Also jetzt einmal Schritt für Schritt. Ich glaub ich habe da ein Verständnisproblem.

Ich habe gerader daher erst einmal die Authentifizierung erst einmal wieder auf mod_auth_unix.c gestetzt und zwar ausschließlich. Gut, also nur reale Accounts. Konfig sieht dann so aus

Code:

ServerIdent on "Serverbla"
ServerType standalone
ScoreboardFile /var/run/proftpd.scoreboard
IdentLookups off
Port 21
Umask 022
MaxInstances 20
User nobody
Group nogroup
AuthOrder mod_auth_unix.c
RequireValidShell off
PassivePorts 40000 40020
RootLogin on
UseFtpUsers off
AllowOverwrite on
AllowStoreRestart on
AllowRetrieveRestart on
LogFormat tolleslog "%t %U %h '%m %f' %T"
ExtendedLog /var/log/proftpd-transfers.log read,write tolleslog


<IfGroup wheel>
    <Limit Login>
        Deny from all
        Allow 192.168.10.3
    </Limit>
</IfGroup>

<IfGroup !wheel>
    <Directory ~>
        <Limit WRITE>
            DenyAll
        </Limit>
    </Directory>
    <Directory ~/upload>
        <Limit ALL>
            AllowAll
        </Limit>
    </Directory>
</IfGroup>

Dann habe ich einen user "test" angelegt der nur Mitglied seiner eigenen Gruppe "test" ist. Logge ich mich nun ein unter User Test sollte der nach obigen Regeln nur in seinem "upload" Verzeichnis welches ich vorher angelegt habe, schreiben dürfen. Er kann aber nirgends schreiben. Permission denied selbst beim neuen Unterordner anlegen. Woran liegt das? Zudem kann ich mich auch als "root" von jeglicher IP einloggen, nicht nur con "192.168.10.3", also klappt auch das nicht. Das verstehe ich nicht. Wenn das klappt, dann mal weiter mit virtuellen usern überlegen... :-)

Gruß, incmc

ok, aber was ist mit dem IfGroup? Wieso zur Hölle geht das denn nicht :-( ?

Gruß, incmc

Also das mit IfGroup geht irgendwie gar nicht. Null Effekt. Nachdem ich jetzt seit stunden nicht weiterkomme, hoffe ich mal, dass einer hier mir das erklären kann.

Also hier mal die Config:

Code:

ServerIdent on "Ich bin bald nen ftp server"
ServerType standalone
ScoreboardFile /var/run/proftpd.scoreboard
IdentLookups off
Port 21
Umask 022
MaxInstances 20
User nobody
Group nogroup
AuthOrder mod_auth_file.c
AuthGroupFile /usr/local/etc/proftpd.group
AuthUserFile /usr/local/etc/proftpd.passwd
DefaultRoot ~ ftpusers-chroot
RequireValidShell off
PassivePorts 40000 40500
RootLogin on
UseFtpUsers off
AllowOverwrite on
AllowStoreRestart on
AllowRetrieveRestart on
LogFormat tolleslog "%t %U %h '%m %f' %T"
ExtendedLog /var/log/proftpd-transfers.log read,write tolleslog


<IfGroup ftpusers-free>
    <Limit Login>
        Deny from all
        Allow 192.168.100.30
    </Limit>
</IfGroup>

<IfGroup ftpusers-free>
    <Directory ~>
        <Limit WRITE>
            DenyAll
        </Limit>
    </Directory>
    <Directory ~/upload/*>
        <Limit ALL>
            AllowAll
        </Limit>
    </Directory>
</IfGroup>

Hier noch die proftpd.group und proftpd.passwd

Code:

ftpusers-chroot:x:65533:ugauga
ftpusers-free:x:0:root

Code:

root:blabla.:0:0::/:/sbin/nologin
ugauga:blabla.:65534:65533::/home/ftpusers/ugauga:/sbin/nologin

So, und jetzt bin ich mal gespannt, ich werde langsam echt wahnsinnig.

Gruß, Jochen

Man kann sich nicht per root einloggen, wenn nicht
"UseFtpUsers off" gesetzt ist, weil proftpd sonst user die in /etc/ftpusers nicht zulässt.

Nein. In Deinem AuthUserFile sollte eine UID drin stehen. Damit laeuft er dann.

http://castaglia.proftpd.de/doc/contrib/ProFTPD-mini-HOWTO-AuthFiles.html
http://www.proftpd.de/index.php?id=28&language=&directive_name=user&module_id=&=OK#211

Die Seiten hatte ich schon gelesen. Also ich sehe das anders. Die uid die ich meinem  virtuellen User in meinem AuthUserFile zuweise ist ebenfalls virtuall, nicht die von einem echten System user. Wo steht das denn in der Seite oder versteh ich da was falsch?

Deine Zugangskontrolle kannst Du auf zwei Arten sehr flexibel gestalten:

http://castaglia.proftpd.de/modules/mod_wrap-2.0.html
oder
http://castaglia.proftpd.de/modules/mod_ifsession.html


<IfGroup Gruppe2>
    <Limit Login>
DenyFromAll
Allow 192.168.0.4
</limit>
</IfGroup>

UNGETESTET

Teste ich sofort :-)

Gruß, incmc

Hi!

Ich versuche zwei Gruppen von usern anzulegen mit unterschiedlichen Rechten. Die einen sind in ihrem Homeverzeichnis eingesperrt, die anderen nicht. Das klappt auch. Authentifizierung läuft per eigenen passwd / group file, auch ok.
Nun verstehe ich aber nicht wie die Rechte unter der Haube laufen. Laufen die User jetzt alle auf dem Account den ich in der Serverconfig mit "User" und Group festgelegt habe? Sprich was der "echte" User nicht darf, dürfen auf die virtuellen user nicht?

Die zweite Gruppe die nicht chrooted wird, soll echten root Zugriff haben. Dieser login soll aber limiert werden auf ein privates Subnetz (und wird auch ssl verschlüsselt was jetzt aber erst mal nicht wichtig ist). Ich dachte ich könnte das mit Limit LOGIN machen, jedoch sagt die Doku, dass ich dies nicht in einem Directory Block nutzen kann.
Müsste ich nicht dieser Gruppe von usern einen "echten" User zuweisen mittels "User", der root Rechte hat?

Nur wie machen...?


Gruß, incmc

Hi!

Ich habe eine eigene passwd und groud Datei angelegt  mit ftpasswd (geht das eigentlich auch ohne das tool mit Boardmitteln?).

Nun habe ich ihm im Config File mittels AuthGroupFile und
AuthUserFile gesagt wo die sind. Klappt auch alles supi, nur funktionieren die echten user aus der echten passwd des Systems auch noch. Ich habe gelesen, das soll mit AuthOrder abstellbar sein, verstehe aber nicht wie.


Danke und Gruß, incmc

Hi!

Wenn ich mich verbinde auf den Server, dann steht dirt erst einige Sekunden lang

"Warten auf Willkommens Mitteilung"

und nach ein paar Sekunde platzt dann praktisch der Knoten und dann ist man drin und alles schnell. Im Logfile steht:

Code:

Nov 23 23:50:23 jail-0 proftpd[412]: jail-0 - ProFTPD 1.2.9 (stable) (built Sun Nov 23 22:20:47 CET 2003) standalone mode STARTUP
Nov 23 23:51:03 jail-0 proftpd: no modules loaded for `ftpd' service
Nov 23 23:51:03 jail-0 proftpd[415]: jail-0 (BLABLA.DE[192.168.10.3]) - PAM(status): Permission denied.
Nov 23 23:51:04 jail-0 proftpd[415]: jail-0 (BLABLA.DE[192.168.10.3]) - USER status: Login successful.

Liegt das daran, dass ich PAM nicht konfiguriert habe?