater Server zu Hause. Ich moechte ihn nur von der Schule zum Zwischenspeichern benutzen. Die Sicherheit spielt also keine allzu grosse Rolle. Aber das ueber anonymous zu machen, so dass jeder gleich dran kommt, finde ich auch nicht so gut, zumal ich lese und schreibzugriff zugleich geben moechte. (Bei anonymous habe ich ein upload-Dir, wo man nur schreiben und nicht lesen kann. Ansonsten kann man nur lesen)


Vielen Dank,
Dominik