@ Beowulf:

Bitte hänge nicht anders geartete Probleme an einen schon existieren Thread, sondern eröffne Deinen eigenen.
Ich habe Dein Posting als eigenen Thread abgetrennt: Re: Probleme mit proftpd_admin/mysql Verbindung

mfg.
  VolGas

Hi!

Dies ist ein generelles und kein ProFTPD-spezifisches Problem.
Man kann sich via IPtables mit ensprechenden Regeln recht effizient gegen Angriffe wehren -
manchmal spricht man dabei auch von der "Linux Firewall".

Das Thema ist von Natur aus recht komplex, aber es gibt einige Lösungen, die automatisch
schon recht brauchbare Konfigurationen vornehmen können, die, IMHO, für den Anfang schon
ausreichend sein können.

Jede Menge Informationen zur Problematik und zu IPtables findest Du mit entsprechenden
Stichworten über eine Suchmaschine.

mfg.
  VolGas

Hallo,

ich vermute, daß einfach nur das "RequireValidShell off" fehlt.
Zur Optimierung könntest Du zusätzlich noch folgendes hinzufügen:

    UseReverseDNS   off
    IdentLookups    off
    DelayEngine     off
    AuthOrder       mod_auth_unix.c

ProFTPD neu starten (ohne Debug) - fertig.

mfg.
  VolGas

Wenn Du nun noch beschreiben würdest, was das Problem war und wie
Du es gelöst hast, könnte dieses bestimmt auch anderen weiterhelfen...
Danke!

mfg.
  VolGas

Ich hatte Dich schon oben davor gewarnt, daß Du dieses Problem bekommen würdest.

Nachträglich den Eigentümer oder die Gruppe zu ändern hat nichts mehr mit dem ProFTPD zu tun.
Nachdem hier schon unnötigerweise für die Zugriffsberechtigungen das Rad neu erfunden und auch
gleich noch aufgezogen wurde, geht mir das nun entschieden zu weit.

Eine Anleitung, wie Du Dein System konfigurierst, hat nicht wirklich etwas mit dem ProFTPD
(und damit auch nichts mit diesem Forum) zu tun. Sorry, das klingt bestimmt hochgradig arrogant,
aber irgendwo muß man eine Grenze ziehen, sonst schreibt man sich nur die Finger an Fragen wund,
die anderweitig schon zig-tausend fach beantwortet wurden und nur immer weitere neue Fragen nach
sich ziehen.

Wenn man Fragen in einem Forum oder im Usenet stellt, dann gehört dazu, genug
Höflichkeit und Bereitschaft aufzubringen, sich im Vorfeld selbst soweit zu informieren,
daß der Antwortende möglichst wenig in Anspruch genommen und nicht an den einzelnen
gebunden (oder gar "verschlissen") wird, sondern auch noch anderen zur Verfügung stehen
kann. Das ist also nicht nur fair dem Antwortenden gegenüber...

Einen Anfänger an die Hand nehmen ist ok, aber nicht dabei von Pontius bis Pilatus die
ganze Zivilationsgeschichte aufzuwickeln. Wenn Du zu einem Fahrschullehrer gehst,
wirst Du ja wohl nicht von Ihm verlangen, daß er Dir zuerst das Gehen, dann das
Fahrradfahren und vielleicht gleich auch noch so ganz nebenbei das Schwimmen beibringt.

Lies das oben erwähnte Buch oder suche Dir eine Linux-Newbie Website oder Forum.
Letzte, direkte Hilfe zum Problem noch von mir: suche nach dem Stichwort "chown".

Nochmal: dies ist ein Forum für den ProFTPD...

mfg.
  VolGas

Ist diese Version schon als "stable" freigegeben?
Und daß man eine (relativ) aktuelle Version des ProFTPD als Paket zur Verfügung hat,
glaub' auch nicht. Debian war leider schon immer lahm und träge in dieser Hinsicht.

Und dann glaub' ich gleich zwei mal nicht, daß das Modul "mod_ifsession" eincompiliert wurde.
Aber ohne das funktioniert dieses Beispiel nicht. Selber compilieren!

mfg.
  VolGas

Oh, sorry - das hatte ich einfach überlesen.

Ich habe ->hier eine Lösung zu Deinem Problem gefunden (Auszug):

Another related question often asked is "How can I limit a user to only being able to login from a specific range of IP addresses?"
The <Limit LOGIN> can be used, in conjunction with the mod_ifsession module and a Class, to configure this:

  <Class friends>
    From 1.2.3.4/8
  </Class>

  <IfUser dave>
    <Limit LOGIN>
      AllowClass friends
      DenyAll
    </Limit>
  </IfUser>

Note that the same effect can be achieved by using the mod_wrap module to configure user-specific allow/deny files.

Ich hoffe, das hilft Dir weiter.

mfg.
  VolGas

Hi!

Der ProFTPD kann das System heranziehen um bestehende Systemuser zu authentifizieren,
er kann aber unter vielem anderem auch virtuelle User per mySQL verwalten.

Schau Dir einfach einmal Stonki's Website (diese hier) an, speziell die ->Support-Seiten und lies Dich schlau...

mfg.
  VolGas

Klasse - wenn Du hier noch den Link zur Website dazu posten würdest,
dann könnten sich auch andere noch daran erfreuen...
Danke!

BTW: ich habe das bei uns über IP-Tables gelöst, wenn auch manuell
und selbst aus "dem Kreuz geleiert". Funktioniert gut und zuverlässig.
Dennoch würde mich die Lösung, die Du gefunden hast, auch interessieren -
Vielleicht kann ich da ja noch etwas abgucken und lernen...

mfg.
  VolGas

Hi!

Nachträglich geht nicht.
Entweder richtiges RPM installieren oder den ProFTPD entsprechend selber compilieren.
Wenn Du danach im Forum suchst, wirst Du etliches dazu finden.

mfg.
  VolGas

Hallo,

Das zitierte Beispiel sollte funktionieren.
Einfach ausprobieren, vielleicht zuerst mit einer eigenen IP...
Was ist die Datei "ftpallowdips" - ein Incude-File zu der proftpd.conf?

Näheres (auch zu Subnetzen) siehe Konfiguration der Direktiven ->Allow, "Deny", "Order", etc.

mfg.
  VolGas

Hi,

ich habe mich lange vor einer Antwort gedrückt, denn am liebsten hätte ich mit "vergiß es" geantwortet, da
ich zu dem Thema einen seitenweisen Vortrag halten könnte. Was Stonki schreibt, stimmt prinzipiell, doch
willst Du ja nicht unterschiedliche IP-Adressen im Internet propagieren, sondern unterschiedliche Portadressen.
Das geht.

Nur: "MasqueradeAddress" kann tatsächlich nur einmal "greifen", da Du ja auch zum Internet hin über Deinen
Router nur eine einzelne IP-Adresse hast. Also sind zwei dyndns-Adressen unnütz, die IP-Adressen wären immer
identisch.

Damit jeweils ein interner und ein ("übersetzter") externer Zugriff möglich ist, brauchst Du für Deine Server-
maschine zwei interne IP-Adressen: einmal für FTP-intern (LAN) und einmal für FTP-extern (WAN).

Weiterhin ist für jeweils jeden Port ein (virtueller) Server einzurichten, für jede IP einmal extra.
Damit hätten wir schon einmal vier (ein default, drei virtuelle) Server, aber warum nicht...

Dann solltest Du mit Deinem FTP-Client nur passiv auf den FTP-Server zugreifen, entsprechend viele Ports sind
offen und zu Deinem Server durchzulassen - und zwar ausschließlich 1:1, ohne Portforwarding, Porttranslation
oder wie es sich sonst so schön in solchen Routern konfigurieren läßt !!!

Bevor wir jetzt anfangen, an Deiner proftpd.conf herumzubasteln, möchte Dir vorschlagen, daß Du Dir das
Konfigurationsbeispiel ->hier einmal ansiehst und dieses entsprechend erweiterst und anpasst.
Das erspart einigen Ärger - und wahrscheinlich auch einiges an Erklärungen.

Es ist höchst problematisch und schwierig (wenn nicht sogar unmöglich), einen Server über einen heimischen
DSL-Anschluß mit dynamsicher IP auch nur einigermaßen verläßlich betreiben zu wollen: ich halte es -Entschuldigung-
schlicht für eine blöde Idee. Zum verläßlichen Betrieb eines Servers gehört nun zumindest einmal eine feste IP-Adresse.
Günstige V-Server findet man quasi an jeder Ecke.

Jetzt willst Du zu allem Verdruß auch noch FXP auf der wackeligen IP einsetzten - Wahnsinn...
Achte darauf, daß hier der ProFTPD den passiven Part übernimmt, dann könnte es vielleicht sogar funktionieren.

Viel Spaß beim basteln und viel Erfolg!

mfg.
  VolGas

Hallo!

Entschuldige meine Unwissenheit, aber was ist "bftpd" - ein zweiter, zusätzlicher FTP-Server?
Wenn dieser ein (Log)File anlegt und dieses exklusiv für sich im System reserviert offen hält,
dann kann der ProFTPD in das selbe File erwartungsgemäß natürlich nichts hineinschreiben.
Ebenso nicht, wenn er für das umgebende Verzeichnis keine Schreibrechte hat.

Aber ich denke, das weißt Du selbst ganz gut und ich habe Dich irgendwie mißverstanden!?!

mfg.
  VolGas

Ich hatte noch die englische Original-Definition von "Umask" im Kopf und da werden die Parameter vierstellig
angegeben. Wenn man die führende "0" wie in Stonki's Anleitung weggläßt, scheint es damit auch zu gehen.
Sorry, ich wollte damit nicht noch zusätzlich verwirren.

Stelle Dir das Ganze vielleicht so vor:

4 = read (r)
2 = write (w)
1 = execute (x)

Wenn Du die gewünschten Berechtigungen nebeneinander schreibst, z.B. für ein Verzeichnis "rwxr-xr-x"
("rwx" für: user, group, other), die Zahlen der jeweils erwünschten Flags entsprechend dazuschreibst und diese
dann gruppenweise zusammenzählst, dann erhälst Du die aktuellen Zugriffsrechte, die man auch für den Shell-
befehl "chmod" benutzt. (siehe auch: "man chmod")

Für "Umask" zählen aber nicht die Flags, die Du haben möchtest, sondern umgekehrt die, die Du nicht haben
willst. Diesen Wert erhälst Du dann entweder auch durch Auszählen oder durch die Subtraktion wie in
Stonki's Konfigurationsanleitung.

Konkretes Beispiel:

        Datei       Verzeichnis
Rechte: rw-r--r--   rwxr-xr-x
chmod:  42-4--4--   4214-14-1  = 644 755
Umask:  --1-21-21   ----2--2-  = 133 022

Das bedeutet: der Eigentümer darf alles, die Gruppe und die restliche Welt nur sehen und lesen = "Umask 133 022"
Für Verzeichnisse, auf die Zugriff gewährt werden soll, muß zu dem "r"-Flag auch noch das "x"-Flag gesetzt werden.
Setzt man das "x"- ohne das "r"-Flag, dann kann der User zwar in das Verzeichnis, sieht aber nicht, was drinnen ist...

So, ich hoffe, daß mit meinen ausschweifenden Erläuterungen nun endgültig Klarheit geschaffen werden konnte.

mfg.
  VolGas

Du meine Güte!

Dir fehlen wohl die elementarsten Linux/Unix Grundkentnisse oder Du sitzt mittlerweile total betriebsblind vor der Kiste!
Du hast mit Deiner Umask augerechnet dem "user" (erstes Triplet) und "other" (drittes Triplet) keine Schreibberechtigung
(das kleine "w") gegeben. Wenn jeder FTP-User alles in Deinem Verzeichnis macen darf, dann setze Umask 0000...

Wenn Du möchtest, daß der Eigentümer ("user") alles darf, der Rest der Welt zwar Dateien schreiben, auch lesen aber
nicht ändern darf, dann setze "Umask 0022 0000". Sollen die Dateien von jedem (außer dem Eigentümer) zwar
gesehen, aber nicht gelesen/geändert werden dürfen, dann setze "Umask 0066 0000". Wie Dir vielleicht auffällt,
sind die Parameter für das Verzeichnis immer "0000", d.h. jeder darf alles.

Ein weiterer Stolperstein, den Du bestimmt auch irgendwann finden wirst: der Eigentümer eines Verzeichnisses /
einer Datei ist immer der User, der das Verzeichnis / die Datei angelegt hat. Wenn Du User mit anderer UID/GID in
Deinen Verzeichnis "herumpfuschen" läßt, wirst Du wahrscheinlich noch viel Freude damit haben. Evtl. kannst Du
via Shell dem untersten Verzeichnis das "sticky"- und das "set uid"-Bit setzen und damit der ganzen Problematik
ein wenig gegenarbeiten.

Man sollte zumindest die absolut notwendigsten Grundkenntnisse von einem Linux-System haben, bevor man dort
anfängt, etwas zu ändern oder einrichten zu wollen. Dazu kann ich Dir nur wärmstens z.B. das Standardwerk, den
->"Kofler" empfehlen, es gibt aber auch sehr viel weiterführende Literatur im Internet - man muß nur danach suchen...

Es mag alles arrogant und hart kingen, ist aber nur ehrlich.

mfg.
  VolGas