Hallo Wörsty,

was der Gast wohl meinte, war Dein eigener (Demo)Link im ersten Posting.
Der funktioniert nämlich nicht... ;-)

Ich hab' Dein Script ausprobiert - gefällt mir recht gut.
Zu Anfang gab es allerdings etwas Probleme, denn einige Zugriffsrechte mußten zuerst geändert werden.
Das gefällt mir natürlich nicht so ganz, denn damit hat nun jeder Zugriff auf die Binaries und somit auch die
Möglichkeit, Schindluder zu betreiben. Aber dafür kannst Du nix, das liegt in der Natur der Sache...

Trozdem: Klasse Idee und interessant zu sehen, wie Du so etwas angehst.
Danke!

mfg.
  VolGas

Zuerst einmal: Dein Posting ist vorbildlich, damit kann man was anfangen, danke!

Ich schätze, wenn Du Deinem proftpd.conf noch eine Zeile mit
"DefaultRoot ~" hinzufügst, dann könnte es funktionieren.
Alle anderen wichtigen Elemente scheinen mämlich da zu sein.

mfg.
  VolGas

[Kacke]

Mit Deinem letzten Posting hast Du Dich gänzlich disqualifiziert.

Bei der Kacke, die Du schreibst, wird einem klar, daß Du null Ahnung
von der Materie (und der deutschen Sprache) hast. Deinem Gebrabbel nach
mußte ich nämlich den Schluß ziehen, daß Du vom Rechte- und Dateisystem
herzlich wenig Ahnung hast. Deswegen wurde ich ein wenig ausführlicher.

Für mich ist hier Schluß, denn ich muß mich nicht dumm anmachen lassen -
werde erst mal erwachsen, lerne richtiges Deutsch und Dich benehmen.

Eine Antwort ist unnötig, dieser Thread wird von mir nicht mehr geöffnet.

VolGas


PS: LAMP steht für Linux, Apache, mySQL & PHP

Du würdest vielleicht verstehen, wenn Du lesen würdest, was man Dir schreibt.

Zu jedem User gibt es ein eigenes Home-Verzeichnis, das beim Definieren des Users
festgelegt wird - entweder im System selbst (PAM) oder z.B. mit eigenen Tabellen in mySQL.

Mit "DefaultRoot ~" landet dann jeder User in seinem Home-Verzeichnis -
so einfach ist das.
Was Du da gepostet hast, könne auch funktionieren - es müssen nur die User definiert sein.

:RTFM

mfg.
  VolGas

Hi,

einzelne User werden über das System (PAM) oder ein anderes Authentifikations-Modul
(AuthUserFile, mySQL, ...) definiert. Darin wird auch immer das Home-Verzeichnis mit definiert.
Was Du gelesen hast, ist entweder Unsinn oder Du hast es leider nicht richtig verstanden.

Sehr gute Hilfe findest Du auf den Support-Seiten von "stonki"...

Das Modul "mod_ifsession" erlaubt weitere, noch individuellere Einflußnahme
auf Userparameter, als es der ProFTPD sowieso schon erlaubt.

In der Regel kommt man ohne dieses Modul aus, aber wenn Du es dennoch
installieren möchtest, muß Du den ProFTPD neu compilieren:

This module is contained in the mod_ifsession.c file for ProFTPD 1.2, and is not compiled by default

[...]

To install mod_ifsession, copy the mod_ifsession.c file into:

  proftpd-dir/contrib/

after unpacking the latest proftpd-1.2 source code. Then follow the usual steps for using third-party modules in proftpd:

  ./configure --with-modules=mod_ifsession
  make
  make install

Note that mod_ifsession should be the last module in the --with-modules list, if multiple modules are listed. This makes sure that mod_ifsession's changes will be seen properly by other modules.

Ich hoffe, das hilft Dir weiter.

mfg.
  VolGas

Hi,

die Direktive "DefaultRoot ~" beamt jeden User in sein eigenes Home-Verzeichnis.
Gibst Du einen Pfad ohne das "~" am Anfang, kommen alle User in ein und
das selbe Verzeichnis.

Noch etwas: Deinen Ansatz, nur eine bestimmte Gruppe einloggen zu lassen,
finde ich sehr gut. Ich würde aber noch die Gruppenbezeichnung nach "DefaultRoot"
weglassen, damit dieses für alle User gilt. Dein anschließendes "Limit" sorgt dann
dafür, daß wirklich nur die User der Gruppe ftp reinkommen.

mfg.
  VolGas

Hallo,

hast Du schon einmal die FAQ gelesen?

Wenn Dich das nicht weitergebracht hat, dann poste doch bitte hier Deine proftpd.conf.
Hast Du überhaupt eine angelegt?

mfg.
  VolGas

Ein dummer comment:

Linux ist nicht etwas, was man mal "auf die Schnelle" installiert und es sich dann ansieht.
Ein How-To, das "von unter her" alles erklären wollte, ist so, als wollte man jemandem,
der noch nie in einem Auto gesessen war, erklären, wie er auf der Autobahn von A nach B kommt.

Das was hier verlangt wird, würde den Rahmen dieses Forums bei weitem sprengen -
dafür gibt es andere zur Verfügung stehende Foren.

Dies hier ist ein ProFTPD-Forum, und kein Kindergarten.
Man muß bereit sein, etwas lernen zu wollen und auch etwas dafür tun.

Man ist Dir hier höflich entgegengekommen und hat versucht zu helfen.
Bei einigen hat dies wohl auch funktioniert.

Aber andere Leute für die eigene Unzulänglichkeiten zu beschimpfen ist natürlich einfacher,
wenn auch nicht gerade "die feine Art". Und der von Dir berufene Geist wird durch
Dein Herumgenöle arg strapaziert.

Denn gerade Leute wie "stonki" helfen uneigennützig und man braucht sich nicht
zu wundern, wenn diese wegen solch eines unqualifizierten Gemeckers den Kram hinschmeißen.

Werde erst mal erwachsen und lerne Dich zu benehmen!

Meine Meinung - oder auch "dummer comment"!

mfg.
  VolGas

Na Du bist ja ein Scherzkeks: mit "UseFtpUsers off" hast Du ausgerechnet das ausgeschaltet,
was Du haben möchtest, nämlich den Ausschluß der in /etc/ftpusers gelisteten User

"UserPassword" ist hier völlig falsch eingesetzt: löschen oder korrigieren.

Und welchem "verzeichniss" hast Du was zugordnet?
Du scheinst ein paar grundsätzliche Dinge nicht zu kennen.

Das Homeverzeichnis ist das Verzeichnis, das im System jedem User mit seinem eigenen
Zugriffsrechten zugewiesen wird. Im Normalfall hat jeder User sein eigenes.

Statt jedes mal den Pfad zu seinem Verzeichnis neu eingeben zu müssen, kann jeder User
einfach das Zeichen "~" als Abkürzung nutzen und "DefaultRoot ~" bringt den User
in sein (eigenes) Homeverzeichnis und "sperrt" ihn dann quasi darin mit seinen User-/ und Gruppenrechten ein.

Die in proftpd.con angegebene "User" und "Group" haben nichts mit den tätsächlichen Rechten
des eingeloggten Users zu tun - dieser erhält nämlich nach dem Einloggen einen
eigenen ProFTPD-Prozess mit seiner persönlichen, im System definierten UID/GID zugewiesen.

User- und Gruppenverwaltung = Grundwissen!

mfg.
  VolGas

Bevor ich mir die Mühe mache zu antworten: poste zuerst mal die proftpd.conf,
dann sehen wir weiter...

mfg.
  VolGas

Der ProFTPD läuft zunächst unter den in der proftpd.conf definierten Rechten.
Loggt sich jemand ein, so wird der Server kurzfristig zum root-User, um dann einen
neuen Prozess mit der UID/GID des einloggenden Users abzuspalten, der diesem dann
fest zugeordnet wird. (Oder so ähnlich...)

Der laufende Prozess "gehört" also dem User und hat auch die selbe UID/GID,
die dem User selbst zugewiesen wurde und damit auch die selben Möglichkeiten und Beschränkungen.

Darüber hinaus kann man natürlich mit "Directory" und "Limit" Direktiven noch etwas
Fein-Tuning betreiben, aber die Systemrechte bilden die Basis lassen sich nicht aushebeln.

Es ist also ganz Deiner Intelligenz und Phantasie überlassen, wie Du Deine Zugriffsrechte setzt...

mfg.
  VolGas

Das  ist alles in Ordnung.

Was ich noch vergessen habe: die passiven Ports im ProFTPD definieren (z.B. mit "PassivePorts 50000 52000")
und diese Ports in der Firewall/NAT ebenfalls auf den Server forwarden lassen.

Am besten probiert man alles zuerst lokal im eigenen Netz (dazu MasqueradeAddress wieder deaktivieren)
bevor man den Server an das Internet bindet.
Die Zertifikate sind allerdings IP-basierend, das dürfte erneut Schwierigkeiten machen.

IMHO gehört so ein Server an eine feste Netzanbindung mit fester IP!
Alles andere...

mfg.
  VolGas

Irgendwie kann ich dem Ganzen nicht so recht glauben.

Jetzt mal folgendes:[list=1][*]In die proftpd.conf: "RequireValidShell   no"
[*]Wenn Du den Server über Firewall/NAT erreichen willst, ist MasqueradeAddress nötig
[*]Der FTP-Client sollte immer auf "passive mode" stehen!
[*]wenn dann alles funktioniert, sichere Deine Zertifikate und insbesondere Deine Schlüssel-Datei![/list:o]Probier das mal.
Sollte das alles auch nicht klappen, so gebe ich mich geschlagen.

mfg.
  VolGas

[userid:]

Ahh, jetzt ist klar.

Zuerst ein paar grundsätzliche Dinge:

[*]System-User müssen bei der Benutzung von ProFTPD mit mySQL nicht angelegt werden.
[*]Wenn nur System-User benötigt werden, so kann man sich den "Pflegeaufwand"
mit mySQL sparen - ProFTPD arbeitet wunderbar mit PAM zusammen und funktioniert damit "automatisch".
[*]Der ProFTPD läßt sich vielfältig konfigurieren und ist damit auch unterschiedlich zu bedienen.[/list]Aus diesem Grund kann ich ohne .conf-Datei nur allgemeingültige Aussagen machen:

userid: beliebig, muß kein Systemuser sein! (mama, papa, xyz4812, ...)
passwd: je nach dem, was bei "SQLAuthTypes" steht
uid/gid: "beliebige" UID/GID. (>1000 und <32000). Muß nicht im System sein!
Wenn alle User der selben Gruppe angehören, kann man sich die Pflege der GID's sparen (=SQLDefaultGID)
homedir: beliebiger Pfad auf ein existierendes(!) Verzeichnis
shell: "RequireValidShell" auf "no", dann ist Eingabe ebenfalls unnötig.

Beispiel:

Code:

RequireValidShell   no
SQLConnectInfo      meineDB@localhost tabelle meinPass
SQLUserInfo         ftp userid passwd uid NULL homedir NULL
SQLAuthTypes        Plaintext
SQLAuthenticate     users*
SQLMinUserUID       1000
SQLMinUserGID       555
SQLDefaultGID       555

Kurze Erklärung:

[*]Für alle Felder, die ich nicht benötige, gebe ich bei "SQLUserInfo" "NULL"an.
Hier werden keine individuellen GID's benötigt (ist durch "SQLDefaultGID" immer 555)
und eine Shell gibt's für FTP schon gar nicht.
[*]Passworte sind als reiner Text in der mySQL-Tabelle abgelegt.
[*]mySQL ist die einzige Instanz, über die User vailidiert werden. (SQLAuthenticate users*)[/list]Nicht benutzte Felder müssen erst gar nicht in der mySQL-Tabelle definiert werden.
Ich hoffe, Du kommst damit weiter...

mfg.
  VolGas

Wo ist denn da noch das Problem?
In phpMyAdmin in der entsprechenden datenbank die entsprechende Usertabelle
auswählen (links) und dann oben "Einfügen" anklicken...

Wie bist Du so weit gekommen um dann daran hängen zu bleiben???

mfg.
  VolGas