Hi,

ich bin gerade auf dem Trip eine zentrale UserDB fuer alle Dienste meiner Server anzulegen, gegen die dann alle Dienste aut. sollen. Ich wuerde aber gerne je User extra Flags je Dienst in die Datenbank eintragen in denen dann enthalten ist, welche Dienste er nutzten darf. So muesste ich also erst eine Abfrage machen User/Pass und eine weitere Abfrage fuer (hier) ein Feld ftp. Ist dies gesetzt, dann erst soll das erinloggen moeglich sein. So koennte ich dann ratz fatz User auf Dienst auf und abschalten. So wie ich es hier im sql howto gesehen haben, kann man aber nur user/pass abfragen, das war es. Oder sehe ich das falsch?

Zudem habe ich noch eine Frage zu den virtuellen Usern: wie funktioniert das ueberhaupt unter der Haube? Lauft proftpd nicht immer als der User der sich eingeloggt hat? Wie geht dass, wenn der user virtuell ist und damit kein system user ist? Oder rennt der dann einfach als root?

Danke und Gruss,

incmc

Hi!

Gibt es eine Möglichkeit aus gewissen Verzeichnissen Dateien z.B. nach 30 Tagen nach Erstellung pder Änderung zu löschen?

Gruß, incmc

Mmh, wenn ich ein Zertifikat erstelle steht da immer was von 1024 bit RSA...
Aber in den logs sehe ich immer nur 256 und 128 bit.

Gruß, incmc

Hi!

Ich habe festgestellt, dass ich in einem leeren Ordner in dem ich volle Rechte besitze einen Ordner nicht löschen kann wenn dieser mir nicht mind. die Rechte execute gibt. Dies ist aber nach Unix Filesystem nicht korrekt, dort kann man prinzipiell immer löschen, wenn einem der nächst höhere Ordner Schreibrechte gewährt. Es sei denn dieser hat das Sticky bit gesetzt, dann muß ich auch noch der Besitzer sein.
Wieso behandelt Proftpd das anders???

Gruß, incmc

Keine Ahnung wieso, es ist auf jeden Fall. Wenn man mod_auth_file nutzt ist da echt nen Unterschied was einloggzeiten, listings etc angeht. Und dann immer das Doppelgedanke, was ist denn jetzt der echt User und wie müssen die Rechte der Ordner sein... näää :-)

Gruß, incmc

Hi!

Da ich festgestellt habe, dass virtuelle user doch sehr nervig sind bei der Administration und zudem proftpd teilweise kurz hängt wenn man das verwendet, habe ich wieder echte Benutzer genommen.
Nun würde ich aber gerne genau kontrollieren wer ftp nutzen darf.
Da lag /etc/ftpusers nahe, jedoch hat das einen Haken. Es dürfen alle einloggen, die nicht darin stehen. Da gewisse Software gerne mal einen eigenen user mitinstalliert muss ich also immer gucken ob auch alle nicht gewollten user auch in der Datei vorhanden sind. Auch wenn die von Programmen installierten user normalerweise ohne Passwörter und valide shell installiert werden ist das dennoch unangenehm.
Gibt es also einen Weg das Spiel umzudrehen? Heisst, könnte ich z.B. in ftpusers irgendwie sagen, "keiner darf ftp nutzen, ausser User_1 User_2"
Dann wäre man immer auch der sicheren Seite...

Danke und Gruß, incmc

Kann man auch irgendwie je nach Klient IP ne andere masqueradeaddress zurückgeben? Bei der Konfigmöglichkeit von proftpd müsste das doch gehen...

Gruß, incmc

pure-ftpd Doku von http://www.pureftpd.org/README

Code:

**** Usage with Inetd ****

Important: if security matters for you, forget inetd. In the default
configuration, inetd will stop a service after a high rate of connections to
the same port. This creates an easy denial-of-service. Also, inetd doesn't
have any concurrency limit. Bad guys can fill up your memory and your
descriptor tables even if you are restricting the number of connections in
pure-ftpd. Better use a modern replacement for inetd, or run pure-ftpd in
standalone mode

uhhhh, das ist jetzt aber auch wieder nicht die Endlösung. Denn klar, wenn ich micht jetzt von intern concecte, dann geht passives ftp wieder nicht, weil der mit ja dann IMMER die masqueradeaddress übergibt, was ja intern nicht nötig ist. Man man, hört das denn nie auf....

mmh, ist inetd nicht verschrien wie sau aus sicherheitsgründen?
Was gibt es gutes in dieser Richtung, xinetd?

Gruß, incmc

Also das läuft alles gut. Aber eine Frage hätte ich:
Ich bekomme zwar nur selten eine neue IP hier, aber es kommt vor.
Wenn ich jetzt bei "MasqueradeAddress" meinen DNS Namen des Router angebe und proftpd starte, dann guckt dieser anscheinend nach, welche IP sich unter diesem DNS verbirgt und gibt diese dann an die ftp Klienten zurück. Guckt der jedesmal nach wie die IP unter dem DNS ist oder macht der das nur einmalig biem Start. Das wäre nämlich sehr schlecht, denn wenn ich dann plötzlich eine neue IP am Router bekomme und der Proftpd dann weiter die alte IP zurückgibt, tja, dann ist da nichts mehr mit Verbindung....

Ich kann das hier schlecht testen, weil ich dafür mind. eine Stunde offline gehen müsste um ne neue IP am Router zu bekommen. Weiss das also jemand zufällig?

Gruß, incmc

Soweit läuft jetzt alles. Die Geschichte mit ifsession ist jedoch anscheinend nicht ganz ausgereift. Manche Sachen lassen sich innerhalb dessen Anweisungen einfach nicht anwenden. Letztes Bsp.

Code:

<ifuser bla>
    dirfakeuser on
    dirfakegroup on
    <limit site_chmod>
        denyall
    </limit>
</ifuser>

Dies beachtet dann einfach nicht die Anweisung "dirfakegroup on", also kein Effekt. Setze ich aber eine zweite "ifuser" Anweisung untendrunter wo nur noch einmal "dirfakegroup" drinsteht, DANN geht es.

Code:

<ifuser bla>
    dirfakeuser on
    <limit site_chmod>
        denyall
    </limit>
</ifuser>

<ifuser bla>
dirfakegroup on
</ifgroup>

Also da scheint das mit ifsession aber noch nicht ausgereift zu sein. Hat jemand ähnliche Erfahrungen hier?


So, pennen. Gruß, incmc

Ich Vogel hatte die Rechte der Ordner im Unix File System falsch gesetzt :-9
Jetzt funktioniert der untere IfGroup Block wie er soll. Aber der erste immer noch nicht, User der Gruppe wheel können sich weiterhin einloggen von wo sie wollen. Ich habe mal DenyAll als einziges in dessen Limit Login Block geschrieben, kein Effekt... Komisch.

Also heisst das, wenn ich mit einer gewisssen Priorität eine Regel setzte, kann ich sie nur durch einer wieder aufheben, die mindestens von selbiger Priorität ist?

Wenn du folgende List meinst,.. proftp-user@lists.sourceforge.net, das habe ich schon getan, aber bisher keine Antwort. Ich seh schon ich bleib auf dem Problem hängen. Ich habe auch eine mal an TJ geschrieben, also demjenigen der auf der Seite von mod_ifsession als Ansprechpartner steht.

Gruß, incmc

sowas teste ich sonst auch immer am Beispiel aus.. Mach aber mal:

1) <LIMIT WRITE> Anstatt <LIMIT ALL>
2)  ist root denn Mitglied der Gruppe wheel ?

cu
stonki

1) nichts, permission denied. Write ist ja auch in All enhalten
2) siehe code:

Code:

# cat /etc/group
# $FreeBSD: src/etc/group,v 1.19.2.3 2002/06/30 17:57:17 des Exp $
#
wheel:*:0:root,status
daemon:*:1:daemon
kmem:*:2:root
sys:*:3:root
tty:*:4:root
operator:*:5:root
mail:*:6:
bin:*:7:
...
,,,

Es muss irgendwie an dem IfGroup liegen. Denn, kommentiere ich den ersten IfGroup Block aus, sprich deaktiviere ich ihn, dann funktioniert das einloggen (nun sämtlicher user) wirklich nur noch von der eingetragenen IP. Komisch. Hat denn keiner hier Erfahrung mit IfGroup?

Gruß, Jochen