zahoryzontem Napisano Kwiecień 4, 2011 Zgłoszenie Share Napisano Kwiecień 4, 2011 Zainstalowalem ProFTPD, pracuje, wpuszcza anonimowego usera, ale.. Z lektury netu wynika ze w konfiguracji domyslnej pozwala na logowanie uzytkowników linuksowych z normalnym loginem i haslem. Zapomnieli tylko dodac ze nie u mnie. Konfiguracje anonimowego robilem z Webmin'a, nawet na chwile zezwolilem na logowanie roota przez ftp zeby wykluczyc znowu jakies uprawnienia, ale tez nie loguje :/ Poza tym jakos dziwnie dziala ten ftp.. nie widzi czesci zawartosci, mimo ze uprawnienia i wlasciciel ten sam - jednym slowem kiszka, a mialo byc tak pieknie Ktos moze ma sciage ProFTPD via Webmin? albo inaczej, moze byc SSH, edycja plików.... cokolwiek Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Kwiecień 5, 2011 Zgłoszenie Share Napisano Kwiecień 5, 2011 No i znowu list do wrózki... Zwykli ludzie bez talentu chcieliby pewnie zobaczyc plik konfiguracyjny. A ja zasugerowalbym przeszukiwanie forum przed zalozeniem watku → http://forum.fedora.pl/index.php?/topic/23594-proftpd-problem-z-logowaniem-na-uzytkownika i sprawdzenie czy przypadkiem nie ma tam rozwiazania. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
zahoryzontem Napisano Kwiecień 5, 2011 Autor Zgłoszenie Share Napisano Kwiecień 5, 2011 No znowu czytanie ze zrozumieniem - mój problem jest zupelnie inny - próbuje sie logowac z konta standardowego usera, nie jak w podanym linku. Problem raczej jest w PAM, brak bylo /etc/pam.d/ftp - zgodnie z manualem proftpd dodalem ten plik i zalecane wpisy, jednak nic to nie zmienia, natomiast byl plik /etc/pam.d/proftpd z wpisem: #%PAM-1.0 session optional pam_keyinit.so force revoke auth required pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed auth required pam_shells.so auth include password-auth account include password-auth session required pam_loginuid.so session include password-auth Wpisanie do powyzszego pliku zalecanych wartosci równiez nie rozwiazalo problemu. Idac dalej tropem PAM to brakuje mi pliku pam_pwdb.so. Zwrócona jest uwaga ze w systemach 64bit moze on byc w /lib64/security/ zamiast w /lib/security/, jednak u mnie nie ma go wcale, nigdzie. Problem raczej nie lezy w pliku konfiguracyjnym proftpd, bo sprawdzalem to dla wszystkich przykladowych plików ze strony proftpd, ale moze tam tez byl blad, wiec zalaczam: # This is a basic ProFTPD configuration file (rename it to # 'proftpd.conf' for actual use. It establishes a single server # and a single anonymous login. It assumes that you have a user/group # "nobody" and "ftp" for normal operation and anon. ServerName "ProFTPD Default Installation" ServerType standalone DefaultServer on # Port 21 is the standard FTP port. Port 21 # Umask 022 is a good standard umask to prevent new dirs and files # from being group and world writable. Umask 022 # To prevent DoS attacks, set the maximum number of child processes # to 30. If you need to allow more than 30 concurrent connections # at once, simply increase this value. Note that this ONLY works # in standalone mode, in inetd mode you should use an inetd server # that allows you to limit maximum number of processes per service # (such as xinetd). MaxInstances 30 # Set the user and group under which the server will run. User nobody Group nobody # To cause every FTP user to be "jailed" (chrooted) into their home # directory, uncomment this line. #DefaultRoot ~ # Normally, we want files to be overwriteable. <Directory /> AllowOverwrite on </Directory> # A basic anonymous configuration, no upload directories. If you do not # want anonymous users, simply delete this entire <Anonymous> section. <Anonymous ~ftp> User ftp Group ftp # We want clients to be able to login with "anonymous" as well as "ftp" UserAlias anonymous ftp # Limit the maximum number of anonymous logins MaxClients 10 # We want 'welcome.msg' displayed at login, and '.message' displayed # in each newly chdired directory. DisplayLogin welcome.msg DisplayChdir .message # Limit WRITE everywhere in the anonymous chroot <Limit WRITE> DenyAll </Limit> </Anonymous> Taka sama sytuacja jest dla vsftp - zatrzymalem proftpd, uruchomilem vsftpd - anonimowo wpuszcza, na logowanie nie zezwala Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
MC' Napisano Kwiecień 5, 2011 Zgłoszenie Share Napisano Kwiecień 5, 2011 OffTopic To ja mam takie pytanie czy na pewno potrzebujesz demona a wiec kolejnej potencjalnej drogi ataku na serwer? Pewnie sie nie znam ale czy nie wystarczy Ci sftp? Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
zahoryzontem Napisano Kwiecień 5, 2011 Autor Zgłoszenie Share Napisano Kwiecień 5, 2011 Moje działania mają charakter czysto akademicki, chce poznać jak najwięcej opcji Linuks. Zadaniem jest przetestowanie i konfiguracja możliwie wielu rozwiązań, w żadnym razie omijanie tych w których 'coś nie idzie jak trzeba'. Wracając to sprawy... Z Webmina ustawiłem całość dla PAM, teraz loguje, ale pojawia się problem dostępu do katalogu domowego, czy raczej uprawnień - loguje się na standardowe konto linuksowe, a dostaje komunikaty w logu: FTP session opened. notice: unable to use '~/' [resolved to '/home/Jacek/']: Permission denied Preparing to chroot to directory '~/' Jacek chdir("/"): No such file or directory No, teraz jest już załączony konfig proftpd, wypis z logu, więc mogę liczyć na konkretne sugestie jak problem rozwiązać Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
zahoryzontem Napisano Kwiecień 5, 2011 Autor Zgłoszenie Share Napisano Kwiecień 5, 2011 Problem lezy w SELinux - polecenie echo 0 >/selinux/enforce zalatwilo sprawe, pytanie czy to jest bezpieczne? sestatus mówi: SELinux status: enabled SELinuxfs mount: /selinux Current mode: permissive Mode from config file: enforcing Policy version: 24 Policy from config file: targeted Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Kwiecień 5, 2011 Zgłoszenie Share Napisano Kwiecień 5, 2011 echo 0 >/selinux/enforce zalatwilo sprawe, pytanie czy to jest bezpieczne? Nie, nie jest bezpieczne, bo wylacza SElinuksa. Przy serwerze wystawionym na zewnatrz to duze ulatwienie przy ewentualnym ataku.Sugeruje przejrzec logi albo w ciemno stworzyc polityke zgodnie z szablonem dzialania setroubleshoot grep proftpd /var/log/audit/audit.log | audit2allow -M mypol semodule -i mypol.pp Chociaz tez nie wiem na 100% czy takie potraktowanie tematu jest bezpieczne. Na pewno nieco bezpieczniejsze, bo przynajmniej SElinux chroni pozostale skladniki systemu. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
zahoryzontem Napisano Kwiecień 5, 2011 Autor Zgłoszenie Share Napisano Kwiecień 5, 2011 (edytowane) permissive to chyba nie to samo co disable? Uslugi sieciowe powinny byc dalej chronione.. Niestety, dodanie policy nie przynioslo oczekiwanych rezultatów, po powrocie do echo 1 >/selinux/enforce znowu jest problem z uprawnieniami. Ciagle cos jest nie tak.. poprzedni optymistyczny wpis (skasowany) byl bledny, nie bylo 'enforce' teraz sprawdzilem trzy razy - SELinux status: enabled SELinuxfs mount: /selinux Current mode: enforcing Mode from config file: enforcing Policy version: 24 Policy from config file: targeted Log mówi: FTP session opened. notice: unable to use '~/' [resolved to '/home/Jacek/']: Permission denied Preparing to chroot to directory '~/' Jacek chdir("/"): No such file or directory FTP session closed. Edytowane Kwiecień 5, 2011 przez zahoryzontem Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
zahoryzontem Napisano Kwiecień 5, 2011 Autor Zgłoszenie Share Napisano Kwiecień 5, 2011 Mam nadzieje że już to ogarnąłem wreszcie :/ trzeba było dodać setsebool -P ftp_home_dir 1 WalDo - a powiedz mi jak teraz usunąć ten wpis w policy? Sprawdziłbym czy zadziała bez niego... Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Kwiecień 5, 2011 Zgłoszenie Share Napisano Kwiecień 5, 2011 permissive to chyba nie to samo co disable?Prawie to samo head -6 /etc/selinux/config | tail -3 WalDo - a powiedz mi jak teraz usunac ten wpis w policy? Sprawdzilbym czy zadziala bez niego...man semodule. Opcje "-l" i "-r". Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
zahoryzontem Napisano Kwiecień 7, 2011 Autor Zgłoszenie Share Napisano Kwiecień 7, 2011 jak teraz usunąć ten wpis w policy? [/color]' timestamp='1302042094' post='149323']man semodule. Opcje "-l" i "-r". Nie usuwa, to co podałeś wyświetla manuala Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Kwiecień 7, 2011 Zgłoszenie Share Napisano Kwiecień 7, 2011 Nie usuwa, to co podałeś wyświetla manuala Wiem, że wyświetla manuala. Ciekawe po co podałem jeszcze te opcje, nie? :> Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
zahoryzontem Napisano Kwiecień 7, 2011 Autor Zgłoszenie Share Napisano Kwiecień 7, 2011 Tez mnie to ciekawi A przy okazji, cos ten Linuks przereklamowany odrobine w temacie stabilnosci, ProFTP sobie dzialal, zarzucilem pomysl wycofywania zmian w policy póki lepiej nie ogarne tego tematu, wiec moge z pewnoscia stwierdzic ze odkad ProFTP dzialal nic nie zmienialem. W zasadzie nic nie robilem, bo mialem inne zajecia.. az tu sie okazuje ze ProFTP przestal wspólpracowac :/ Na 100% niczego nei zmienialem, ostatni wpis w logu opiewa: ProFTPD killed (signal 15) Juz zaczynam sie obawiac ze zamiast Fedory jakas mutacje Windows sciagnalem Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Kwiecień 7, 2011 Zgłoszenie Share Napisano Kwiecień 7, 2011 Złej baletnicy.... Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
zahoryzontem Napisano Kwiecień 7, 2011 Autor Zgłoszenie Share Napisano Kwiecień 7, 2011 eee.. kiedy o żadnym tańcu nie może być mowy.. no, jakas przyczyna pewnie zaistniała, proftpd zatrzymał się o 15:30, co jest o tyle ciekawe że zwykle o tej porze odbieram córkę ze szkoły. Nie wykluczam jednak telepatycznego popsucia czegoś. Ale mamy małą zmianę, nie wiem tylko czy to postęp czy wręcz przeciwnie.. o ile dotąd na próby uruchomienia reagował odmownie, to teraz pisze że OK, ale status jest proftpd dead but subsys locked Jakaś sugestia co do dalszych kroków? Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się