|
Titel: Proftpd ohne Anonymous aber mit Authentifizierung Beitrag von: olszynski am 25. Januar 2005, 23:14:51 Hallo,
ich versuche nun seit ungefähr 1ner Woche ProftpD zum laufen zu bringen. Nun werde ich mir die Peinlichkeit nicht ersparen können und muss mal jemand fragen: Nun mal der Ist Zustand: unix-gruppe: "ftpusers" mit usern "test", "ftp" ist angelegt verzeichnis "/home/ftp/upload" und "/home/ftp/mp3" existiert in "/home/ftp/upload" soll jeder aus der gruppe ftpusers sachen hochladen lesen und ändern dürfen in der gruppe "home/ftp/mp3" sollen reine leserechte vorhanden sein. die authentifizierung sollte über die linux-passwörter erfolgen. es soll kein anonymous erlaubt werden. die obigen user haben zur sicherheit die bash auf /bin/false wie würde eine beispeil-konfigurationsdatei hier aussehen. ich finde nur welche für anonymous und selber packe ich es nicht. danke! Titel: Die conf datei sieht wie folgt aus... Beitrag von: olszynski am 25. Januar 2005, 23:37:53 Code: # This is a basic ProFTPD configuration file (rename it to # 'proftpd.conf' for actual use. It establishes a single server # and a single anonymous login. It assumes that you have a user/group # "nobody" and "ftp" for normal operation and anon. ServerName "Debian" ServerType standalone DeferWelcome off ShowSymlinks on MultilineRFC2228 on DefaultServer on AllowOverwrite on TimeoutNoTransfer 600 TimeoutStalled 600 TimeoutIdle 1200 DisplayLogin welcome.msg DisplayFirstChdir .message LsDefaultOptions "-l" DenyFilter \*.*/ # Uncomment this if you are using NIS or LDAP to retrieve passwords: #PersistentPasswd off # Port 21 is the standard FTP port. Port 21 # To prevent DoS attacks, set the maximum number of child processes # to 30. If you need to allow more than 30 concurrent connections # at once, simply increase this value. Note that this ONLY works # in standalone mode, in inetd mode you should use an inetd server # that allows you to limit maximum number of processes per service # (such as xinetd) MaxInstances 30 # Set the user and group that the server normally runs at. User nobody Group nogroup <Global> DefaultRoot /home/ftp AllowRetrieveRestart on DefaultChdir /home/ftp Group ftpusers DeleteAbortedStores off HiddenStor off RequireValidShell off <Limit LOGIN> AllowGroup ftpusers DenyAll </Limit> <Limit WRITE> DenyAll </Limit> <Directory /home/ftp> <Limit READ CWD> AllowAll </Limit> <Limit STOR WRITE> DenyAll </Limit> </Directory> <Directory /home/ftp/mp3> <Limit READ CWD> AllowAll </Limit> <Limit STOR WRITE> DenyAll </Limit> </Directory> <Directory /home/ftp/upload> <Limit READ CWD STOR WRITE MKDIR RMDIR> AllowAll </Limit> </Directory> </Global> Titel: Re: Die conf datei sieht wie folgt aus... Beitrag von: stonki am 26. Januar 2005, 08:45:58 Wir machen das mal einfach:
Code: # This is a basic ProFTPD configuration file (rename it to # 'proftpd.conf' for actual use. It establishes a single server # and a single anonymous login. It assumes that you have a user/group # "nobody" and "ftp" for normal operation and anon. ServerName "Debian" ServerType standalone DeferWelcome off ShowSymlinks on MultilineRFC2228 on DefaultServer on AllowOverwrite on TimeoutNoTransfer 600 TimeoutStalled 600 TimeoutIdle 1200 DisplayLogin welcome.msg DisplayFirstChdir .message LsDefaultOptions "-l" DenyFilter \*.*/ # Uncomment this if you are using NIS or LDAP to retrieve passwords: #PersistentPasswd off # Port 21 is the standard FTP port. Port 21 MaxInstances 30 # Set the user and group that the server normally runs at. User nobody Group nogroup <Global> DefaultRoot /home/ftp AllowRetrieveRestart on RequireValidShell off <Limit LOGIN> AllowGroup ftpusers DenyAll </Limit> <Directory /home/ftp/mp3/> <Limit WRITE> DenyAll </Limit> </Directory> Das ist vom ansatz her nicht 100% richtig, denn im Idealfall würde man erst alles verbieten und dann wieder selektiv freigeben, während ich nun hier (schlampig, schlampig) nur die Rechte limitiere, aber Deine Config ist ja noch übersichtlich. Titel: Gesagt - getan - jetzt wird aber kein passwort überprüft Beitrag von: olszynski am 26. Januar 2005, 09:44:47 Vielen Dank!
Gesagt - getan - jetzt wird aber kein passwort überprüft. sprich ich kann mich nur mit usern aus der ftpusers-Gruppe anmelden, jedoch wird deren passwort einfach ignoriert. Egal ob richtig oder falsch eingegeben. Ideen? Danke + Grüsse Michael Titel: Re: Gesagt - getan - jetzt wird aber kein passwort überprüft Beitrag von: stonki am 26. Januar 2005, 09:51:12 Zitat von: "olszynski" Vielen Dank! Gesagt - getan - jetzt wird aber kein passwort überprüft. sprich ich kann mich nur mit usern aus der ftpusers-Gruppe anmelden, jedoch wird deren passwort einfach ignoriert. Egal ob richtig oder falsch eingegeben. Ideen? Danke + Grüsse Michael wie ? Du kannst Dich einloggen mit dem usernamen "test" und dem Password "Stonkiweissdochnix" und trotzdem bist Du eingeloggt ? Das glaube ich nicht... cu stonki Titel: LaLeLu - Nochmal danke Beitrag von: olszynski am 26. Januar 2005, 13:34:38 Hallo stonki,
vielen Dank für deine Hilfe. Ich habe den daemon wohl irgendwie falsch restartet. Jetzt klappt alles wie gewünscht. Nun habe ich noch 3 Fragen diesbezüglich und hoffe, dass du mir hier als Profi noch helfen kannst. 1. Mit deiner config kann man in /home/ftp uppen. Wie kann ich das verbieten? 2. Wenn ich jetzt noch zu /home/ftp/mp3 und /home/ftp/upload einen Folder freigeben möchte der /home/ftp/programming (readonly)und /home/ftp/pictures (readonly) heisst. Wie würde das dann aussehen? 3. Was war an meiner config denn der Denkfehler. Mit diese config konnt sich nämlich der user test mit einem beliebigen Passwort einloggen. (Ich würde die Sache ja auch gerne verstehen) Vielen Dank für deine Unterstüzung! Grüsse Michael Titel: Re: LaLeLu - Nochmal danke Beitrag von: stonki am 26. Januar 2005, 13:54:53 Zitat von: "olszynski" 1. Mit deiner config kann man in /home/ftp uppen. Wie kann ich das verbieten? naja, dann machen wir mal die Limit Bloecke richtig: <Directory /home/ftp/> <Limit WRITE> DenyAll </Limit> </Directory> <Directory /home/ftp/upload> <Limit WRITE> AllowAll </Limit> </Directory> Zitat 2. Wenn ich jetzt noch zu /home/ftp/mp3 und /home/ftp/upload einen Folder freigeben möchte der /home/ftp/programming (readonly)und /home/ftp/pictures (readonly) heisst. Wie würde das dann aussehen? sollte mit den obigen Limits bereits erschlagen sein, da ja SCHREIBEN vollstaendig verboten wird und dann nur fuer "uploads" nochmal freigeschaltet wird. Zitat 3. Was war an meiner config denn der Denkfehler. Mit diese config konnt sich nämlich der user test mit einem beliebigen Passwort einloggen. (Ich würde die Sache ja auch gerne verstehen) keiner, ich denke Du wirst den irgendwie nicht richtig gestartet haben. Titel: Proftpd ohne Anonymous aber mit Authentifizierung Beitrag von: olszynski am 26. Januar 2005, 14:23:59 Zitat Zitat: 3. Was war an meiner config denn der Denkfehler. Mit diese config konnt sich nämlich der user test mit einem beliebigen Passwort einloggen. (Ich würde die Sache ja auch gerne verstehen) keiner, ich denke Du wirst den irgendwie nicht richtig gestartet haben. --> Das ist mir wohl auch schon gerade wieder passiert. Jetzt kann gerade wieder jeder test sowie ftp mit beliebigen passwort einloggen. kann ich das irgendwie "debuggen" oder loggen und sehen wieso das mit falschen passwort auch geht? Danke + Grüsse Michael (P.S. Ich restarte immer mit Webmin/Debian Woody - da ist der Status auf "testing" und nicht "stable" ggf. liegt es daran.) P.P.S. Wenn ich /etc/init.d/proftpd restart mache dann klappt es. Scheint ggf. wirklich ein bug im webmin-proftpd zu sein. Damit hätte dich dann auch erklärt, wieso ich hier soviel Zeit verschwendet hätte. |