Hallo an alle!
Ersteinmal das obligatorische Ein-schönes-neues-Jahr! :-)
So, wie im Subject gesagt, möchte ich mir einen FTP-Server hier einrichten. Das ganze mit SuSE 7.3 und dem ProFTP. Folgendes klappt schon (getestet per 'ftp 127.0.0.1'): - als Benutzer anmelden - als Benutzer Dateien ziehen und sonstiges
So, eines aber geht noch nicht so gut, es ist die Benutzung des Nutzers anonymous (oder ftp). Man kann mit einen anonymen Login zwar einiges sehen, jedoch im Verzeichnis /pub (von mir angelegt) nichts. Dort sollten 3 Ordner zu finden sein. In das Verzeichnis zu wechseln geht aber. Schade. Die Rechte für jenes sind (in mc abgelesen755) und sollten also richtig sein? Immerhin haben die anderen Verz. auch diese Rechte und auf bestimmte Dinge (/etc gucken, /lib angucken) darf anonym zugegriffen werden. *staun*
Vermutung: Ich habe irgendwo einen config-Fehler und (das ist keine Vermutung) weiss nicht wo. In der Anlage habe ich mal die proftpd.conf gelegt.
Wisst ihr da weiter?? Wäre echt toll!
Bye und Danke, Sebastian
On Wed, Jan 02, 2002 at 08:24:30PM +0100, Sebastian Roth wrote:
So, eines aber geht noch nicht so gut, es ist die Benutzung des Nutzers anonymous (oder ftp). Man kann mit einen anonymen Login zwar einiges sehen, jedoch im Verzeichnis /pub (von mir angelegt) nichts. Dort sollten 3 Ordner zu finden sein. In das Verzeichnis zu wechseln geht aber. Schade. Die Rechte für jenes sind (in mc abgelesen755) und sollten also richtig sein? Immerhin haben die anderen Verz. auch diese Rechte und auf bestimmte Dinge (/etc gucken, /lib angucken) darf anonym zugegriffen werden. *staun*
<Directory /*.ftp*>
was soll das denn?
<Anonymous ~ftp>
Vermutung: Das Homeverzeichnis des Nutzers "ftp" ist nicht /pub sondern / Sonst könnte der anonyme Server nicht alles mögliche außerhalb /pub lesen
# After anonymous login, daemon runs as:User ftp Group users
Ist "users" die Gruppe, in der alle lokalen Nutzer drin sind? Die Rechte dieser Gruppe willst du dem anonymen FTPler sicher nicht geben, oder? Lege also lieber eine eigene gruppe für anonymous ftp an oder nimm nogroup.
Reinhard
[Problem]
<Directory /*.ftp*>
was soll das denn?
in der ausführlichen Config (welche ich aus Gründen der Größe nicht mitgschickte hatte) stand gazu folgendes: protect .ftpaccess and similar - see also PathDenyFilter
Das drehte sich also anscheinend um die Dateien .ftp*. Sollte hier mein Fehler sein?
<Anonymous ~ftp>
Vermutung: Das Homeverzeichnis des Nutzers "ftp" ist nicht /pub sondern / Sonst könnte der anonyme Server nicht alles mögliche außerhalb /pub lesen
ähm, nicht alles mögliche, nur bestimmte Veruechnisse mit bestimmten Dateien. Unter /bin z.B. 'ls' unter /lib z.B. 'libc.so.6' oder 'ld-linux'
*mit webmintrotzdemnachschau* AHA, das Homeverzeichnis ist auf /usr/local/ftp gesetzt, ein Veruehcnis wo ich als anonymer gar nicht mal hinkomme
# After anonymous login, daemon runs as:User ftp Group users
Ist "users" die Gruppe, in der alle lokalen Nutzer drin sind? Die Rechte dieser Gruppe willst du dem anonymen FTPler sicher nicht geben, oder?
*überleg* nein, sicher nicht :-)
Lege also lieber eine eigene gruppe für anonymous ftp an oder nimm nogroup.
*gemacht* hilft nicht. Ich werde mich mal durch die Readme greppen (wieder mal).
Danke erstmal.
Reinhard
Bye, Sebastian
On Thu, Jan 03, 2002 at 02:34:11PM +0100, Sebastian Roth wrote:
Vermutung: Das Homeverzeichnis des Nutzers "ftp" ist nicht /pub sondern / Sonst könnte der anonyme Server nicht alles mögliche außerhalb /pub lesen
ähm, nicht alles mögliche, nur bestimmte Veruechnisse mit bestimmten Dateien. Unter /bin z.B. 'ls' unter /lib z.B. 'libc.so.6' oder 'ld-linux'
*mit webmintrotzdemnachschau* AHA, das Homeverzeichnis ist auf /usr/local/ftp gesetzt, ein Veruehcnis wo ich als anonymer gar nicht mal hinkomme
haha, und als anonymer ftp-nutzer siehst du in / genau das, was sich in /usr/local/ftp befindet, stimmts? Lies bitte die Doku zum ftp-server und versuche debei herauszufinden, was chroot bedeutet. Proftb brauch übrigens kein /bin/ls und die libsc und dowas in seiner chhroot-umgebung. ~ftp darf (und sollte) erstml leer sein bei proftp. Das steht auch alles in der Doku.
Reinhard
haha, und als anonymer ftp-nutzer siehst du in / genau das, was sich in /usr/local/ftp befindet, stimmts?
*autsch* jah, tut es :-)
Lies bitte die Doku zum ftp-server und versuche debei herauszufinden, was chroot bedeutet.
jepp, da stand ein wenig was drinne. Bei <anonymous /dir > kann man gleich ein Verzeichnis einsetzen als root. *probier**staun**freu* Jepp es geht!
Proftb brauch übrigens kein /bin/ls und die libsc und dowas in seiner chhroot-umgebung. ~ftp darf (und sollte) erstml leer sein bei proftp. Das steht auch alles in der Doku.
ich hab jetzt /pub als Chroot gesetzt und nicht ~ftp. Wenn das nicht weiter schlimm ist? Unter /pub darf sowieso nur gelesen werden.
Reinhard
Danke für den Tipp!
Bye, Sebastian, /pub mit Dateien füllend.
On Fri, Jan 04, 2002 at 03:35:20PM +0100, Sebastian Roth wrote:
Proftb brauch übrigens kein /bin/ls und die libsc und dowas in seiner chhroot-umgebung. ~ftp darf (und sollte) erstml leer sein bei proftp. Das steht auch alles in der Doku.
ich hab jetzt /pub als Chroot gesetzt und nicht ~ftp. Wenn das nicht weiter schlimm ist? Unter /pub darf sowieso nur gelesen werden.
Du meinst <anonymous /pub>? Ich bin nicht sicher, ob das so funktioniert. Dann müüste man mindesten noch zusätzlich den user ftr diesem Verzeichnis zuordnen. Setze lieber im im Passwortfile /pub als Homeverzeichnis des Nutzers ftp und laß das <anonymous ~ftp> im Konfigfile stehen.
Reinhard
ich hab jetzt /pub als Chroot gesetzt und nicht ~ftp. Wenn das nicht weiter schlimm ist? Unter /pub darf sowieso nur gelesen werden.
Du meinst <anonymous /pub>? Ich bin nicht sicher, ob das so funktioniert. Dann müüste man mindesten noch zusätzlich den user ftr diesem Verzeichnis zuordnen. Setze lieber im im Passwortfile /pub als Homeverzeichnis des Nutzers ftp und laß das <anonymous ~ftp> im Konfigfile stehen.
Nagut, aufgeräumt isses mir auch lieber :-) *umänder* *probier* Jepp, geht. Soll ich ftp wirklich dem Verzeichnis zuordnen? Im Moment 'gehört' es root und der Rest darf nur lesen. Meinst du anders is besser?
Reinhard
Bye, Sebastian
On Fri, Jan 04, 2002 at 04:41:06PM +0100, Sebastian Roth wrote:
Jepp, geht. Soll ich ftp wirklich dem Verzeichnis zuordnen? Im Moment 'gehört' es root und der Rest darf nur lesen.
Ist ok, Hauptsache ftp kann es lesen. Nur wenn du Uploads erlauben willst mußt du dir etwas mehr Gedanken über die Zugriffsrechte machen.
Reinhard
Jepp, geht. Soll ich ftp wirklich dem Verzeichnis zuordnen? Im Moment 'gehört' es root und der Rest darf nur lesen.
Ist ok, Hauptsache ftp kann es lesen. Nur wenn du Uploads erlauben willst mußt du dir etwas mehr Gedanken über die Zugriffsrechte machen.
Ok. Erstmal soll ja eh nur gelesen werden. Uploads gibts erstmal (bis quota irgendwann mal läuft) nicht.
Reinhard
Danke für die Tipps und Bye, Sebastian
Am Wed den 02 Jan 2002 um 08:24:30PM +0100 schrieb Sebastian Roth:
Hallo an alle!
Ersteinmal das obligatorische Ein-schönes-neues-Jahr! :-)
yupp.
So, wie im Subject gesagt, möchte ich mir einen FTP-Server hier einrichten. Das ganze mit SuSE 7.3 und dem ProFTP. Folgendes klappt schon (getestet per 'ftp 127.0.0.1'):
- als Benutzer anmelden
- als Benutzer Dateien ziehen und sonstiges
So, eines aber geht noch nicht so gut, es ist die Benutzung des Nutzers anonymous (oder ftp). Man kann mit einen anonymen Login zwar einiges sehen, jedoch im Verzeichnis /pub (von mir angelegt) nichts. Dort sollten 3 Ordner zu finden sein. In das Verzeichnis zu wechseln geht aber. Schade. Die Rechte für jenes sind (in mc abgelesen755) und sollten also richtig sein? Immerhin haben die anderen Verz. auch diese Rechte und auf bestimmte Dinge (/etc gucken, /lib angucken) darf anonym zugegriffen werden. *staun*
Nur mal was prinzipielles am Rande: - wenn niemand schreiben können muß, reicht http vollkommen - dann mußt du dich mit dem apachen rumschlagen, der macht aber einfache Dinge hervorragend "out-of-the-box" - wenn jemand schreiben können muß, dann muß er sich authentitisieren - letzteres geht bei "normalem" ftp auf unverschlüsselte Art und Weise -> hier ist ein scp besser, was auch on the fly komprimieren kann, wenn man es denn möchte - es gibt auch für kommerzielle OS' scp clients
Aber letztlich gilt immer noch das Gesetz der Konstanz der Schwierigkeit,
andre
Nur mal was prinzipielles am Rande:
- wenn niemand schreiben können muß, reicht http vollkommen
*einseh*
- dann mußt du dich mit dem apachen rumschlagen, der macht aber einfache Dinge hervorragend "out-of-the-box"
Ok, für den Moment sollte das erstmal reichen. Jetzt suche ich erstmal nach der Apache Doku. Danke für den Tipp.
- wenn jemand schreiben können muß, dann muß er sich authentitisieren
- letzteres geht bei "normalem" ftp auf unverschlüsselte Art und Weise -> hier ist ein scp besser, was auch on the fly komprimieren kann, wenn man es denn möchte
- es gibt auch für kommerzielle OS' scp clients
Weisst du da einen Ansatzpunkt oder Links zur Dokumentation dafür? Verschlüsseltes kopieren reizt natrlich erstmal. :-)
Aber letztlich gilt immer noch das Gesetz der Konstanz der Schwierigkeit,
Genau. Da aber der Apache sowieso schon läuft, werde ich den erstmal soweit einrichten. Dann ftp verschlüsselt zu machen wäre natürlich echt scharf!
andre
Danke und Bye, Sebastian, httpd.conf öffnend.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On Thursday 03 January 2002 14:40, Sebastian Roth wrote:
Nur mal was prinzipielles am Rande:
- wenn niemand schreiben können muß, reicht http vollkommen
*einseh*
- dann mußt du dich mit dem apachen rumschlagen, der macht aber
einfache Dinge hervorragend "out-of-the-box"
Ok, für den Moment sollte das erstmal reichen. Jetzt suche ich erstmal nach der Apache Doku. Danke für den Tipp.
Geht eigentlich ganz einfach: nimm die Out-of-the-box Config von Apache, such in /etc/{apache,httpd}/httpd.conf nach "DocumentRoot" und leg den ganzen Krempel in dieses Verzeichnis.
- wenn jemand schreiben können muß, dann muß er sich authentitisieren
- letzteres geht bei "normalem" ftp auf unverschlüsselte Art und Weise -> hier ist ein scp besser, was auch on the fly komprimieren kann, wenn man es denn möchte
- es gibt auch für kommerzielle OS' scp clients
Weisst du da einen Ansatzpunkt oder Links zur Dokumentation dafür? Verschlüsseltes kopieren reizt natrlich erstmal. :-)
man ssh man scp auf Windoof ist Putty als Client nicht schlecht, aber CygWin+OpenSSH geht auch (ist aber aufwaendiger).
auf der Linux-Kiste (Server) muss lediglich (open)sshd installiert sein.
Der Rest geht automagisch.
Wenn Du Dich eingeuebt hast frag' nochmal nach, wie man mit ssh-Schluesseln umgeht.
Konrad
- -- BOFH excuse #434:
Please state the nature of the technical emergency
Ok, für den Moment sollte das erstmal reichen. Jetzt suche ich erstmal nach der Apache Doku. Danke für den Tipp.
Geht eigentlich ganz einfach: nimm die Out-of-the-box Config von Apache, such in /etc/{apache,httpd}/httpd.conf nach "DocumentRoot" und leg den ganzen Krempel in dieses Verzeichnis.
Das ganze Zeug dahin zu kopieren gefällt mir nich. Aber in httpd.conf stand etwas von Alias drinne. Also habe ich einen alias gesetzt :-) :
Alias /pub "/pub/"
und ein 'w3m 127.0.0.1/pub' brachte mich genau dahin *freu*
Weisst du da einen Ansatzpunkt oder Links zur Dokumentation dafür? Verschlüsseltes kopieren reizt natrlich erstmal. :-)
man ssh man scp auf Windoof ist Putty als Client nicht schlecht, aber CygWin+OpenSSH geht auch (ist aber aufwaendiger).
auf der Linux-Kiste (Server) muss lediglich (open)sshd installiert sein.
*versteh* mit den tools von hand hatte ich schon gearbeitet. Auch putty war kein Problem. Mir ging es nur eher um ...
Der Rest geht automagisch.
... den automagischen verschlüsselten DateiTransfer. Also wenn einer ftp://lserver sagt und sich was zieht, soll das dann automatisch gehen. Dazu werde ich die von dir gesagten ManualSeiten lesen (man lernt ja nie aus :-) ) und mal weiter in der Doku zum FTP-Server stöbern :-)
Wenn Du Dich eingeuebt hast frag' nochmal nach, wie man mit ssh-Schluesseln umgeht.
Ok.
Konrad
Danke und Bye, Sebastian
On Fri, Jan 04, 2002 at 04:07:02PM +0100, Sebastian Roth wrote:
ftp://lserver sagt und sich was zieht, soll das dann automatisch gehen.
Das wird nicht verschlüsselt klappen. Mit der URL "ftp://..." legst du als Protokoll des Zugriffs eben FTP fest, was keine Verschlüsselung kennt.
Da du aber sowieso einen anonymen+öffentlichen Zugang zu deinen Daten schaffen willst, wäre eine Verschlüsselung der Übertragung völlig sinnfrei.
Reinhard
ftp://lserver sagt und sich was zieht, soll das dann automatisch gehen.
Das wird nicht verschlüsselt klappen. Mit der URL "ftp://..." legst du als Protokoll des Zugriffs eben FTP fest, was keine Verschlüsselung kennt.
*wasneuesgelernthab*
Da du aber sowieso einen anonymen+öffentlichen Zugang zu deinen Daten schaffen willst, wäre eine Verschlüsselung der Übertragung völlig sinnfrei.
*überleg* stimmt eigentlich :-) und wenn ich sowas verschlüselt machen wöllte, würde mein Protokoll https heissen? Kann ich mir ja nochmal überlegen, wenn es denn mal so was wichtiges gibt.:-)
Reinhard
Bye, Sebastian
hey :-)
ftp://lserver sagt und sich was zieht, soll das dann automatisch gehen.
Das wird nicht verschlüsselt klappen. Mit der URL "ftp://..." legst du als Protokoll des Zugriffs eben FTP fest, was keine Verschlüsselung kennt.
es gibt da noch die variante den ftp-zugriff ueber ssh zu tunneln. falls es dich interessiert:
http://rad.geology.washington.edu/~tj/proftpd/doc/contrib/ProFTPD-mini-HOWTO... bei der hierbei beschriebenen methode wird der command-port (21) durch den ssh tunnel gejagt und nur der daten-port geht passiv unverschluesselt rueber. behebt zumindest das problem mit den unverschluesselten passwoertern.
allerdings habe ich die ganze sache nicht so richtig in mein netfilterkonzept (basierend auf iptbles) integrieren koennen (das ansonsten sowohl mit passivem als auch aktivem ftp funktioniert). vermutung: der kernel erkennt den passiven kanal vom server nicht in relation (= target RELATED im modul state) zur offenen ftp/ssh verbindung an.
aber das nur so am rande (ich selbst benutze es auch nicht, ich habe das ganze nur mal aus spass ausprobiert) ... :-)
cu wolfgang
On Fri, Jan 04, 2002 at 06:06:28PM -0800, Wolfgang Machert wrote:
es gibt da noch die variante den ftp-zugriff ueber ssh zu tunneln. falls es dich interessiert:
http://rad.geology.washington.edu/~tj/proftpd/doc/contrib/ProFTPD-mini-HOWTO...
lese, lese, fertig :)
bei der hierbei beschriebenen methode wird der command-port (21) durch den ssh tunnel gejagt und nur der daten-port geht passiv unverschluesselt rueber. behebt zumindest das problem mit den unverschluesselten passwoertern.
Als Vorraussetztung dafür brauch man auf dem Ftp-Server-Rechner einen ssh-Zugang. Und wenn man den sowieso hat kann man besser gleich per scp die files kopieren statt den ollen FTP über ssh zu tunneln. Ich halte deshalb das auf o.g. Webseite beschrieben Verfahren für weitestgehend sinnfrei. Wenn es unbedingt ftp-like aussehen soll nimmt man einfach sftp (ist bei openssh dabei)
allerdings habe ich die ganze sache nicht so richtig in mein netfilterkonzept (basierend auf iptbles) integrieren koennen (das ansonsten sowohl mit passivem als auch aktivem ftp funktioniert). vermutung: der kernel erkennt den passiven kanal vom server nicht in relation (= target RELATED im modul state) zur offenen ftp/ssh verbindung an.
ja, die FW kann den per ssh getunnelten Kommandokanal nicht mehr belauschen und somit den Daten-Kanal für aktives ftp nicht freischalten.
Reinhard
lug-dd@mailman.schlittermann.de
-
Andre Schulze -
konrad.rosenbaum@t-online.de -
Reinhard Foerster -
Sebastian Roth -
Wolfgang Machert