Zeige Beiträge
|
Seiten: [1] 2
|
1
|
ProFTPD / ProFTPD - Deutsch / Erweiterte Abfrage bei Mod_sql + allg. Frage zu virt. Usern
|
am: 28. Juni 2005, 07:27:09
|
Hi,
ich bin gerade auf dem Trip eine zentrale UserDB fuer alle Dienste meiner Server anzulegen, gegen die dann alle Dienste aut. sollen. Ich wuerde aber gerne je User extra Flags je Dienst in die Datenbank eintragen in denen dann enthalten ist, welche Dienste er nutzten darf. So muesste ich also erst eine Abfrage machen User/Pass und eine weitere Abfrage fuer (hier) ein Feld ftp. Ist dies gesetzt, dann erst soll das erinloggen moeglich sein. So koennte ich dann ratz fatz User auf Dienst auf und abschalten. So wie ich es hier im sql howto gesehen haben, kann man aber nur user/pass abfragen, das war es. Oder sehe ich das falsch?
Zudem habe ich noch eine Frage zu den virtuellen Usern: wie funktioniert das ueberhaupt unter der Haube? Lauft proftpd nicht immer als der User der sich eingeloggt hat? Wie geht dass, wenn der user virtuell ist und damit kein system user ist? Oder rennt der dann einfach als root?
Danke und Gruss,
incmc
|
|
|
4
|
ProFTPD / ProFTPD - Deutsch / Behandlung von Dateisystemrechten nicht konform?
|
am: 24. Februar 2004, 02:09:18
|
Hi!
Ich habe festgestellt, dass ich in einem leeren Ordner in dem ich volle Rechte besitze einen Ordner nicht löschen kann wenn dieser mir nicht mind. die Rechte execute gibt. Dies ist aber nach Unix Filesystem nicht korrekt, dort kann man prinzipiell immer löschen, wenn einem der nächst höhere Ordner Schreibrechte gewährt. Es sei denn dieser hat das Sticky bit gesetzt, dann muß ich auch noch der Besitzer sein. Wieso behandelt Proftpd das anders???
Gruß, incmc
|
|
|
6
|
ProFTPD / ProFTPD - Deutsch / /etc/ftpusers umdrehen -> nur eingetragene User erlauben?
|
am: 22. Februar 2004, 15:25:51
|
Hi!
Da ich festgestellt habe, dass virtuelle user doch sehr nervig sind bei der Administration und zudem proftpd teilweise kurz hängt wenn man das verwendet, habe ich wieder echte Benutzer genommen. Nun würde ich aber gerne genau kontrollieren wer ftp nutzen darf. Da lag /etc/ftpusers nahe, jedoch hat das einen Haken. Es dürfen alle einloggen, die nicht darin stehen. Da gewisse Software gerne mal einen eigenen user mitinstalliert muss ich also immer gucken ob auch alle nicht gewollten user auch in der Datei vorhanden sind. Auch wenn die von Programmen installierten user normalerweise ohne Passwörter und valide shell installiert werden ist das dennoch unangenehm. Gibt es also einen Weg das Spiel umzudrehen? Heisst, könnte ich z.B. in ftpusers irgendwie sagen, "keiner darf ftp nutzen, ausser User_1 User_2" Dann wäre man immer auch der sicheren Seite...
Danke und Gruß, incmc
|
|
|
8
|
ProFTPD / ProFTPD - Deutsch / Mal ne andere Frage zu MasqueradeAddress dns-host
|
am: 26. November 2003, 20:41:47
|
pure-ftpd Doku von http://www.pureftpd.org/README **** Usage with Inetd ****
Important: if security matters for you, forget inetd. In the default configuration, inetd will stop a service after a high rate of connections to the same port. This creates an easy denial-of-service. Also, inetd doesn't have any concurrency limit. Bad guys can fill up your memory and your descriptor tables even if you are restricting the number of connections in pure-ftpd. Better use a modern replacement for inetd, or run pure-ftpd in standalone mode
|
|
|
9
|
ProFTPD / ProFTPD - Deutsch / Mal ne andere Frage zu MasqueradeAddress dns-host
|
am: 26. November 2003, 18:28:56
|
uhhhh, das ist jetzt aber auch wieder nicht die Endlösung. Denn klar, wenn ich micht jetzt von intern concecte, dann geht passives ftp wieder nicht, weil der mit ja dann IMMER die masqueradeaddress übergibt, was ja intern nicht nötig ist. Man man, hört das denn nie auf....
|
|
|
11
|
ProFTPD / ProFTPD - Deutsch / Mal ne andere Frage zu MasqueradeAddress dns-host
|
am: 26. November 2003, 15:15:20
|
Also das läuft alles gut. Aber eine Frage hätte ich: Ich bekomme zwar nur selten eine neue IP hier, aber es kommt vor. Wenn ich jetzt bei "MasqueradeAddress" meinen DNS Namen des Router angebe und proftpd starte, dann guckt dieser anscheinend nach, welche IP sich unter diesem DNS verbirgt und gibt diese dann an die ftp Klienten zurück. Guckt der jedesmal nach wie die IP unter dem DNS ist oder macht der das nur einmalig biem Start. Das wäre nämlich sehr schlecht, denn wenn ich dann plötzlich eine neue IP am Router bekomme und der Proftpd dann weiter die alte IP zurückgibt, tja, dann ist da nichts mehr mit Verbindung....
Ich kann das hier schlecht testen, weil ich dafür mind. eine Stunde offline gehen müsste um ne neue IP am Router zu bekommen. Weiss das also jemand zufällig?
Gruß, incmc
|
|
|
12
|
ProFTPD / ProFTPD - Deutsch / Frage zu Rechteeingrenzung pro user
|
am: 26. November 2003, 04:48:00
|
Soweit läuft jetzt alles. Die Geschichte mit ifsession ist jedoch anscheinend nicht ganz ausgereift. Manche Sachen lassen sich innerhalb dessen Anweisungen einfach nicht anwenden. Letztes Bsp. <ifuser bla> dirfakeuser on dirfakegroup on <limit site_chmod> denyall </limit> </ifuser>
Dies beachtet dann einfach nicht die Anweisung "dirfakegroup on", also kein Effekt. Setze ich aber eine zweite "ifuser" Anweisung untendrunter wo nur noch einmal "dirfakegroup" drinsteht, DANN geht es. <ifuser bla> dirfakeuser on <limit site_chmod> denyall </limit> </ifuser>
<ifuser bla> dirfakegroup on </ifgroup>
Also da scheint das mit ifsession aber noch nicht ausgereift zu sein. Hat jemand ähnliche Erfahrungen hier? So, pennen. Gruß, incmc
|
|
|
13
|
ProFTPD / ProFTPD - Deutsch / Frage zu Rechteeingrenzung pro user
|
am: 25. November 2003, 22:03:22
|
Ich Vogel hatte die Rechte der Ordner im Unix File System falsch gesetzt :-9 Jetzt funktioniert der untere IfGroup Block wie er soll. Aber der erste immer noch nicht, User der Gruppe wheel können sich weiterhin einloggen von wo sie wollen. Ich habe mal DenyAll als einziges in dessen Limit Login Block geschrieben, kein Effekt... Komisch.
|
|
|
14
|
ProFTPD / ProFTPD - Deutsch / Frage zu Rechteeingrenzung pro user
|
am: 25. November 2003, 18:31:03
|
Also heisst das, wenn ich mit einer gewisssen Priorität eine Regel setzte, kann ich sie nur durch einer wieder aufheben, die mindestens von selbiger Priorität ist? Wenn du folgende List meinst,.. proftp-user@lists.sourceforge.net, das habe ich schon getan, aber bisher keine Antwort. Ich seh schon ich bleib auf dem Problem hängen. Ich habe auch eine mal an TJ geschrieben, also demjenigen der auf der Seite von mod_ifsession als Ansprechpartner steht. Gruß, incmc
|
|
|
15
|
ProFTPD / ProFTPD - Deutsch / Frage zu Rechteeingrenzung pro user
|
am: 25. November 2003, 18:15:03
|
sowas teste ich sonst auch immer am Beispiel aus.. Mach aber mal:
1) <LIMIT WRITE> Anstatt <LIMIT ALL> 2) ist root denn Mitglied der Gruppe wheel ?
cu stonki
1) nichts, permission denied. Write ist ja auch in All enhalten 2) siehe code: # cat /etc/group # $FreeBSD: src/etc/group,v 1.19.2.3 2002/06/30 17:57:17 des Exp $ # wheel:*:0:root,status daemon:*:1:daemon kmem:*:2:root sys:*:3:root tty:*:4:root operator:*:5:root mail:*:6: bin:*:7: ... ,,,
Es muss irgendwie an dem IfGroup liegen. Denn, kommentiere ich den ersten IfGroup Block aus, sprich deaktiviere ich ihn, dann funktioniert das einloggen (nun sämtlicher user) wirklich nur noch von der eingetragenen IP. Komisch. Hat denn keiner hier Erfahrung mit IfGroup? Gruß, Jochen
|
|
|
|