PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : vsftpd - Probleme mit Login



R@iner
01.04.09, 11:02
Hallo,

ich versuche mich gerade an der Konfiguration der vsftpd.conf
Der Server läuft unter einem Debian Etch System. Installiert habe
ich es aus dem aktuellen Tar-File.

Generell funktioniert das einloggen. Nun wollte ich aber nur bestimmte
User dafür freischalten, die sich einloggen dürfen. Also habe ich mit

userlist_deny=No
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list

experimentiert. Die vsftpd.user_list Datei habe ich unter /etc angelegt und
dort testhalber den einen User angegeben, der sich einloggen darf.

Wenn ich das setzte, bekomme ich aber immer
"530 Permission denied" Die Meldung kommt also noch bevor ich überhaupt einen Benutzer
eingeben kann.

Anbei meine vsftpd.conf


anonymous_enable=NO
local_enable=YES
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
idle_session_timeout=600
data_connection_timeout=120
ftpd_banner=Welcome
listen=YES
chroot_local_user=YES
userlist_deny=NO
userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
max_clients=5


Im Logfile des vsftpd steht nicht allzuviel. Hier der Inhalt.


Wed Apr 1 10:48:30 2009 [pid 2681] CONNECT: Client"192.168.33.106"


Wo liegt denn mein Fehler? Habe in Foren schon nach mehreren .conf Dateien
gesucht und sie mit meiner abgeglichen, sieht eigentlich ganz gut aus.

Gruß
Rainer

corresponder
01.04.09, 13:13
hi,

deinen user gibt es im system?


gruss

c.

R@iner
01.04.09, 13:24
Yep,

den gibt es definitiv. In meinem Fall heißt der Benutzer "rainer" und
steht in meiner vsftpd.user_list (natürlich ohne Anführungszeichen)
alleinigst drin.

marce
01.04.09, 13:47
als welcher User läuft dein vsftp? Welche Rechte hat die Datei? vsftp evtl. im chroot?

Evtl. mal Loglevel hochdrehen, vielleicht findet sich dann mehr im Logfile, alternativ auch mal die anderen Systemlogs durchschauen...

R@iner
01.04.09, 14:23
Der vsftpd läuft unterm root Account. Hier die Berechtigungen beider Dateien:


-rw-r--r-- 1 root root 4,1K 2009-04-01 14:02 vsftpd.conf
-rw-r--r-- 1 root root 7 2009-03-31 21:14 vsftpd.user_list


vsftp läuft nicht im chroot.
Im syslog wies nichts auf vsftp hin.

Hatte die Option "log_ftp_protocol" noch gar nicht in meiner .conf mit drin,
das habe ich jetzt nachgeholt. Hier das neue Ergebnis aus dem Log:



Wed Apr 1 14:20:27 2009 [pid 3301] CONNECT: Client "217.95.242.181"
Wed Apr 1 14:20:27 2009 [pid 3301] FTP response: Client "217.95.242.181", "220 (vsFTPd 2.1.0)"
Wed Apr 1 14:20:27 2009 [pid 3301] FTP command: Client "217.95.242.181", "USER anonymous"
Wed Apr 1 14:20:27 2009 [pid 3301] [anonymous] FTP response: Client "217.95.242.181", "530 Permission denied."


So wie es scheint, versucht er sich mit dem Accout anonymous anzumelden, der
aber nicht erlaubt ist. Anscheinend werden die userlist Einträge ignoriert.

marce
01.04.09, 14:28
wie verbindest Du dich überhaupt zum System? Das der User anonymous verwendet müsste eigentlich vom Client aus passieren, der Server nimmt nur entgegen, was ihm vorgeworfen wird...

R@iner
01.04.09, 16:24
Wie meinst Du das genau mit
wie verbindest Du dich überhaupt zum System??

Ich habe es über das interne Lan probiert und auch aus dem Internet heraus.

marce
01.04.09, 19:44
und wie bitte denn nun konkret? Singst Du dem Server was vor, denkst Du an ihn und nimmst so telepathischen Kontakt auf oder tippst Du irgendeinen Befehl an der Konsole ein?

R@iner
02.04.09, 10:26
Also zuerst jodel ich meinen Server kräftig was vor, damit er aufwacht und bereit ist :o

Danach gibt's eine zarte Watsu-Massage, so kommt er in Stimmung. ;)

Und wenn ich damit durch bin, tippe in von einem anderen PC aus in die
Adresszeile meines Browsers:


ftp://IP-DES-FTP-SERVERS

Dann erhalte ich "Permission denied"

Aber ich bin bereits einen Schritt weiter. Ich hatte ganz vergessen, es mit
einem FTP-Proggi zu versuchen ... und siehe da, mit diesem bekomme ich eine
Verbindung. Habe den Total Commander dazu verwendet. Hier kommt gleich
die Abfrage nach dem Benutzer und ich kann mich anmelden. Also dachte ich,
hat es etwas mit dem Passive Mode über den Web-Browser zutun. Also im
Total Commander den Haken "Passiven Modus fuer Transfers verwenden" gesetzt,
doch auch damit kommt die Benutzerabfrage und es funktioniert.

Wo liegt jetzt also noch der Haken bei der Anmeldung über einen Browser??

Hier der Log, wenn ich mich über den TC angemeldet habe:



Thu Apr 2 10:19:56 2009 [pid 2596] CONNECT: Client "192.168.33.106"
Thu Apr 2 10:19:56 2009 [pid 2596] FTP response: Client "192.168.33.106", "220 (vsFTPd 2.1.0)"
Thu Apr 2 10:19:56 2009 [pid 2596] FTP command: Client "192.168.33.106", "USER rainer"
Thu Apr 2 10:19:56 2009 [pid 2596] [rainer] FTP response: Client "192.168.33.106", "331 Please specify the password."
Thu Apr 2 10:19:56 2009 [pid 2596] [rainer] FTP command: Client "192.168.33.106", "PASS <password>"
Thu Apr 2 10:19:56 2009 [pid 2595] [rainer] OK LOGIN: Client "192.168.33.106"
Thu Apr 2 10:19:56 2009 [pid 2597] [rainer] FTP response: Client "192.168.33.106", "230 Login successful."
Thu Apr 2 10:19:56 2009 [pid 2597] [rainer] FTP command: Client "192.168.33.106", "SYST"
Thu Apr 2 10:19:56 2009 [pid 2597] [rainer] FTP response: Client "192.168.33.106", "215 UNIX Type: L8"
Thu Apr 2 10:19:56 2009 [pid 2597] [rainer] FTP command: Client "192.168.33.106", "FEAT"
Thu Apr 2 10:19:56 2009 [pid 2597] [rainer] FTP response: Client "192.168.33.106", "211-Features:"
Thu Apr 2 10:19:56 2009 [pid 2597] [rainer] FTP response: Client "192.168.33.106", " EPRT??"
Thu Apr 2 10:19:56 2009 [pid 2597] [rainer] FTP response: Client "192.168.33.106", " EPSV??"
Thu Apr 2 10:19:56 2009 [pid 2597] [rainer] FTP response: Client "192.168.33.106", " MDTM??"
Thu Apr 2 10:19:56 2009 [pid 2597] [rainer] FTP response: Client "192.168.33.106", " PASV??"
Thu Apr 2 10:19:56 2009 [pid 2597] [rainer] FTP response: Client "192.168.33.106", " REST STREAM??"
Thu Apr 2 10:19:56 2009 [pid 2597] [rainer] FTP response: Client "192.168.33.106", " SIZE??"
Thu Apr 2 10:19:56 2009 [pid 2597] [rainer] FTP response: Client "192.168.33.106", " TVFS??"
Thu Apr 2 10:19:56 2009 [pid 2597] [rainer] FTP response: Client "192.168.33.106", " UTF8??"
Thu Apr 2 10:19:56 2009 [pid 2597] [rainer] FTP response: Client "192.168.33.106", "211 End"
Thu Apr 2 10:19:57 2009 [pid 2597] [rainer] FTP command: Client "192.168.33.106", "PWD"
Thu Apr 2 10:19:57 2009 [pid 2597] [rainer] FTP response: Client "192.168.33.106", "257 "/""
Thu Apr 2 10:19:57 2009 [pid 2597] [rainer] FTP command: Client "192.168.33.106", "TYPE A"
Thu Apr 2 10:19:57 2009 [pid 2597] [rainer] FTP response: Client "192.168.33.106", "200 Switching to ASCII mode."
Thu Apr 2 10:19:57 2009 [pid 2597] [rainer] FTP command: Client "192.168.33.106", "PORT 192,168,33,106,86,115"
Thu Apr 2 10:19:57 2009 [pid 2597] [rainer] FTP response: Client "192.168.33.106", "200 PORT command successful. Consider using PASV."
Thu Apr 2 10:19:57 2009 [pid 2597] [rainer] FTP command: Client "192.168.33.106", "LIST"
Thu Apr 2 10:19:57 2009 [pid 2597] [rainer] FTP response: Client "192.168.33.106", "150 Here comes the directory listing."
Thu Apr 2 10:19:57 2009 [pid 2597] [rainer] FTP response: Client "192.168.33.106", "226 Directory send OK."

marce
02.04.09, 10:28
der Browser verwendet (je nach Browser) per default den Benutzer anonymous.

Wenn Du einen anderen willst mußt Du den explizit in der URL angeben - AFAIK über ftp://$user[:$pass]@$IP

Wenn Du das PW mit angibst solltest Du direkt auf der Seite landen, hast die URL aber auch so in der History drin. Ohne PW-Angabe sollte ein Fenster mit einer PW-Abfrage erscheinen - ist aber auch je nach Browser anders...

R@iner
02.04.09, 10:40
Super,

Danke Dir, hat so geklappt. Der vsftp verhält sich dann aber anders, als andere FTP-Server.
Sonst müsste ich ja immer gleich in der URL den Benutzernamen mit eingeben.

marce
02.04.09, 10:42
Naja, wenn Du ihm sagst, daß anomymous keinen Zugriff hat - dann hat er auch keinen.

Der User wird über den Client übergeben, was dann damit passiert ist Sache des Servers. Und Du hast ihn eben so konfiguriert, daß dieser User ein Forbidden erhält.

Und die Standard-Einstellung des Clients "Browser" ist eben bei den meisten Browsern "wenn nichts anderes in de URL steht dann ist der User anonymous".

Wenn es sonst bei den anderen Servern immer klappt so würde ich eher davon ausgehen, daß dort eben jeder anonymous-Zugriff erlaubt ist. Oder kennst Du konkrete Gegenbeispiele?