Das weiß ich noch nicht.
Nun muß ich erst einmal eine vernünftige Anbindung an die AV Software herstellen. Momentan tendiere ich zu uvscan (ist zwar nicht OS, wird aber vom AG bezahlt).
uvscan prüft Dateien und deren Inhalt, bspw. Archive, und im Falle einer Infektion wird die Datei in ein anzugebendes Quarantäneverzeichnis überführt.
Ob ggf. dem jeweiligen Benutzer noch eine Info zukommen kann (außer einer Logdatei) weiß ich (noch) nicht ... in Zweifelsfall sollte er es aber daran bemerken, daß eine übertragene Datei nicht ankommt/angezeigt wird.

Gruß

Argh ..... nun läuft es!
/var/log/proftpd/exec.log sagt:

Code:

Jan 03 14:49:59 mod_exec/0.8.1[24992]: preparing to execute '/usr/local/f-prot/f-prot.sh' with uid 0, gid 100
Jan 03 14:50:01 mod_exec/0.8.1[24961]: STOR ExecOnCommand '/usr/local/f-prot/f-prot.sh' succeeded

Der entsprechende Passus in der proftpd.conf:

Code:

## Use of mod_vroot
##
VRootEngine on
VRootOptions allowSymlinks
DefaultRoot ~

## Use of mod_exec (eg. for virus-scanning)
##
mod_exec
ExecEngine on
ExecLog /var/log/proftpd/exec.log
ExecTimeout 30
ExecOnCommand WRITE,STOR /usr/local/f-prot/f-prot.sh --user -%u --file %f

Gruß

Ok, Danke schon einmal!
... funzt aber leider nicht wirklich ...

Habe nun einmal mod_vroot mit eingebaut, die Konfigurationsdatei angepaßt, und proftpd neu gestartet.

Code:

suse92test:/var/log/proftpd # ftp localhost
Trying 127.0.0.1...
Connected to localhost.
220 ProFTPD 1.2.10 Server (ProFTPD Server) [127.0.0.1]
Name (localhost:root): stormbringer
331 Password required for stormbringer.
Password:
230 User stormbringer logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
229 Entering Extended Passive Mode (|||32803|)
150 Opening ASCII mode data connection for file list
421 Service not available, remote server has closed connection.
ftp> bye
suse92test:/var/log/proftpd #

Und sies steht in /var/log/proftpd/proftpd.syslog

Code:

Jan 03 13:52:09 suse92test proftpd[24595] suse92test.skar.dt: ProFTPD 1.2.10 (stable) (built Mon Jan 3 13:04:40 CET 2005) standalone mode STARTUP
Jan 03 13:52:15 suse92test proftpd[24597] suse92test.skar.dt (127.0.0.1[127.0.0.1]): FTP session opened.
Jan 03 13:52:22 suse92test proftpd[24597] suse92test.skar.dt (127.0.0.1[127.0.0.1]): USER stormbringer: Login successful.
Jan 03 13:52:24 suse92test proftpd[24597] suse92test.skar.dt (127.0.0.1[127.0.0.1]): ProFTPD terminating (signal 11)
Jan 03 13:52:24 suse92test proftpd[24597] suse92test.skar.dt (127.0.0.1[127.0.0.1]): FTP session closed.

Sobald ich 'VRootEngine' auf off setze, kann eine FTP Sitzung normal genutzt werden ...

Hier meine /etc/proftpd.conf:

Code:

ServerName          "ProFTPD Server"
ServerType          standalone
DefaultServer       on
Port                21
Umask               022
MaxInstances        30
User                nobody
Group               nogroup

VRootEngine on
VRootOptions allowSymlinks
ExecEngine on
ExecLog /var/log/proftpd/exec.log
ExecTimeout 30
ExecOnCommand WRITE,STOR /usr/local/f-prot/f-prot.sh --user -%u --file %f

PidFile             /var/run/proftpd.pid
ScoreboardFile      /var/run/proftpd.score
SystemLog           /var/log/proftpd/proftpd.syslog
TransferLog         /var/log/xferlog
IdentLookups        off
RequireValidShell   off
UseFtpUsers         off
UseReverseDNS       off
WtmpLog             on
#Umask              002
TimeoutLogin        120
TimeoutIdle         600
TimeoutNoTransfer   900
TimeoutStalled      3600
LogFormat           default "%h %l %u %t \"%r\" %s %b"
LogFormat           auth    "%v [%P] %h %t \"%r\" %s"
LogFormat           write   "%h %l %u %t \"%r\" %s %b"
ExtendedLog         /var/log/proftpd/proftpd-access.log WRITE,READ write
ExtendedLog         /var/log/proftpd/proftpd-auth.log AUTH auth
#ExtendedLog        /var/log/proftpd/proftpd-paranoid.log ALL default
#DefaultRoot ~
AllowOverwrite      on

<Limit SITE_CHMOD>
  DenyAll
</Limit>

<Anonymous ~ftp>
  User              ftp
  Group             ftp
  UserAlias         anonymous ftp
  MaxClients        5
  DisplayLogin      welcome.msg
  DisplayFirstChdir .message
  <Limit WRITE>
    DenyAll
  </Limit>
</Anonymous>

Korrekt erstellt wurde proftpd wohl auch:

Code:

suse92test:/var/log/proftpd # /usr/sbin/proftpd -l
Compiled-in modules:
  mod_core.c
  mod_xfer.c
  mod_auth_unix.c
  mod_auth_file.c
  mod_auth.c
  mod_ls.c
  mod_log.c
  mod_site.c
  mod_auth_pam.c
  mod_ratio.c
  mod_readme.c
  mod_exec.c
  mod_vroot.c
  mod_cap.c
suse92test:/var/log/proftpd #

Und die Syntax dürfte ebenfalls stimmen:

Code:

suse92test:/var/log/proftpd # /usr/sbin/proftpd -td5
Checking syntax of configuration file
 - parsing '/etc/proftpd.conf' configuration
suse92test.skar.dt -
suse92test.skar.dt - Config for ProFTPD Server:
suse92test.skar.dt - ~ftp/
suse92test.skar.dt -  Limit
suse92test.skar.dt -   DenyAll
suse92test.skar.dt -  UserName
suse92test.skar.dt -  GroupName
suse92test.skar.dt -  UserAlias
suse92test.skar.dt -  MaxClients
suse92test.skar.dt -  DisplayLogin
suse92test.skar.dt -  DisplayFirstChdir
suse92test.skar.dt -  Umask
suse92test.skar.dt -  ExecOnCommand
suse92test.skar.dt -  TransferLog
suse92test.skar.dt -  RequireValidShell
suse92test.skar.dt -  UseFtpUsers
suse92test.skar.dt -  WtmpLog
suse92test.skar.dt -  AllowOverwrite
suse92test.skar.dt - Limit
suse92test.skar.dt -  DenyAll
suse92test.skar.dt - DefaultServer
suse92test.skar.dt - Umask
suse92test.skar.dt - UserID
suse92test.skar.dt - UserName
suse92test.skar.dt - GroupID
suse92test.skar.dt - GroupName
suse92test.skar.dt - VRootEngine
suse92test.skar.dt - VRootOptions
suse92test.skar.dt - ExecEngine
suse92test.skar.dt - ExecLog
suse92test.skar.dt - ExecTimeout
suse92test.skar.dt - ExecOnCommand
suse92test.skar.dt - PidFile
suse92test.skar.dt - TransferLog
suse92test.skar.dt - IdentLookups
suse92test.skar.dt - RequireValidShell
suse92test.skar.dt - UseFtpUsers
suse92test.skar.dt - WtmpLog
suse92test.skar.dt - TimeoutLogin
suse92test.skar.dt - TimeoutIdle
suse92test.skar.dt - TimeoutNoTransfer
suse92test.skar.dt - TimeoutStalled
suse92test.skar.dt - ExtendedLog
suse92test.skar.dt - ExtendedLog
suse92test.skar.dt - AllowOverwrite
Syntax check complete.
suse92test:/var/log/proftpd #

Ich habe dann noch zwei Debugfiles erstellt, einmal mit deaktivierter Option VRootEngine (proftpd.debug), und einmal mit aktivierter Option
(proftpd.debug1). EDITIERT

Hat jemand eine Idee?

Danke & Gruß

Hallo Leute,

ich habe vor einigen Monaten schon einmal danach gefragt, es aber nicht weiter verfolgt ...
Heute nun habe ich mir erst einmal einen Satz RPMs für die hier laufende SuSE 9.2 gebaut, inkl. mod_exec.
In die /etc/proftpd.conf habe ich dann folgende Einträge gemacht:

Code:

ExecEngine on
ExecLog /var/log/proftpd/exec.log
ExecTimeout 30
ExecOnCommand WRITE,STOR /usr/local/f-prot/f-prot.sh --user -%u --file %f

Das funzt auch wunderbar, solange DefaultRoot deaktiviert bleibt.

Nun denke ich über eine andere Lösung nach, um DefaultRoot nutzen zu können ... aber leider verlangt mod_exec die Pfadangabe des auszuführenden Programms als absolute Angabe - kann man das irgendwie umbiegen?
Auf dem Server werden nur Systembenutzer Zugang zu Ihren ~/ haben. Somit wäre es möglich, bei einer relativen Angabe, durch linken einem jeden Benutzer die AV Engine nutzbar zu machen ... oder habe ich da einen elementaren Denkfehler?

Gruß

Hi,

habe es nun halbwegs hinbekommen:
es funzt, sobald DefaultRoot ~ deaktiviert wird ...  :cry:
Hoffe, daß dies bald gefixt wird ...  :wink:

Gruß

ne, leider nicht. Das liegt daran, dass CHROOT eine Systemanweisung ist und wenig mit ProFTPD zu tun hat.

cu
stonki

... und ich hatte gehofft, daß ich http://www.castaglia.org/proftpd/modules/mod_exec.html#ExecOnCommand nun richtig gelesen und verstanden hätte ...  also noch einmal ran die die Doku ...

Gruß

Hallo,

ich versuche mich gerade erneut an mod_exec, da ein neues System aufgesetzt wird.
Ich nutze proftpd 1.2.10, und habe die aktuellste mod_exec Version heruntergeladen, und beim Kompilieren mit angegeben (--with-modules=mod_exec).
Soweit, sogut.

Meine proftpd.conf sieht momentan wie folgt aus (nut die relevanten Teile?):

Code:

TransferLog             /var/log/proftpd/xferlog
ExtendedLog             /var/log/proftpd/access.log WRITE,READ write
ExtendedLog             /var/log/proftpd/auth.log AUTH auth
ExtendedLog             /var/log/proftpd/paranoid.log ALL default
LogFormat               default "%h %l %u %t \"%r\" %s %t"
LogFormat               auth    "%v [%P] %h %t \%r\" %s"
LogFormat               write   "%h %l %u %t \"%r\" %s %b"

ExecEngine on
ExecLog /var/log/proftpd/mod_exec.log
ExecTimeout 60
ExecOnCommand STOR /usr/local/f-prot/f-prot.sh

Es wird die Datei /var/log/proftpd/mod_exec.log angelegt, und auch beschrieben ... aber leider halt nichts Gutes :wink:

Code:

Oct 03 12:26:21 mod_exec/0.8.1[12263]: preparing to execute '/usr/local/f-prot/f-prot.sh' with uid 0, gid 100
Oct 03 12:26:21 mod_exec/0.8.1[12263]: error: unable to open /dev/null for stdin: No such file or directory
Oct 03 12:26:21 mod_exec/0.8.1[12262]: STOR ExecOnCommand '/usr/local/f-prot/f-prot.sh' failed: No such file or directory

/usr/local/f-prot/f-prot.sh hat folgenden Aufbau:

Code:

#!/bin/sh
#
# This is a shell script to invoke the F-Prot OnDemand Scanner for Linux.
#
exec /usr/local/f-prot/f-prot ${@+"$@"}

Kann mir ggf. jemand auf die Sprünge helfen?
Seit Stunden renne ich permanent in die Falle ...  :wink:

Ziel ist, daß jede heraufgeladene Datei mittels AV-Scanner untersucht wird ...

Danke schon mal (zumindest fürs lesen) & noch einen schönen Tag

Prinzipiell gerne, allerdings wird ja vor der Nutzung von mod_exec in Verbindung mit DefaultRoot ~ gewarnt ... oder habe ich da etwas falsch verstanden?

Gruß

Hi,

yep, das habe ich bereits eingerichtet (antivir & f-prot).
Allerdings werden damit ja lediglich bereits auf dem System befindliche Dateien geprüft - und ggf. sind diese bereits schon wieder von einem Nutzer angefordert worden. Eine Lösung mit separaten upload/download Bereichen (bei der dann von upload nach download mit einem AV Scan verschoben wird) möchte ich eigentlich nicht einrichten ...

Danke!

Gruß

Hi,

gibt es eigentlich eine aktualisierte Version des proftpd-scan Skripts?
Die letzte gefundene Version trägt die Bezeichnung 0.4, und wird mehr oder weniger als "Machbarkeitsstudie" umschrieben.

Gruß & einen schönen Abend noch

[edit]
mod_exec habe ich mir schon angesehen, aber da es bei Nutzen von DefaultRoot zu Problemen kommen soll, nicht ausprobiert.
Der Link zu mod_autorun scheint nicht komplett zu sein ...
[/edit]

Wird denn xinetd gestartet?
Und müßte in den xinetd Eintrag nicht noch ein disable = no?

Gruß

Hi,

die URL hat sich offenbar geändert: http://www.myftpadmin.nu/
Zudem ist die Version 0.6 aktuell.

Gruß

Moin,

ich versuche gerade unseren Imageserver auf proFTPd 1.2.9 umzustellen.
Als Tool zur Erstellung der Images werden wir wohl G4L (http://g4l.networks-ltd.de/) nutzen.

Um nun Zugriff auf den proFTPd zu erhalten, ist es aber wohl notwendig, die Authorisierung via username:password@server durchzuführen ... nur wird dies leider weder via remote Eingabe, noch per lokaler Eingabe akzepiert.
Ein "ftp username:password@192.168.100.1" ergibt:

admin@router:~> ftp username:password@192.168.100.1
Connected to ftpserver.local.lan.
220 ProFTPD 1.2.9 Server (ProFTPD Server) [ftpserver.local.lan]
331 Password required for username:password.
Password:

Da G4L eine ncurses-basierte Oberfläche nutzt, können wir nicht ohne weitere here-Skripte, oder ein .netrc nutzen ...
Wie kann es trotzdem realisiert werden?

Danke & Gruß