|
Titel: anonymous zugang Beitrag von: ravermeister am 19. September 2006, 09:37:39 hallo, ich habe da mal ne frage, und zwar habe ich proftpd installiert, und möchte gerne einen anonymen zugang einrichten,
der kein passwort erfordert (und kein benutzernamen also halt den anonymous der standard gesetzt wird bei z.b. gftp) ich habe proftpd bis jetzt über webmin eingerichtet, da ich mit proftp noch nich viel gemacht habe. ich würde das homedirectory vom anonymous gern auf einen bestehenden order (auf FAT partition) zuweisen, und von dort aus links zu anderen directorys (die er mit unterordnern NUR lesen darf) im homedirectory selber soll er dateien hochladen können. was muss ich da einstellen?? ps ich habe mit webmin einen virtuellen server erstellt, hier meine /etc/proftpd.conf: #################################################################### # # /etc/proftpd.conf -- This is a basic ProFTPD configuration file. # To really apply changes reload proftpd after modifications. # ServerName "Debian" ServerType standalone DeferWelcome off MultilineRFC2228 on DefaultServer on ShowSymlinks on TimeoutNoTransfer 600 TimeoutStalled 600 TimeoutIdle 1200 DisplayLogin welcome.msg DisplayFirstChdir .message ListOptions "-l" DenyFilter \*.*/ # Uncomment this if you are using NIS or LDAP to retrieve passwords: #PersistentPasswd off # Uncomment this if you would use TLS module: #TLSEngine on # Uncomment this if you would use quota module: #Quotas on # Uncomment this if you would use ratio module: #Ratios on # Port 21 is the standard FTP port. Port 21 # To prevent DoS attacks, set the maximum number of child processes # to 30. If you need to allow more than 30 concurrent connections # at once, simply increase this value. Note that this ONLY works # in standalone mode, in inetd mode you should use an inetd server # that allows you to limit maximum number of processes per service # (such as xinetd) MaxInstances 30 # Set the user and group that the server normally runs at. User nobody Group nogroup # Umask 022 is a good standard umask to prevent new files and dirs # (second parm) from being group and world writable. Umask 022 022 # Normally, we want files to be overwriteable. AllowOverwrite on # Delay engine reduces impact of the so-called Timing Attack described in # http://security.lss.hr/index.php?page=details&ID=LSS-2004-10-02 # It is on by default. #DelayEngine off # A basic anonymous configuration, no upload directories. # <Anonymous ~ftp> # User ftp # Group nogroup # # We want clients to be able to login with "anonymous" as well as "ftp" # UserAlias anonymous ftp # # Cosmetic changes, all files belongs to ftp user # DirFakeUser on ftp # DirFakeGroup on ftp # # RequireValidShell off # # # Limit the maximum number of anonymous logins # MaxClients 10 # # # We want 'welcome.msg' displayed at login, and '.message' displayed # # in each newly chdired directory. # DisplayLogin welcome.msg # DisplayFirstChdir .message # # # Limit WRITE everywhere in the anonymous chroot # <Directory *> # <Limit WRITE> # DenyAll # </Limit> # </Directory> # # # Uncomment this if you're brave. # # <Directory incoming> # # # Umask 022 is a good standard umask to prevent new files and dirs # # # (second parm) from being group and world writable. # # Umask 022 022 # # <Limit READ WRITE> # # DenyAll # # </Limit> # # <Limit STOR> # # AllowAll # # </Limit> # # </Directory> # # </Anonymous> <Global> <Directory /windows/D/Musik> AllowAll AllowOverwrite off AllowRetrieveRestart on </Directory> </Global> AllowRetrieveRestart on DefaultChdir /windows/F/ftp_home/FTP_Nobody <VirtualHost virusmaster.homelinux.com> ServerName virusmaster DefaultChdir /windows/F/ftp_home/FTP_Nobody <Anonymous /windows/F/ftp_home/FTP_Nobody> AllowRetrieveRestart on MaxClients none AnonRequirePassword off </Anonymous> ServerAdmin jonnyrimkus@yahoo.de AccessGrantMsg "Wilkommen auf Ravermeister's FTP Server" DefaultServer on </VirtualHost> ########################################### ...danke schon mal im voraus gruß Jonny Titel: Re: anonymous zugang Beitrag von: VolGas am 20. September 2006, 07:45:36 Hallo!
Den ProFTPD mußt Du wie eine Unix-Usershell versehen: nachdem man sich eingeloggt hat, hat der für eigens reservierte Prozess nur noch die Zugriffsrechte und Beschränkungen wie man selbst. Die Zugriffsrechte des darunterliegenden Filesystems sind absolut bindend und können nicht "verbogen" oder gar außer Kraft gesetzt werden - es können nur zusätzliche Restriktionen per FTP (z.B. Schreib- und Lesesperren) und einige "kosmetische Korrekturen" realisiert werden. Außerdem wird nach dem Einloggen zusätzlich ein "chroot" durchgeführt, d.h. man wird quasi in sein Home-Dir "eingesperrt", das Home-Dir wird zu Root-Dir - es gibt "außenherum" nichts mehr, man ist isoliert. Daher kann man (normalerweise) mit Symlinks nicht aus seinem chroot-Gefängnis ausbrechen. Dafür gibt es unter UNIX eine Not-Lösung, (siehe ->FAQ (http://www.proftpd.de/FAQ.15.0.html), Punkt "...Verzeichnis einbinden...") die man IMHO aber sehr sparsam und mit bedacht einsetzen sollte. Für einen User (wie den anonymous) und zwei/drei Verzeichnissen sollte sich das allerdings noch vertreten lassen. Zum Thema "VirtualHost": Du verwechselst den ProFTPD mit dem Apache - böser Fehler! Beim ProFTPD gibt es den "Haupserver", der durch die normale Konfiguration definiert wird und einfach da ist. Bis dahin gleichen sich die beiden Server noch. Ein "VirtualHost" in ProFTPD jedoch definiert -anders als Apache!- einen weiteren, zusätzlichen Server auf einer anderen IP oder Port! Diese wesentlichen Punkte beachtend solltest Du nun Deine Konfiguration überarbeiten. Es sind so viele Änderungen vorzunehmen, daß Du am besten den letzten Block einfach entfernst und neu schreibst. Ein schönes Muster für eine anonymous-Konfiguration hast Du ja auch schon in Deiner proftpd.conf, Du müßtest Sie nur etwas überarbeiten und "ent-kommentieren"... mfg. VolGas Titel: Re: anonymous zugang Beitrag von: ravermeister am 28. September 2006, 10:06:36 ... vielen dank
habe das hier gefunden, um andere ordner einzubinden: mount --bind olddir newdir Diese Anweisung bindet das Verzeichnis ein weiteres mal unter "newdir" ein. soll ich ein script schreiben, das beim starten ausgeführt wird? oder wie mache ich das.. Titel: Re: anonymous zugang Beitrag von: VolGas am 28. September 2006, 10:51:47 Was Du da beschreibst, ist genau das, was in dem Punkt der FAQ steht, auf die ich verwiesen hatte.
Da frage ich mich doch, weshalb ich mir hier eigentlich die Finger wund schreibe und meine Zeit verschwende. Wohin Du das einbastelst, ist Dir überlassen - ich würde es in das Start-Script des ProFTPD einbinden. Alternativ zu "mount --bind ..." gibt es noch das Modul der ->VRootEngine (http://www.proftpd.de/Direktiven.54.0.html#287), ->mod_vroot (http://www.castaglia.org/proftpd/modules/mod_vroot.html), welches das restriktive "DefaultRoot" ein wenig entschärft und erlaubt, mit Symlinks aus dem chroot-Gefängnis auszubrechen. mfg. VolGas Titel: Re: anonymous zugang Beitrag von: ravermeister am 28. September 2006, 12:33:00 hab das ja dank dir in den faq's gefunden. vielen dank für die hilfe
war nicht umsonst :) gruß Jonny |