|
Titel: user xyz NUR das login verweigern Beitrag von: mike am 17. August 2006, 18:38:48 hallo
habe eine deibna laufen und per apt-get proftp installiert weil ich schnell einen ftp server brauche, laeuft auch alles prima da ist jetzt der user xyz der einige programme und dienste laufen laesst auf dem system, seine home verzeichnis braucht er - wie kann ich dem user xyz das einloggen per ftp verweigern verweigern? Titel: Re: user xyz NUR das login verweigern Beitrag von: VolGas am 17. August 2006, 21:17:06 Hallo!
Ich gehe davon aus, daß Du die Standard-Authentifikation benutzt, d.h. es werden ausschließlich die eingetragenen Benutzer des Systems zugelassen. Um hier eine Auswahl zu treffen ist es am sinnvollsten, wenn Du allen Usern, die Zugang per FTP erhalten sollen, eine Gruppe zuweist. Dies kann auch eine schon bestehende Gruppe sein z.B. so etwas wie die Gruppe "webuser" oder "ftpuser". Um den Zugang z.B. nur den Usern der Gruppe "ftpuser" zu realisieren, füge Deiner proftpd.conf folgende Zeilen zu: <Limit LOGIN>Mit den ersten drei Zeilen werden alle User, die nicht der Gruppe "ftpuser" angehören, abgewiesen. Die nachfolgenden Zeilen sind eine Empfehlung von mir... mfg. VolGas Titel: Re: user xyz NUR das login verweigern Beitrag von: mike am 17. August 2006, 21:22:03 yeah
danke das werd ich testen die empfehlungen von dir hab ich schon alle drin, bis auf die letzte Titel: Re: user xyz NUR das login verweigern Beitrag von: mike am 17. August 2006, 23:17:58 meine proftpd.conf
Code: # # /etc/proftpd.conf -- This is a basic ProFTPD configuration file. # To really apply changes reload proftpd after modifications. # ServerName ftp-server #1 ServerType standalone DeferWelcome off ServerAdmin no1@home MultilineRFC2228 on DefaultServer on ShowSymlinks on AllowOverwrite on AllowRetrieveRestart on # resume erlauben AllowStoreRestart on DeleteAbortedStores off TimeoutNoTransfer 600 TimeoutStalled 600 TimeoutIdle 1200 DisplayLogin welcome.msg DisplayFirstChdir .message ListOptions "-l" DenyFilter \*.*/ UseReverseDNS off # beschleunigt das login IdentLookups off # beschleunigt das login AllowForeignAddress on # fxp erlauben # # Logging options # TransferLog /var/log/proftpd.xferlog # Some logging formats # LogFormat default "%h %l %u %t \"%r\" %s %b" LogFormat auth "%v [%P] %h %t \"%r\" %s" LogFormat write "%h %l %u %t \"%r\" %s %b" # Log file/dir access ExtendedLog /var/log/proftpd.access_log WRITE,READ write # Record all logins ExtendedLog /var/log/proftpd.auth_log AUTH auth # Paranoia logging level.... ExtendedLog /var/log/proftpd.paranoid_log ALL default # Uncomment this if you are using NIS or LDAP to retrieve passwords: #PersistentPasswd off # Uncomment this if you would use TLS module: #TLSEngine on # Uncomment this if you would use quota module: #Quotas on # Uncomment this if you would use ratio module: #Ratios on # Port 21 is the standard FTP port. Port 21 # To prevent DoS attacks, set the maximum number of child processes # to 30. If you need to allow more than 30 concurrent connections # at once, simply increase this value. Note that this ONLY works # in standalone mode, in inetd mode you should use an inetd server # that allows you to limit maximum number of processes per service # (such as xinetd) MaxInstances 30 # Set the user and group that the server normally runs at. User nobody Group nogroup defaultroot ~ RequireValidShell off # Umask 022 is a good standard umask to prevent new files and dirs # (second parm) from being group and world writable. # Umask 022 022 <Directory /*> # Umask 022 is a good standard umask to prevent new files and dirs # (second parm) from being group and world writable. Umask 007 007 # Normally, we want files to be overwriteable. AllowOverwrite on # geschriebene .. hochgeladenen verzeichnisse und dateien gehoehren zu der gruppe ftp-user GroupOwner ftp-user # den befehl chmod verweigern <Limit SITE_CHMOD> DenyAll </Limit> <Limit LOGIN> DenyGroup !user-ftp </Limit> </Directory> in user-ftp dachte ich alle die user zumachen die sich nur auf dem ftp server einloggen sollen in ftp-user sind alle die leute die sich auf dem server einloggen koennen sollen und duerfen und user die auch mit den dateien zutun haben die mit dem ftpserver zutun haben ich habe in die proftpd.conf Code: <Limit LOGIN> eingefuegt und in der gruppe user-ftp noch keinen hinzugefuegt, demach sollte sich also niemand auf dem ftp server einloggen koennen, kann man aber trotzdemDenyGroup !user-ftp </Limit> irgendwie muss irgendwo nochwas falsch sein.. Titel: Re: user xyz NUR das login verweigern Beitrag von: VolGas am 17. August 2006, 23:42:37 Deine .conf sieht sehr gut aus, bis auf einen Fehler:
<Directory /*>...dazwischen ok...</Directory> Der "<Limit...>"-Block wird durch den wirkungslosen "<Directory>"-Block quasi deaktiviert. Entferne einfach "<Directory /*>" und "</Directory>" und starte den ProFPTD neu - dann klappt's! mfg. VolGas Titel: Re: user xyz NUR das login verweigern Beitrag von: mike am 17. August 2006, 23:57:26 hi
ich hab Code: <Limit LOGIN> DenyGroup !ftpuser </Limit> einfach aus dem "Direcotry" block rausgenommen und drueber gesetzt, funktioniert nun - coole sache du ... das mit dem chmod verbieten, ist doch aber dort an der richtigen stelle, oder? Titel: Re: user xyz NUR das login verweigern Beitrag von: VolGas am 18. August 2006, 00:30:22 Nein, das wird auch blockiert - warum löscht Du denn nicht die beiden Zeilen,
die ich beschrieben habe? Die "<Directory...>"-Anweisung ist sowieso falsch und kann nie greifen. Also kannst Du sie auch löschen und alles was dazwischen ist, wird dann wieder aktiv. Ich mache nun Feierabend und gehe in die Heia. Viel Spaß noch und eine gute N8! mfg. VolGas |