Skocz do zawartości

Proftpd


zahoryzontem

Rekomendowane odpowiedzi

Zainstalowalem ProFTPD, pracuje, wpuszcza anonimowego usera, ale..

 

Z lektury netu wynika ze w konfiguracji domyslnej pozwala na logowanie uzytkowników linuksowych z normalnym loginem i haslem.

 

Zapomnieli tylko dodac ze nie u mnie. Konfiguracje anonimowego robilem z Webmin'a, nawet na chwile zezwolilem na logowanie roota przez ftp zeby wykluczyc znowu jakies uprawnienia, ale tez nie loguje :/

 

 

Poza tym jakos dziwnie dziala ten ftp.. nie widzi czesci zawartosci, mimo ze uprawnienia i wlasciciel ten sam - jednym slowem kiszka, a mialo byc tak pieknie ;)

 

Ktos moze ma sciage ProFTPD via Webmin? albo inaczej, moze byc SSH, edycja plików.... cokolwiek

Odnośnik do komentarza
Udostępnij na innych stronach

No i znowu list do wrózki... Zwykli ludzie bez talentu chcieliby pewnie zobaczyc plik konfiguracyjny.

A ja zasugerowalbym przeszukiwanie forum przed zalozeniem watku → http://forum.fedora.pl/index.php?/topic/23594-proftpd-problem-z-logowaniem-na-uzytkownika i sprawdzenie czy przypadkiem nie ma tam rozwiazania.

Odnośnik do komentarza
Udostępnij na innych stronach

No znowu czytanie ze zrozumieniem - mój problem jest zupelnie inny - próbuje sie logowac z konta standardowego usera, nie jak w podanym linku.

 

Problem raczej jest w PAM, brak bylo /etc/pam.d/ftp - zgodnie z manualem proftpd dodalem ten plik i zalecane wpisy, jednak nic to nie zmienia, natomiast byl plik /etc/pam.d/proftpd z wpisem:

#%PAM-1.0
session    optional 	pam_keyinit.so force revoke
auth   	required 	pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed
auth   	required 	pam_shells.so
auth   	include      password-auth
account    include      password-auth
session    required 	pam_loginuid.so
session    include      password-auth

Wpisanie do powyzszego pliku zalecanych wartosci równiez nie rozwiazalo problemu.

Idac dalej tropem PAM to brakuje mi pliku pam_pwdb.so.

Zwrócona jest uwaga ze w systemach 64bit moze on byc w /lib64/security/ zamiast w /lib/security/, jednak u mnie nie ma go wcale, nigdzie.

 

Problem raczej nie lezy w pliku konfiguracyjnym proftpd, bo sprawdzalem to dla wszystkich przykladowych plików ze strony proftpd, ale moze tam tez byl blad, wiec zalaczam:

# This is a basic ProFTPD configuration file (rename it to 
# 'proftpd.conf' for actual use.  It establishes a single server
# and a single anonymous login.  It assumes that you have a user/group
# "nobody" and "ftp" for normal operation and anon.

ServerName			"ProFTPD Default Installation"
ServerType			standalone
DefaultServer			on

# Port 21 is the standard FTP port.
Port				21

# Umask 022 is a good standard umask to prevent new dirs and files
# from being group and world writable.
Umask				022

# To prevent DoS attacks, set the maximum number of child processes
# to 30.  If you need to allow more than 30 concurrent connections
# at once, simply increase this value.  Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd).
MaxInstances			30

# Set the user and group under which the server will run.
User				nobody
Group				nobody

# To cause every FTP user to be "jailed" (chrooted) into their home
# directory, uncomment this line.
#DefaultRoot ~

# Normally, we want files to be overwriteable.
<Directory />
 AllowOverwrite		on
</Directory>

# A basic anonymous configuration, no upload directories.  If you do not
# want anonymous users, simply delete this entire <Anonymous> section.
<Anonymous ~ftp>
 User				ftp
 Group				ftp

 # We want clients to be able to login with "anonymous" as well as "ftp"
 UserAlias			anonymous ftp

 # Limit the maximum number of anonymous logins
 MaxClients			10

 # We want 'welcome.msg' displayed at login, and '.message' displayed
 # in each newly chdired directory.
 DisplayLogin			welcome.msg
 DisplayChdir		.message

 # Limit WRITE everywhere in the anonymous chroot
 <Limit WRITE>
   DenyAll
 </Limit>
</Anonymous>

Taka sama sytuacja jest dla vsftp - zatrzymalem proftpd, uruchomilem vsftpd - anonimowo wpuszcza, na logowanie nie zezwala

Odnośnik do komentarza
Udostępnij na innych stronach

Moje działania mają charakter czysto akademicki, chce poznać jak najwięcej opcji Linuks.

Zadaniem jest przetestowanie i konfiguracja możliwie wielu rozwiązań, w żadnym razie omijanie tych w których 'coś nie idzie jak trzeba'.

 

Wracając to sprawy...

Z Webmina ustawiłem całość dla PAM, teraz loguje, ale pojawia się problem dostępu do katalogu domowego, czy raczej uprawnień - loguje się na standardowe konto linuksowe, a dostaje komunikaty w logu:

 

 

 

FTP session opened.

notice: unable to use '~/' [resolved to '/home/Jacek/']: Permission denied

Preparing to chroot to directory '~/'

Jacek chdir("/"): No such file or directory

 

 

No, teraz jest już załączony konfig proftpd, wypis z logu, więc mogę liczyć na konkretne sugestie jak problem rozwiązać :)

Odnośnik do komentarza
Udostępnij na innych stronach

Problem lezy w SELinux - polecenie

 

 

echo 0 >/selinux/enforce

 

 

zalatwilo sprawe, pytanie czy to jest bezpieczne?

 

 

sestatus mówi:

 

 

SELinux status: enabled

SELinuxfs mount: /selinux

Current mode: permissive

Mode from config file: enforcing

Policy version: 24

Policy from config file: targeted

Odnośnik do komentarza
Udostępnij na innych stronach

echo 0 >/selinux/enforce

 

zalatwilo sprawe, pytanie czy to jest bezpieczne?

Nie, nie jest bezpieczne, bo wylacza SElinuksa. Przy serwerze wystawionym na zewnatrz to duze ulatwienie przy ewentualnym ataku.

Sugeruje przejrzec logi albo w ciemno stworzyc polityke zgodnie z szablonem dzialania setroubleshoot

grep proftpd /var/log/audit/audit.log | audit2allow -M mypol
semodule -i mypol.pp

Chociaz tez nie wiem na 100% czy takie potraktowanie tematu jest bezpieczne. Na pewno nieco bezpieczniejsze, bo przynajmniej SElinux chroni pozostale skladniki systemu.

Odnośnik do komentarza
Udostępnij na innych stronach

permissive to chyba nie to samo co disable?

Uslugi sieciowe powinny byc dalej chronione..

 

Niestety, dodanie policy nie przynioslo oczekiwanych rezultatów, po powrocie do

echo 1 >/selinux/enforce

 

znowu jest problem z uprawnieniami.

Ciagle cos jest nie tak.. poprzedni optymistyczny wpis (skasowany) byl bledny, nie bylo 'enforce' teraz sprawdzilem trzy razy -

SELinux status: enabled

SELinuxfs mount: /selinux

Current mode: enforcing

Mode from config file: enforcing

Policy version: 24

Policy from config file: targeted

Log mówi:

FTP session opened.

notice: unable to use '~/' [resolved to '/home/Jacek/']: Permission denied

Preparing to chroot to directory '~/'

Jacek chdir("/"): No such file or directory

FTP session closed.

Edytowane przez zahoryzontem
Odnośnik do komentarza
Udostępnij na innych stronach

Tez mnie to ciekawi ;)

 

A przy okazji, cos ten Linuks przereklamowany odrobine w temacie stabilnosci, ProFTP sobie dzialal, zarzucilem pomysl wycofywania zmian w policy póki lepiej nie ogarne tego tematu, wiec moge z pewnoscia stwierdzic ze odkad ProFTP dzialal nic nie zmienialem. W zasadzie nic nie robilem, bo mialem inne zajecia.. az tu sie okazuje ze ProFTP przestal wspólpracowac :/ Na 100% niczego nei zmienialem, ostatni wpis w logu opiewa:

 

 

 

ProFTPD killed (signal 15)

 

 

Juz zaczynam sie obawiac ze zamiast Fedory jakas mutacje Windows sciagnalem ;)

Odnośnik do komentarza
Udostępnij na innych stronach

eee.. kiedy o żadnym tańcu nie może być mowy.. no, jakas przyczyna pewnie zaistniała, proftpd zatrzymał się o 15:30, co jest o tyle ciekawe że zwykle o tej porze odbieram córkę ze szkoły. Nie wykluczam jednak telepatycznego popsucia czegoś.

 

Ale mamy małą zmianę, nie wiem tylko czy to postęp czy wręcz przeciwnie.. o ile dotąd na próby uruchomienia reagował odmownie, to teraz pisze że OK, ale status jest

 

proftpd dead but subsys locked

 

Jakaś sugestia co do dalszych kroków?

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
×
×
  • Dodaj nową pozycję...