sslug-teknik team mailing list archive

Thread
Date
Vedr.: SV: Vedr.: [TEKNIK] ProFTPD

To: sslug-teknik@xxxxxxxx
From: "Klavs Klavsen" <ktk@xxxxxxxxxxx>
Date: Mon, 26 Mar 2001 11:10:03 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
se kommentarer (>>), endnu en gang :-)

/Klavs

First off mange tak for den glimrende forklaring...
Også lidt mere info :
>> ur welcome..

Ingen af mine brugere kan loggin ind.. og det er ikke et forkert passwd.
>> så er det næsten 99% sikkert pga. den manglende /etc/pam.d/ftp fil..

Inden i /etc/pam.d har jeg ingen ftp fil.. hvad skal den hedde.?
>> /etc/pam.d/ftp
#%PAM-1.0
auth       required     /lib/security/pam_listfile.so item=user sense=allow
file=/etc/ftpusers.allow onerr=fail
auth       required     /lib/security/pam_pwdb.so shadow
account    required     /lib/security/pam_pwdb.so
session    required     /lib/security/pam_pwdb.so
<< den opsætning jeg har lavet her, checker at brugeren står nævnt i
/etc/ftpusers.allow før pam siger ok
>> og den tillader ikke tomme kodeord. proftpd checker som standard at
brugeren ikke står i /etc/ftpusers
>> før den lukker dem ind..


Jeg vil gerne have at hver bruger bliver smidt i deres home dir men at de
så
skal have lov til at se /pub og evt skrive i det.

Jeg vil helst ikke give anonym adgang.
>> overvej at blokere på ip-nivea..
>> hvis det er brugere fra f.ex. teledk-internet, kan du nøjes med at
tillade deres dialin-segmenter..
>> pointen er at udelukke alle andre lande, da det sandsynligvis ikke skal
kunne komme til din ftp-server,
>> men det er oftest dem der leger omkring og prøver at finde sårbare
ftp-servere..
<Limit LOGIN>
        Order Allow, Deny
        Allow 194.192.81.64/26          # local net
        Allow 195.24.2.199              # Berlingske-onlines gateway
        Allow 195.24.2.198              # Berlingske-onlines gateway
        Allow 193.88.44.13              # TDI sitescope
        Deny All
</Limit>
<<

I en .conf fil starter hver stykke med <anonymous> skal det altid være
sådan
selv hvis man vil oprette en alk. bruger.
>> fjern ALLE <anonymous> tags.. - fjern hele anonymous segmentet..
>> tag et kig på proftpd.net.. der er en ok dokumentation og der er links
til
>> et mailingliste-arkiv.. der kan du garanteret finde noget godt..
>> Jeg kan ikke lige huske hvordan man sætter proftpd op, så den bruger
variabel navne..
>> men du skal bruge DefaultRoot variablen.. noget a la.
DefaultRoot ~$user  $user     eller sådan noget.. og ligeledes med en
access opsætning
<Directory ~$user>
     <Limit ALL>
                Order Allow, Deny
                AllowUser $user
                DenyUser All
        </Limit>
</Directory>
>> sådan noget i den retning.. vi bruger ikke variabler, da vi ikke har ftp
brugere i massevis.. men jeg ved at jeg har set et eksempel på det engang
>> søger du i mail-arkiverne på proftpd.net er jeg sikker på at du kan
finde et eksempel.. eller måske www.gnuskole.dk har nogle eksempler?


/KonGe

> Det ligger jo sådan at jeg ikke kan logge ind med nogle af
> mine brugere..
> Den skriver bare incorrect login.
> >> gælder det kun for nogle? eller for dem alle?
> >> hvis nogen godt kan logge ind, så er det nok et forkert kodeord de
> skriver..
> >> ellers kan det være at pam ikke lukker dem ind, pga. forkert opsat
> /etc/pam.d/ftp fil..
>
> et andet spørgsmål.... hvordan laver man så alle ens brugere
> kan se det
> samme dir f.eks /pub .?
> >> afhængig af hvilken opsætning du ellers har.. bliver dine
> brugere smidt
> (DefaultRoot'ed) i hver
> >> deres /home/<bruger> bibliotek? eller bliver de smidt i et
> /home/ftp og
> kan så kun se forskellige filer
> >> pga. deres rettigheder?