www.ProFTPD.de

ProFTPD => ProFTPD - Deutsch => Thema gestartet von: RippZ am 06. August 2004, 21:53:49


Titel: DocumentRoot
Beitrag von: RippZ am 06. August 2004, 21:53:49
Hallo,

ich nutze ProFTP mit Debian und Confixx, damit die ConfixxUser ihr FTP Verzeichniss nicht verlassen können habe ich DocumentRoot auf ~ ftponly gestellt. Im Confixx gibt es ja die möglichkeit weitere FTP Benutzer anzulegen die werden jedoch laut passwd
Zitat
web82f1:x:920:33::/var/www/web82/.....:/bin/false
web51f1:x:935:33::/var/www/web51/....:/bin/false
web82f2:x:947:33::/var/www/web82/......:/bin/false
web155f1:x:786:33::/var/www/web155/.......:/bin/false


Gruppe 33 ist laut /etc/group

dip:x:30:
postgres:x:32:
www-data:x:33:
backup:x:34:
operator:x:37:
list:x:38:

www-data also eben nicht ftponly wenn ich mich mit einem der FTP User einlogge greift also DOcumentRoot nicht und die User können das ganze System einsehen das ist nicht schön. Wenn ich  bei DocumentRoot ~ ftponly,www-data eintrage dann ist ftponly auch nicht an DocumentRoot gebunden also wieder nix. Da ich nicht weiß wie ich Confixx beibringe weitre FTP User als ftponly anzulegen suche ich die Lösung auf Seite des FTP Clients.

Kurz Zwischenfrage an alle ConfixxUser (meinsystem musste ich nach einem hddcrash wieder zusammen suchen deshlab sind nicht alle Informationen korekt) stimmt es das die Webs die Owner webxx.ftponly haben ? oder webxx.www-data bzw wwwrun bitte nachschauen.

Meine ProFTPD.conf

Zitat

# This is a basic ProFTPD configuration file (rename it to
# 'proftpd.conf' for actual use.  It establishes a single server
# and a single anonymous login.  It assumes that you have a user/group
# "nobody" and "ftp" for normal operation and anon.

ServerName                      "AckerMedia #1"
ServerType                      standalone
DeferWelcome                    off

ShowSymlinks                    on
MultilineRFC2228                on
DefaultServer                   on
ShowSymlinks                    on
AllowOverwrite                  on

TimeoutNoTransfer               600
TimeoutStalled                  600
TimeoutIdle                     1200

DisplayLogin                    welcome.msg
DisplayFirstChdir               .message
#ListOptions                "-l"

DefaultRoot                  ~ ftponly

DenyFilter                      \*.*/

# Uncomment this if you are using NIS or LDAP to retrieve passwords:
#PersistentPasswd               off

# Port 21 is the standard FTP port.
Port                            21

# To prevent DoS attacks, set the maximum number of child processes
# to 30.  If you need to allow more than 30 concurrent connections
# at once, simply increase this value.  Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd)
MaxInstances                    30

ShowSymlinks                    on
AllowOverwrite                  on

TimeoutNoTransfer               600
TimeoutStalled                  600
TimeoutIdle                     1200

DisplayLogin                    welcome.msg
DisplayFirstChdir               .message
#ListOptions                "-l"

DefaultRoot                  ~ ftponly

DenyFilter                      \*.*/

# Uncomment this if you are using NIS or LDAP to retrieve passwords:
#PersistentPasswd               off

# Port 21 is the standard FTP port.
Port                            21

# To prevent DoS attacks, set the maximum number of child processes
# to 30.  If you need to allow more than 30 concurrent connections
# at once, simply increase this value.  Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd)
MaxInstances                    30

# Set the user and group that the server normally runs at.
User                            nobody
Group                           nogroup

TransferLog /var/log/xferlog

# Normally, we want files to be overwriteable.
<Directory /*>
  # Umask 022 is a good standard umask to prevent new files and dirs
  # (second parm) from being group and world writable.
  Umask                         022  022

  AllowOverwrite                on
</Directory>


Leider weiß ich jetzt nichtmehr weiter denn wenn ich die Webs auf www-data umschalte will wohl cgi nicht mehr ftp hab ich da noch gar nicht getestet. Ich gehe davon aus das meine Annahme stimmt webxx.ftponly.


Wie bringe ich ProFTPD am besten bei auch die weiteren FTP Benutzer im chroot  zu halten  :).

Ich hoffe es reicht an Informationen

Grüße

Flo


Achja: die Nutzer werden in /etc/ChrootUsers eingetragen.

Titel: DocumentRoot
Beitrag von: RippZ am 06. August 2004, 21:55:58
Ok bei der Conf DAtei ist wohl was schief gegangen die Richtige Version:



Zitat

# This is a basic ProFTPD configuration file (rename it to
# 'proftpd.conf' for actual use.  It establishes a single server
# and a single anonymous login.  It assumes that you have a user/group
# "nobody" and "ftp" for normal operation and anon.

ServerName                      "sadf"
ServerType                      standalone
DeferWelcome                    off

ShowSymlinks                    on
MultilineRFC2228                on
DefaultServer                   on
ShowSymlinks                    on
AllowOverwrite                  on

TimeoutNoTransfer               600
TimeoutStalled                  600
TimeoutIdle                     1200

DisplayLogin                    welcome.msg
DisplayFirstChdir               .message
#ListOptions                "-l"

DefaultRoot                  ~ ftponly

DenyFilter                      \*.*/

# Uncomment this if you are using NIS or LDAP to retrieve passwords:
#PersistentPasswd               off

# Port 21 is the standard FTP port.
Port                            21

# To prevent DoS attacks, set the maximum number of child processes
# to 30.  If you need to allow more than 30 concurrent connections
# at once, simply increase this value.  Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd)
MaxInstances                    30

# Set the user and group that the server normally runs at.
User                            nobody
Group                           nogroup

TransferLog /var/log/xferlog

# Normally, we want files to be overwriteable.
<Directory /*>
  # Umask 022 is a good standard umask to prevent new files and dirs
  # (second parm) from being group and world writable.
  Umask                         022  022

  AllowOverwrite                on
</Directory>

Titel: DocumentRoot
Beitrag von: stonki am 07. August 2004, 14:26:27
2 defaultroot zeilen mal probiert ?

Titel: DocumentRoot
Beitrag von: RippZ am 07. August 2004, 19:37:48
Ja habe ich leider wird dann gar keine Interpretiert also gibts gar keine Beschränkungen mehr. Wenn ich ein DocumentRoot mit www-data eintrage und ftponly raus mache werden die Nutzer der Gruppe www-data gar nicht gesperrt.  :?:  :?:

Titel: DocumentRoot
Beitrag von: stonki am 08. August 2004, 10:29:12
Zitat von: "RippZ"
Ja habe ich leider wird dann gar keine Interpretiert also gibts gar keine Beschränkungen mehr. Wenn ich ein DocumentRoot mit www-data eintrage und ftponly raus mache werden die Nutzer der Gruppe www-data gar nicht gesperrt.  :?:  :?:


poste mal wie Du es gemacht hast. Ich dachte an sowas wie

defaultroot /001 ftponly
defaultroot /002 www-data

Titel: DocumentRoot
Beitrag von: RippZ am 08. August 2004, 13:30:03
Ich habe einfach 2x Document Root

DefaultRoot                  ~ ftponly
DefaultRoot                  ~ www-data

genutzt.

Dein Vorschlag funktioniert leider nicht wieder keine chroot  :twisted:.

Wenn ich anstatt des / ein ~ setzte wie ich bisher in meiner Conf klappt es auch nicht.

Titel: DocumentRoot
Beitrag von: Anonymous am 10. August 2004, 15:29:26
Hat keiner eine Idee?


Powered by SMF 1.1.2 | SMF © 2006-2007, Simple Machines LLC