Hallo Ich möchte den FTP-Dienst unter Linux nutzen. Ich möchte aber einen Nutzerspezifischen Zugang, dh. nur wenn einer sich mit Name und Kennwort einloggt soll er reinkönnen. Und wenn er drin ist soll er nur ein Verzeichnis (meinentwegen /ftp) sehen. Ich habe jetzt einen Nutzer angelegt, den habe ich einer eigenen Gruppe zugeordnet. Momentan kann der ja alle Verzeichnisse einsehen. Wie kann ich Linux dazu bringen das nur /ftp browsable ist, und der Rest nicht. Das beste wäre wenn ich die Rechte der Gruppe beschneide, damit ich weitere Nutzer die ich der Gruppe zuordne nicht immer wieder alle Berechtigungen von neuem beschneiden muß.
Wie sieht es mit der Passwortübertragung vom Client zum Server aus. Das Passwort wird doch sicherlich unverschlüsselt übers Netz geschaufelt. Kann man dagegen was machen? Ich gehe davon aus das der Client ein Windowsprogramm ist.
SUSE-Linux 6.0
Danke schon im voraus Andreas
On Mon, Sep 06, 1999 at 05:01:46PM +0200, andreaso wrote: : Ich möchte den FTP-Dienst unter Linux nutzen. Ich möchte aber einen : Nutzerspezifischen Zugang, dh. nur wenn einer sich mit Name und Kennwort : einloggt soll er reinkönnen. Und wenn er drin ist soll er nur ein : Verzeichnis (meinentwegen /ftp) sehen. Ich habe jetzt einen Nutzer : angelegt, den habe ich einer eigenen Gruppe zugeordnet. Momentan kann
... such' mal nach chroot in den Manual-Seiten des entsprechenden Servers. wu-ftpd (-academ) kann es, wenn auch nicht trivial aufzusetzen, proftpd kann es auch.
Es haengt also von Deinem FTP-Server ab, wie ...
proftpd ist recht konfigurierbar. wu-ftpd-academ ist dienstaelter ;-)
: Wie sieht es mit der Passwortübertragung vom Client zum Server aus. Das : Passwort wird doch sicherlich unverschlüsselt übers Netz geschaufelt. : Kann man dagegen was machen?
M.W. nicht. Denn es ist halt so und nicht anders :-)
Heiko -- --------------------------------------------------- SCHLITTERMANN internet und unix support --------------------------------------- D-01099 Dresden / Kamenzer Strasse 52 --------------------------- +49 351 8029981 / www.schlittermann.de / hs@schlittermann.de ----
On Mon, Sep 06, 1999 at 05:01:46PM +0200, andreaso wrote:
Ich möchte den FTP-Dienst unter Linux nutzen. Ich möchte aber einen Nutzerspezifischen Zugang, dh. nur wenn einer sich mit Name und Kennwort einloggt soll er reinkönnen. Und wenn er drin ist soll er nur ein Verzeichnis (meinentwegen /ftp) sehen. Ich habe jetzt einen Nutzer angelegt, den habe ich einer eigenen Gruppe zugeordnet. Momentan kann der ja alle Verzeichnisse einsehen. Wie kann ich Linux dazu bringen das nur /ftp browsable ist, und der Rest nicht. Das beste wäre wenn ich die Rechte der Gruppe beschneide, damit ich weitere Nutzer die ich der Gruppe zuordne nicht immer wieder alle Berechtigungen von neuem beschneiden muß.
Hallo, allein mit Permissions ist das nicht zu machen, zumindest nicht ohne andere auf dem Rechner einzuschraenken. Du musst den ftpd dazu bringen, auf das Verzeichnis des Nutzers ein chroot zu machen. Das machen die meisten ftpd's bei ananonymous logins. Hast du dich schon fuer einen ftpd entschieden? Falls du ProFTPD nehmen willst (Version: 1.2.0pre4 !! ist aktuell, auch wenn die Webpage noch pre3 sagt) findest du auf http://www.proftpd.org/configuration.html eine FAQ: "How can I limit one or more user sessions to a particular directory tree?"
Wie sieht es mit der Passwortübertragung vom Client zum Server aus. Das Passwort wird doch sicherlich unverschlüsselt übers Netz geschaufelt.
Ja.
Kann man dagegen was machen? Ich gehe davon aus das der Client ein Windowsprogramm ist.
Aus rfc2228 ("FTP Security Extensions"): These extensions provide strong authentication, integrity, and confidentiality on both the control and data channels with the introduction of new optional commands, replies, and file transfer encodings...
Implemetierungen davon sind mir nicht bekannt. Vielleicht findest du eine Möglichkeit, Einmalpassworte mit normalem FTP zu verwenden.
Reinhard
Reinhard Foerster schrieb:
Du musst den ftpd dazu bringen, auf das Verzeichnis des Nutzers ein chroot zu machen. Das machen die meisten ftpd's bei ananonymous logins. Hast du dich schon fuer einen ftpd entschieden? Falls du ProFTPD nehmen willst (Version: 1.2.0pre4 !! ist aktuell, auch wenn die Webpage noch pre3 sagt)
Die pre4 habe ich nicht gefunden. Ich habe die pre3 runtergeladen. Ich habe es installiert und es lief auch. Ich habe den Server mit "ftpshut" (aus den selben Verzeichnis wie "proftpd") öfters runtergefahren. Irgendwann muß was schiefgelaufen sein. Ich bekomme jetzt nur noch die Meldung "500 Server wird heruntergefahren bitte versuchen sie es später nochmal", wenn ich versuche mich mit den Server zu verbinden. Ich finde in den cron-Verzeichnissen keine Einträge In den Verzeichnissen von proftpd ist auch nichts verdächtiges. Irgendwo muß der sich das aber abgelegt haben. Ein Reboot bringt nichts.
Reinhard
Unter SUSE läuft standartmäßig der WU-FTP. Ich finde aber keine Konfigurationsdatei. Wird der nur über die inetd.conf mit Parametern konfiguriert (zumindestens wird er darüber gestartet)?
Andreas
On Tue, Sep 07, 1999 at 03:06:46PM +0200, andreaso wrote:
andreaso schrieb:
Unter SUSE läuft standartmäßig der WU-FTP. Ich finde aber keine Konfigurationsdatei. Wird der nur über die inetd.conf mit Parametern konfiguriert (zumindestens wird er darüber gestartet)?
Nein.
Es scheint die Datei /etc/ftpaccess zu sein.
Ich habe noch keine Suse in der Hand gehabt, der wuftpd hat jedenfalls noch ne Menge mehr Konfig-Files z.B. ftpconversions, ftpusers, ftpgroups usw.
Was ich in der Mail vor ein paar Minuten total vergessen hatte: Zum Proftpd: Fuer die Version pre3 gingen vor einigen Tagen boese Exploits ueber die Bugtraq-Liste. Dann kamen Patches und die Ankuendigung einer neuen Version (pre4). Hier hier Auszug:
<snip from "MacGyver" macgyver@tos.net > Until then, I'm announcing ProFTPD 1.2.0pre4 -- this fixes the bug announced on BUGTRAQ, as well as addresses (hopefully) all the sprintf-style buffer overruns in ProFTPD. Please download, test, and knock it around. I suspect this version will still fail on FreeBSD (anyone care to offer up an account for me on a FreeBSD system to test on?).
You may get 1.2.0pre4 at ftp://ftp.tos.net/pub/proftpd/. </snip>
Eigentlich ist der wu-ftpd aller 2 Wochen wegen irgendwelchen Sicherheits- löchern Mode. Das war ein Hauptgrund, den ProFTPD zu schreiben :-)
Reinhard
Ich habe den proftpd 1.2.0pre4 runtergeladen. Nach einigen Querelen mit der Konfiguration läuft alles so wie ich es will. Fragt mich aber bitte nicht was ich und wie ich es gemacht habe. Mir fällt auf das einige Windowsclients unterschiedlich schnell auf den Server reagieren. Der FTP-Explorer braucht für den Verzeichniswechsel mehrere Sekunden, der WS-FTP hat keine Wartezeit. Zum Thema Sicherheit habe ich folgende Lösung gefunden. Ich weise den Benutzer, der mit seinen Namen und Passwort herhalten muß, die Shell "false" zu. So kann keiner der das Passwort kennt sich in meinen Rechner über Telnet einloggen. Das müsste reichen.
Vielen Dank nochmal für Eure Hilfe. Andreas
On Tue, Sep 07, 1999 at 02:03:48PM +0200, andreaso wrote:
Die pre4 habe ich nicht gefunden. Ich habe die pre3 runtergeladen. Ich habe es installiert und es lief auch. Ich habe den Server mit "ftpshut" (aus den selben Verzeichnis wie "proftpd") öfters runtergefahren. Irgendwann muß was schiefgelaufen sein. Ich bekomme jetzt nur noch die Meldung "500 Server wird heruntergefahren bitte versuchen sie es später nochmal", wenn ich versuche mich mit den Server zu verbinden. Ich finde in den cron-Verzeichnissen keine Einträge In den Verzeichnissen von proftpd ist auch nichts verdächtiges. Irgendwo muß der sich das aber abgelegt haben. Ein Reboot bringt nichts.
Richtig. Man ftpshut hilft :) ftpshut legt nur ein FIle namens /etc/shutmsg an. Den proftpd musst du trotzdem selber killen, das macht ftpshut nicht.
Ich nutze ftpshut gar nicht. Wer gerade per ftp drin ist fliegt beim runterfahren des Rechners bei mir raus. Ich haenge mal mein Start/stop-Skipt mit dran. (Achtung, das ist fuer Solaris)
Reinhard
#!/bin/sh # # Starten / Beenden des ProFTPD # PATH=/sbin:/bin DIR=/nfs/ftp FTPD=$DIR/bin/proftpd CONF=$DIR/etc/proftpd.conf
test -x $FTPD || exit 0
case "$1" in
'start') /usr/ucb/echo -n "Starting FTP Server: proftpd" rm -f /etc/shutmsg $FTPD -c $CONF echo "." ;;
'stop') /usr/ucb/echo -n "Stopping FTP Server: proftpd" PID=`ps -aef|grep proftp|grep '^ *nobody'|awk '{print $2}'` if [ ! -z "$PID" ] ; then /usr/bin/kill $PID > /dev/null 2>&1 echo "." else echo " not running." fi ;;
'who') $DIR/bin/ftpwho --path $DIR/var ;; 'count') $DIR/bin/ftpcount --path $DIR/var ;; *) echo "Usage: $0 { start | stop | who | count }" esac
Probiers mal mit "man ftpd". Ich kapiers zwar nicht, aber vielleicht tust dus ja.
Tobias Schlemmer
________________________________________________________________________________
Agricolastrasse 14-16 Telefon intern: 4108 WGS 7109B extern:+49 172 7921417 09599 Freiberg E-Mail: schlemmi@psynet.net Homepage: http://schlemmi.webjump.com Tel.: +49 (0)172 7921417 Fax.: +49 89 66 61 71 66 36 (kommt als email an) ________________________________________________________________________________
On Tue, 7 Sep 1999, andreaso wrote:
Unter SUSE läuft standartmäßig der WU-FTP. Ich finde aber keine Konfigurationsdatei. Wird der nur über die inetd.conf mit Parametern konfiguriert (zumindestens wird er darüber gestartet)?
Andreas
Lug-dd maillist - Lug-dd@schlittermann.de http://mailman.schlittermann.de/mailman/listinfo/lug-dd
Am Mon, 06 Sep 1999 schrieb andreaso:
Hast du dich schon fuer einen ftpd entschieden?
Standardmäßig bei der Suse inetd, oder ? Fraglich ob der chroot kann.
Wie sieht es mit der Passwortübertragung vom Client zum Server aus. Das Passwort wird doch sicherlich unverschlüsselt übers Netz geschaufelt. Kann man dagegen was machen? Ich gehe davon aus das der Client ein Windowsprogramm ist.
Ein SSH-Kanal wäre ne gute Lösung. Man müsste natürlich die Software auf der Windows installieren und konfigurieren. (stand vor kurzem in der c't)
Bei vielen/fremden Windowsclients natürlich schlecht möglich.
Bye, Stephan
On Mon, Sep 06, 1999 at 10:16:11PM +0200, Stephan Goetter wrote: : Am Mon, 06 Sep 1999 schrieb andreaso: : : > Hast du dich schon fuer einen ftpd entschieden? : : Standardmäßig bei der Suse inetd, oder ? : Fraglich ob der chroot kann.
inetd != ftpd inetd != wu.ftpd inetd != proftpd ... usw.
inetd und *ftpd sind so ziemlich verschiedene Dinge.
Heiko -- --------------------------------------------------- SCHLITTERMANN internet und unix support --------------------------------------- D-01099 Dresden / Kamenzer Strasse 52 --------------------------- +49 351 8029981 / www.schlittermann.de / hs@schlittermann.de ----
moin,
ein etwas dummer vorschlag, aber für windows passend, weil nur mit klicken bedienbar:
richte doch ein kleines samba share ein, und verschlüssele die daten mit pgp, ist zwar technisch hirntot, aber recht einfach und integriert sich recht gut in eine windows umgebung ausserdem hilft es, pgp etwas zu popularisieren aber probiere erst mal besagtes ttssh aus, das ist technisch ideal
Bei vielen/fremden Windowsclients natürlich schlecht möglich.
und erkläre mal den usern, wie sie das zu bedienen haben; wo ich vor ein paar wochen bei einem kumpel linux installiert habe (nach vorigem kundtun von risiken und nebenwirkungen), hatte er sich beim eigenhändigen starten von yast zu meiner belustigung instinktiv an der maus festgekrallt :-)
Die Ausgabe wurde aufgrund von Windows-Beschränkungen abgeschnitten.
du benutzt windows? ;-)
andre
lug-dd@mailman.schlittermann.de
-
Andre Schulze -
andreaso -
Heiko Schlittermann -
Reinhard Foerster -
Stephan Goetter -
Tobias Schlemmer