Hallo!

Siehe ->"GroupOwner", ->"Umask", ...
Alles weitere findest Du bei der Aufstellung der ->Direktiven

HowTo's findest Du hier auf Stonki's Site unter Support: siehe ->FAQ und ->Docs

Wenn Dir dieses ->HowTo nicht reichen sollte, um Deinen Server mit TLS zum
Laufen zu bringen und/oder Du genau wissen möchtest, was wie warum im einzelnen
passiert, dann mußt Du Dich eben vielleicht hinsetzten, das Gehirn einschalten (was
wird wohl "-days 365" bedeuten???) und die einzelnen Themen selbst studieren -
und hinterher vielleicht ein Buch darüber schreiben.
Wenn Du z.B. mehr über SSL wissen möchtest, ist ein guter Einstiegspunkt ein Artikel
bei ->Wikipedia, noch mehr gibt es zu Hauf im Internet...

Sorry, das mag sehr arrogant und hart klingen, aber den goldenen Löffel wirst Du wohl
nirgends finden. Eine einfache und gute Anleitung wie's geht (sechs Zeilen Konfiguration!)
und eine IMHO ausreichende Erklärung findest Du aber sehr wohl hier.

mfg.
  VolGas

[a backup the day keeps trouble away!]

@Stonki: die Seite kannte ich noch nicht und werde sie mir bei Gelegenheit
einverleiben - danke!

Stonki hat natürlich Recht: eine höhere Buffersize minimiert den Plattenzugriff und
erhöht dadurch die Gesamtperformance des Systems.

Zum Thema RAID siehe ->Wikipedia, da ist eine sehr schöne Aufstellung der
RAID-Level, Erklärungen dazu und Vergleiche untereinander.

Es gibt reine Software-RAID's (Betriebsystem), RAID-Controller die (Betriebs)System-
Unterstützung benötigen und natürlich reine (externe) Hardware-RAID's.
Natürlich ist da auch wieder eine Software aktiv, aber die ist sofort einsatzbereit,
hochspezialisiert und vom Client-Rechner unabhängig. Oft unterstützen diese Geräte
auch ein Hot-Swapping, d.h. man kann im laufenden Betrieb (!!!) Festplatten aus-
loggen und wechseln. Ein Ausfall des Systems wegen einer defekten Festplatte ist
damit nahezu bei Null.

In der Praxis wird meistens RAID 5 oder RAID 10 eingesetzt.
RAID 5 ist das konstengünstigere (min 3 Platten), RAID 10 (min. 4 Platten) bringt
die beste Performance und Sicherheit. Näheres siehe Wikipedia.

Aber eines sollte Dir unbedingt bewußt sein: ein RAID-System kann Dich nur vor
Hardwarefehlern und -ausfällen schützen, nicht aber vor den meist viel häufigeren
Softwarefehlern!

Softwarefehler werden dann mit in das RAID-System geschrieben - aber die dann
gut gesichert gegen Hardwareausfall. Ein RAID-System ohne gute, konsequent
regelmäßige Backupstrategie ist sein Geld nicht wert.

Es bleibt der gute, alte Grundsatz:a backup the day keeps trouble away!

mfg.
  VolGas

Hallo!

Ich würde sagen, daß ein "normales" Linux mit 512 MB RAM bestens ausgerüstet ist -
das wird man bei einem Rechner mit solch einem RAID-System ja wohl mindestens
erwarten können. Allerdings gilt auch hier die Regel: je mehr, desto besser.

Der ProFTPD kann man quasi als User-Shell sehen und stellt meines Wissens keine
besonderen Anforderungen. Ein Apache-Server ist wesentlich anspruchsvoller.

mfg.
  VolGas

Hallo,

ich halte es für ausgeschlossen, daß der ProFTPD etwas mit diesem Verhalten zu tun hat.
Nimm einmal einen anderen FTP-Client und probiere das selbe - ich bin mir so ziemlich
sicher, daß es dann das Problem nicht mehr gibt.

mfg.
  VolGas


PS: die Clients sollten immer für den passive-Mode konfiguriert werden...

Hallo,

es gibt die Direktive ->"MaxLoginAttempts", aber die bewirkt nur, daß man nach
x Versuchen vom Server rausgeworfen wird. Allerdings kann man es sofort erneut
versuchen.

Sonst gibt es keine weitere Möglichkeiten mit ProFPTD, sehr wohl kann man aber
etwas mit IPtables "zaubern". Man muß IPtabels mit den richtigen Moduln im Kernel
haben und damit kann man dann bestimmte Regeln aufstellen. Das Thema ist sehr
ausufernd und auch nicht Thema dieses Forums. Suche doch einmal im Internet
nach IPtables und "recent" - damit kommst du bestimmt weiter. (bei Goggle schien
schon der dritte Treffer etwas brauchbares zu sein)

mfg.
  VolGas

Nein, das wird auch blockiert - warum löscht Du denn nicht die beiden Zeilen,
die ich beschrieben habe? Die "<Directory...>"-Anweisung ist sowieso falsch und
kann nie greifen. Also kannst Du sie auch löschen und alles was dazwischen ist,
wird dann wieder aktiv.

Ich mache nun Feierabend und gehe in die Heia.

Viel Spaß noch und eine gute N8!

mfg.
  VolGas

Deine .conf sieht sehr gut aus, bis auf einen Fehler:
<Directory /*>...dazwischen ok...</Directory>

Der "<Limit...>"-Block wird durch den wirkungslosen "<Directory>"-Block
quasi deaktiviert. Entferne einfach "<Directory /*>" und "</Directory>"
und starte den ProFPTD neu - dann klappt's!

mfg.
  VolGas

Die Ports nicht auf die Ports 20 und 21 "umbiegen", die müssen 1:1 durchgereicht werden!
Bevor Mißverständnisse auftauchen: eine DMZ ist prinzipiell nach außen komplett offen;
alle Ports werden 1:1 ohne Überprüfung durchgeleitet. Ein Forwarding jedoch leitet nur
einzelne Ports (bzw. ganze Bereiche) weiter.

Die Zertifikate sind wie bei einem HTTP-Server mit ihrem Namen an eine IP gebunden,
sonst könnte sich jemand dazwischen einklinken und falsche Tatsachen vortäuschen.
(man-in-the-middle Problem)

Indem man in dem Zertifikat die IP und den DNS-Namen fest hinterlegt, wird dieses damit
erst vertrauenswürdig, da bei einer Abfrage überprüft wird, ob der aufgelöste DNS-Name
die selbe IP hat wie die Maschine, die antwortet. Stimmt die reale IP und der DNS-Name
der antwortenden Maschine nicht mit dem Zertifikat überein, dann ist etwas gewaltig faul.
"Man" (die Sotware) muß davon ausgehen, daß die Verbindung bzw. das Zertifikat
kompromittiert wurde und damit nicht mehr vertrauenswürdig ist - ganz im Gegenteil!

Ich hoffe, ich konnte das verständlich machen.

mfg.
  VolGas

Hallo!

Ich gehe davon aus, daß Du die Standard-Authentifikation benutzt, d.h. es werden
ausschließlich die eingetragenen Benutzer des Systems zugelassen.

Um hier eine Auswahl zu treffen ist es am sinnvollsten, wenn Du allen Usern, die
Zugang per FTP erhalten sollen, eine Gruppe zuweist. Dies kann auch eine schon
bestehende Gruppe sein z.B. so etwas wie die Gruppe "webuser" oder "ftpuser".

Um den Zugang z.B. nur den Usern der Gruppe "ftpuser" zu realisieren, füge
Deiner proftpd.conf folgende Zeilen zu:

  <Limit LOGIN>
    DenyGroup !ftpuser
  </Limit>

  RequireValidShell off
  UseReverseDNS off
  IdentLookups off
  AuthOrder mod_auth_unix.c

Mit den ersten drei Zeilen werden alle User, die nicht der Gruppe "ftpuser" angehören, abgewiesen.
Die nachfolgenden Zeilen sind eine Empfehlung von mir...

mfg.
  VolGas

Scheinbar wirklich keiner der sich damit auskennt oder antworten möchte.

Sorry,damit bleiben Dir nur die Seiten von TJ Saunders, des Entwicklers:

->Documentation
->Mini-HOWTO discussing ProFTPD quotas

Vielleicht möchtest Du ja im Anschluß daran Deinen Wissens-Schatz mit allen teilen
und anderen damit hier zukünftig weiterhelfen...?

 

mfg.
  VolGas

Wieso lustig?
Ersteres würde mich ein klein wenig wundern, denn "/etc/proftpd.conf" ist der Standard.

mfg.
  VolGas

Hallo,

ich mußt Dir leider sagen, daß Du Dich an ein sehr schwieriges Thema herangewagt hast.

Bei Dir greifen mehrere Probleme (und Fehler) zusammen:

• die Firewall muß eine ausreichende Lücke für sog. HighPorts offen lassen.
• dem ProFPTD muß mitgeteilt werden, welche er benutzen kann: "PassivePorts x y"
• die FTP-Clients können nur noch im "passive mode" arbeiten. (sollte Standard sein)
• dynamische IP's sind ein ganz prinzipielles (und spezielles!) Problem.
  Es gibt zwar die Direktive ->MasqueradeAddress, aber die kann nicht alle damit
  zusammenhängenden Probleme lösen. (siehe auch die Postings der letzten Tage)
  Hier empfiehlt sich, den Server über z.B. dnydns.org einen festen Namen zuweisen zu
  lassen (jeder einigermaßen aktuelle Router kann automatisch aktualisieren) unter den
  ProFTPD unter dem xinetd laufen zu lassen
• mit sicherer Verbindung kann Du eigentlich nur FTPS (FTP + TLS) meinen.
  Im lokalen Netz wird dies wohl nicht benötigt, aber Du wirst immer ein Problem mit
  Deinem Zertifikat und der dynamischen IP-Adresse haben, da beide nie zusammen
  passen können.

Sorry, aber ein Serverdienst ist eine Sache, die man mit einem heimischen DSL-Anschluß
nur äußerst schwer und unzuverlässig aufbauen und anbieten kann. Ein Server "verlangt"
nunmal ein statisches Umfeld, sprich: eine feste IP. Alles andere...

Noch ein Tipp: bevor Du etwas mit TLS versuchst, stelle zuvor immer zuerst einmal sicher,
daß es auch ohne geht!

mfg.
  VolGas

Entschuldige, wenn ich das so offenherzig schreibe: Dir scheinen einige wichtige
Unix-Grundkentnisse zu fehlen. Die "HighPorts" sind Ports, die im oberen Bereich
und offen, d.h. keinem bestimmten Dienst, zugewiesen sind. Diese werden auch
vom passiven FTP genutzt und dürfen deshalb nicht von einer Firewall geblockt
werden. (Empfehlung: das Standardwerk, den "Kofler"...)

Hast Du eine Firewall bzw. IP-Tables im Einsatz bzw. die Gegenstelle?
Dann müßt Ihr das beide beachten.

Wenn nicht, dann ist das irrelevant, denn dann es regelt sich von selbst.

mfg.
  VolGas

Kann mir jemand sagen, was ich noch einstellen muss?

Dazu müßte man zuerst einmal wissen, was Du überhaupt schon eingestellt hast!

Zu meiner Verwunderung habe ich Deinem Debuglog entnehmen können, daß Dein
ProFTPD wohl so ziemlich alles eingebaut hat, was überhaupt standardmäßig möglich
ist. Und damit wohl auch alle Authentifikationsmodule - und die versucht er natürlich
auch zu nutzen. Ich würde mir überlegen, ob mein ProFTPD überhaupt solch einen
unnötigen Ballast haben muß und ob eine wesentlich schlankere Neuinstallation nicht
sinnvoller wäre.

Von dem Debugfile aus würde ich Dir gleich zu Anfang empfehlen, folgende
Zeilen Deiner proftpd.conf hinzuzufügen bzw. nachzusehen, ob sie vorhanden sind:

  UseReverseDNS off
  IdentLookups off
  RequireValidShell off
  DelayEngine off
  AuthOrder mod_auth_unix.c

Die letzte Direktive veranlasst den Proftpd, nur noch die Standard-Authentifikation
des Systems zu nutzen und damit auch nur noch eingetragene Systemuser zuzulassen.

Dein debug gibt auch noch eine weitere Information preis:
USER asd (Login failed): Incorrect password.
Ähem, kein Kommentar...

Was die Meldung: "error: Name or service not known" betrifft: dies läßt
darauf schließen, daß Deine Netzwerkkonfiguration im Argen und nicht
in Ordnung ist. Aber poste doch zuerst einmal deine proftpd.conf...

mfg.
  VolGas

Hi,

ist einer der FTP-Server hinter einem Router (NAT!) oder ist eine Firewall dazwischen?

Fall 1: herzliches Beileid - das wird heftig kompliziert oder sogar unmöglich.
Fall 2: High-Ports freigeben und in der proftpd.conf entsprechend "PassivePorts x y"

mfg.
  VolGas