|
Titel: Eigener Zugriff Beitrag von: baseLine am 08. Oktober 2006, 11:22:23 Hi alle!
bin immernoch neu in der ganzen Linux/Proftpd-welt, aber habe mal wieder eine frage :) Seit wochen versuche ich mir ubuntu und Proftpd einzurichten. Ich habe es jetzt geschafft das ich mich mit dem User "Temp" anmelden kann, und dieser User hat zugriff auf ein Up- und ein Download-Ordner, deren Schreib/Lese-Rechte ich mit chmod zugewiesen habe. So weit - so gut. Nur wollte ich jetzt einen 2ten Zugang (meinen normalen Anmelde Namen) mit dem ich zugriff auf meine kompletten daten habe.. Am besten per ssh? Nur leider habe ich absolut keine Ahnung wie ich das anstellen soll. Ich poste mal meine .conf in der ich "DefaultRoot ~" setze und somit ja alle User einsperre. Aber wie gesagt, das möchte ich nur beim User 'temp'. Wenn ich mich an mein system anmelde möchte ich vollen zugriff. Hat jemand einen Ansatzpunkt wie ich das umsetzen kann? Code: # # /etc/proftpd.conf -- This is a basic ProFTPD configuration file. # To really apply changes reload proftpd after modifications. # ServerName "ihmSelbstSeinFTP" ServerType standalone DeferWelcome off MultilineRFC2228 on DefaultServer on ShowSymlinks on TimeoutNoTransfer 600 TimeoutStalled 600 TimeoutIdle 1200 DisplayLogin welcome.msg DisplayFirstChdir .message ListOptions "-l" DenyFilter \*.*/ # Uncomment this if you are using NIS or LDAP to retrieve passwords: #PersistentPasswd off # Uncomment this if you would use TLS module: #TLSEngine on # Uncomment this if you would use quota module: #Quotas on # Uncomment this if you would use ratio module: #Ratios on # Port 21 is the standard FTP port. Port 21 # To prevent DoS attacks, set the maximum number of child processes # to 30. If you need to allow more than 30 concurrent connections # at once, simply increase this value. Note that this ONLY works # in standalone mode, in inetd mode you should use an inetd server # that allows you to limit maximum number of processes per service # (such as xinetd) MaxInstances 30 # Set the user and group that the server normally runs at. User nobody Group nogroup # Umask 022 is a good standard umask to prevent new files and dirs # (second parm) from being group and world writable. Umask 022 022 # Normally, we want files to be overwriteable. AllowOverwrite on # Delay engine reduces impact of the so-called Timing Attack described in # http://security.lss.hr/index.php?page=details&ID=LSS-2004-10-02 # It is on by default. #DelayEngine off # A basic anonymous configuration, no upload directories. # <Anonymous ~ftp> # User ftp # Group nogroup # # We want clients to be able to login with "anonymous" as well as "ftp" # UserAlias anonymous ftp # # Cosmetic changes, all files belongs to ftp user # DirFakeUser on ftp # DirFakeGroup on ftp # # RequireValidShell off # # # Limit the maximum number of anonymous logins # MaxClients 10 # # # We want 'welcome.msg' displayed at login, and '.message' displayed # # in each newly chdired directory. # DisplayLogin welcome.msg # DisplayFirstChdir .message # # # Limit WRITE everywhere in the anonymous chroot # <Directory *> # <Limit WRITE> # DenyAll # </Limit> # </Directory> # # # Uncomment this if you're brave. # # <Directory incoming> # # # Umask 022 is a good standard umask to prevent new files and dirs # # # (second parm) from being group and world writable. # # Umask 022 022 # # <Limit READ WRITE> # # DenyAll # # </Limit> # # <Limit STOR> # # AllowAll # # </Limit> # # </Directory> # # </Anonymous> #User in Verzeichnis einsperren Defaultroot ~ Vielen Dank für eure Tipps! Titel: Re: Eigener Zugriff Beitrag von: VolGas am 09. Oktober 2006, 13:33:04 Hi!
Dein Wunsch hast Du nicht allein, er wird immer wieder hier im Forum behandelt. Der ProFTPD ist wie eine Usershell zu betrachten: nach dem Einloggen hat der neu gestartete, individuelle Prozess die selbe User- und Group-ID wie der eingeloggte User - alle Root-Rechte wurden aufgegeben. Damit hat der ProFTPD nur noch die selben Zugriffsrechte wie der User. Das kann nicht "ausgehebelt" oder umgangen, sondern nur weiter ausgebaut werden! Von daher ist der Wunsch eines Admins oder Superusers nicht realisierbar - das kann man aus gutem Grund nur als "root" über die SSH und man sollte es unbedingt vermeiden, dies per FTP tun zu wollen. (das geht zwar, ist aber per default -zum Glück!- deaktiviert) Noch ein Tipp: Du könntest Deine proftpd.conf ein wenig optimieren oder zumindest "RequireValidShell off" hinzufügen bzw. ent-kommentieren. Siehe auch ->FAQ (http://www.proftpd.de/FAQ.15.0.html) Noch ein weiterer Tipp: solltest Du ernsthaft Interesse an Linux haben, so kann ich Dir nur wärmstens z.B. das Standardwerk, den "Kofler" (http://www.amazon.de/exec/obidos/ASIN/3827321581/ref=ase_deutscheinlon-21/302-4395941-9435229) empfehlen... mfg. VolGas |