PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : proftpd ordner freigeben



Andislack
03.07.02, 14:25
hi!
das thema ist wahrscheinlich schon mehrmals hier behandelt worden, aber ich habs nicht gefunden...
ich habe meinen slackware 8.1 mit proftpd am laufen.
der ftp ist online und ich kann auch drauf zugreifen von innen/aussen, aber er ist leer, weil ich es noch nicht geschafft habe einen ordner freizugeben.
einige versuche haben darin geendet, dass der proftpd gar nicht mehr gestartet ist :D
also eine wahrscheinlich leichte frage für euch:

wie erstelle ich eine order-freigabe, damit ich (erstmal) als anonymus drauf zugreifen kann und den inhalt sehen und kopieren kann?

danke andi

DerDoc
03.07.02, 14:28
Erstmal: Hier gibt es keine freigegebenen Ordner wie bei Samba! Jeder kann theoretisch in jedes Verzeichnis wechseln

...es sei denn du trägst in deiner proftpd.conf ein "<b>DefaultRoot /pub</b>" z.B., da kann sich nur jeder unterhalb des /pub-Verzeichnisastes bewegen

Andislack
03.07.02, 14:38
ok funktionsweise verstanden.
aber könntest du mir mal einen beispieleintrag geben, was und wo ich die sachen hinschreiben muss in die proftpd.conf?

DerDoc
03.07.02, 15:00
z.B. am Ende der Datei anfügen<p>

<b>DefaultRoot /pub/ !users</b><p>

Jeder der nicht zur Grupper Users gehört wird zwangsweise sich nur im Verzeichnisbaum unter /pub bewegen können. Du selber darfst jedoch überall hin (willst Du das auch vermeiden lass einfach das <i>!users</i> weg

Andislack
03.07.02, 15:26
hi!

also das mit dem eintrag haut bei mir nicht hin...wahrscheinlich setze ich ihn falsch oder so...
ich hab dir mal meine poftpd.conf angehängt.
wäre nett, wenn du mal schauen würdest was da nicht stimmt...

danke gruss andi

DerDoc
03.07.02, 16:02
Der Slash <i>nach</i> dem /pub muss weg! Und außerdem muss das Verzeichnis existieren ;-)

Auf meinem FTP-Server gibt es z.B. folgende Verzeichnisse:
/pub
/pub/incoming
/pub/music
/pub/videos
/pub/software
/pub/www

So können eingeloggte FTP-User nicht in die Verzeichnisse /bin /home /usr usw. oberhalb der gesetzten DefaultRoot gelangen, bei denen erscheint /pub als / und die Unterverzeichnisse incoming etc. als einzige sichtbare Verzeichnisse auf dem ganzen Server

DerDoc
03.07.02, 16:04
Und wenn die anderen User ebenfalls eine <b>Zwangs-Umleitung nach /pub</b> erfahren sollen mussder Eintrag

<b>DefaultRoot /pub</b>

lauten (ohne Angabe wen es betrifft == alle)

DerDoc
03.07.02, 16:08
Im Anhang findest Du mal mein Configfile...

(Du kannst das DefaultRoot auch erstmal weglassen, dann ist jedes Verzeichnis zu sehen...)

Andislack
03.07.02, 16:43
cool danke für deine tipps und hilfen.
ich werd mich mal hinsetzen und das alles durchprobieren, ich meld mich dann was dabei rausgekommen ist...
gruss andi

Andislack
06.07.02, 13:26
so ich mal wieder...
ich habe es mit deiner proftp.conf probiert angepasst, aber es ging nicht...
jetzt habe ich das forum gewälzt und habe mir meine eigene zusammen gebastelt, aber kann mich nicht einloggen. weder als anonymous noch mit nem anderen account.
wenn ich in einem browser meinen ftp anspreche, dann kommt sofort das login prompt. wähle ich anonymous an gehts nicht und mit einem normalen account vom server gehts auch nicht.
hier mal meine proftpd.conf

###proftpd.conf###
ServerName "Homer"
ServerType standalone
DefaultServer on
Port 21
Umask 022
DenyFilter \*.*/
User nobody
Group nogroup

MaxInstances 10

>Directory /home/ftp<
AllowOverwrite on
>/Directory<

>Anonymous /home/ftp/<

RequireValidShell off

>Limit LOGIN<
AllowAll
>/Limit<

MaxClients 10
User ftp
Group ftp

UserAlias anonymous ftp

>Limit WRITE<
DenyAll
>/Limit<

>Directory uploads/*<
>Limit READ<
DenyAll
>/Limit<
>Limit STOR<
AllowAll
>/Limit<
>/Directory<

>/Anonymous<


ich weiss die Pfeile gehören andersrum... ;-))

der user ftp ist angelegt und die group ftp gibts auch
/home/ftp ist vorhanden
proftpd läuft

kann jemand einen (gravierenden) fehler entdecken?

danke andi

Harry
06.07.02, 13:37
Hallo,

was sagt denn die /var/log/messages beim Versuch, auf den FTP-Server zuzugreifen?
Meistens sagt der ProFTPD ziemlich genau, was ihm nicht paßt.

Harry

Andislack
06.07.02, 14:11
also /var/log/messages sagt dieses bei dem versuch mich einzuloggen:

Jul 6 14:03:50 Homer proftpd[510]: Homer.Simpsons.de (Tingeltangelbob[192.168.0.2]) - FTP session opened.
Jul 6 14:03:51 Homer proftpd[510]: Homer.Simpsons.de (Tingeltangelbob[192.168.0.2]) - FTP session closed.

und die /var/log/proftpd.log sagt dies:

Jul 06 14:08:01 Homer proftpd[540] Homer.Simpsons.de: Failed binding to 0.0.0.0, port 21: Address already in use
Jul 06 14:08:01 Homer proftpd[540] Homer.Simpsons.de: Check the ServerType directive to ensure you are configured correctly.
Jul 06 14:08:04 Homer proftpd[542] Homer.Simpsons.de: Failed binding to 0.0.0.0, port 21: Address already in use
Jul 06 14:08:04 Homer proftpd[542] Homer.Simpsons.de: Check the ServerType directive to ensure you are configured correctly.

in der inetd.conf ist aber der proftpd nicht aktiviert!

andi

Andislack
06.07.02, 14:18
kommando zurück...
es geht jetzt. ich hab mal killall proftpd gemacht und in danach wieder neu gestartet und jetzt gehts auch.
habe vorher immer nur proftpd stop und proftpd start gemacht und das ging wohl irgendwie nicht !?

nebenbei noch ne andere frage:
wenn ich keinen anonymous haben will, kann ich doch einfach nen user am server anlegen mit dessen homeverzeichnis.
wenn dieser sich dann anmeldet kommt er automatisch in sein home oder?

andi

Dodge
07.07.02, 17:57
Ich hab die Erfahrung gemacht das es sinn macht den Benutzern die sich über FTP auf einem Rechner einloggen noch mehr zu begrenzen. Was ich meine ist das sie keine funktionierende Shell haben sollten. Das kannst du sehr leicht in /etc/passwd nachschauen. Ich habe einen ProFTP für eine Firma eingerichtet die Software entwickelt. Die Kunden und Partner sollen über FTP die Software downloaden können - sonst nichts. Ich habe diesen Benutzern die Shell "/bin/false" verpasst. Damit das mit Proftp auch noch funzt gibt es die Option "requireValidShell on|off". Ich musste unter Slackware 8.1 aber die Shell /bin/false aber trotzdem noch dem File /etc/shells hinzufügen. Jetzt funktionierts aber tadellos.

Harry
07.07.02, 21:33
Original geschrieben von Andislack

nebenbei noch ne andere frage:
wenn ich keinen anonymous haben will, kann ich doch einfach nen user am server anlegen mit dessen homeverzeichnis.
wenn dieser sich dann anmeldet kommt er automatisch in sein home oder?

Ja kommt er. Er kann sich darüber hinaus jedoch beliebig im gesamten Filesystem bewegen (abhängig von den Datei-/Verzeichnisrechten).
Wenn Du auch das unterbinden möchtest, dann sperre die User in ihrem $HOME mittels einer chroot-Umgebung ein.
Das geht beispielsweise über den Parameter
DefaultRoot ~

Harry

Andislack
07.07.02, 21:43
hi!
danke für deinen hinweis!
kann ich denn für jeden user eine eigene sektion in der proftpd.conf anlegen und da dann defaultroot ~ machen? oder ein defaultroot /irgendwas (für jeden user verschieden) ?

mein problem:
ich möchte user anlegen, die nur ftp-zugriff haben. sonst haben sie mit dem lan und system nix zu tun.
jetzt möchte ich einen ordner mit mp3 freigeben worauf die ftp-user auch zugreifen dürfen.
jetzt hat der ordner aber im lan die rechte ugo+rwx, dass soll aber für die ftp-user nicht gelten! die sollen nur downloaden können nicht schreiben!
kann ich jetzt für jeden user einen abschnitt in der proftpd.conf anlegen und jedem user seine eigenen rechte auf den ordner geben?
sodass der ordner im lan aber ugo+rwx behält?

hört sich verwirrend an...hoffentlich verstehts jemand :-)

andi

Harry
07.07.02, 22:12
Hallo,

das "DefaultRoot ~" gilt direkt für alle User. Jeder User wird nach einem Login in seinem $HOME gefangen. Teste es einfach mal.
Für die Lösung mit dem mp3-Ordner eignen sich verschiedene Ansätze:
Eine Möglichkeit besteht darin, dass Du den Ordner symbolisch unter die $HOME-Verzeichnisse der ftp-user linkst (beispielsweise nach ~/mp3) und in der /etc/proftpd.conf über einen &lt;LIMIT&gt;-Block den Schreibzugriff für dieses Verzeichnis unterbindest.

Wenn ich jetzt nicht ganz daneben liege, dann könnte das etwa wie folgt funktionieren:

&lt;Directory ~/mp3&gt;
&lt;Limit WRITE&gt;
DenyAll
&lt;/Limit&gt;
&lt;/Directory&gt;
Harry

Andislack
07.07.02, 22:45
danke genau das meinte ich!
habs ausprobiert und bin soweit zufrieden... :-)
aber wie sicher ist das jetzt?
kann das ein ftp-user irgendwie umgehen?

mal schaun was ich noch alles verwirklichen will bzw. kann...

danke gruss andi

Harry
07.07.02, 23:01
Hallo,


Original geschrieben von Andislack
aber wie sicher ist das jetzt?
kann das ein ftp-user irgendwie umgehen?

beliebig unsicher ist das ;)
Ne - jetzt mal im Ernst: Aus der chroot-Umgebung kommt normalerweise niemand raus und der ProFTPD sollte Schreibzugriffe auf die ~/mp3-Verzeichnisse wirksam verhindern.

Dennoch: Gerade der ProFTPD hatte in der Vergangenheit teilweise massive Sicherheitslöcher; die Entwickler empfehlen derzeit den Einsatz einer Version >=1.2.0rc3 oder besser noch 1.2.5.
Mach Dich da einfach mal schlau unter www.proftpd.org/security.html (http://www.proftpd.org/security.html)

Wenn Du sicherer gehen möchtest, dann solltest Du möglicherweise einen FTP-Server einsetzen, der unter dem Gesichtspunkt der Sicherheit entwickelt wurde. Empfehlenswert wäre hier beispielsweise der vsftpd vsftpd.beasts.org (http://vsftpd.beasts.org)

Harry

trmax
08.07.02, 00:22
hmm, bei mir geht der resume von fileuploads nicht! hat jemand ne ahnung was da in der config fehlen könnte?

Harry
08.07.02, 00:39
Ja,

AllowRetrieveRestart, AllowOverwrite und AllowStoreRestart.
www.proftpd.org/docs/faq/linked/faq-ch5.html#AEN745 (http://www.proftpd.org/docs/faq/linked/faq-ch5.html#AEN745)

Harry

DeiMatrix
08.07.02, 01:49
Hi Jungs & Mädels! :o)

Bin gerade auch selber mit dem FTP Programm am verzweifeln. Ich hab per yast den user "cstrike" angelegt und ihm ein password geben. User hab ich sofort in die Gruppe "www" aufgenommen. Das FTP Programm hab ich auf "/home" beschränkt. Klappt auch alles wunderbar.

Aber der User "cstrike" hat noch keinen Schreibzugriff auf das Verzeichniss "halflife" im Ordner "/home". Wie kann ich nochmal dafür sorgen, dass der User schreibrechte für den Ordner und alle darunter befindlichen Dateien und Ordner erhält?

Danke!

trmax
08.07.02, 10:55
hab urz nach dem forumpost das howto auch gefunden...läuft bereits