proftp konfiguration

[-mephisto-]

Hi.

ich wuerd gern den proftpd mit einer vom system unabhaengigen userverwaltung, verschiedenen berechtigungsgruppen usw. laufen lassen ... hab leider noch kein tutorial fuer sowas gefunden ... kann mir da jemnad eventuell weiterhelfen?

thanks

[pdreker]

So'ne Konfig habe ich hier in einfach (ohne Gruppen). Das ist aber aus der Anleitung ersichtlich, wie das geht...

Schau Dir da 'mal insbesondere die Option

Code: Alles auswählen

# Use /etc/ftpd.passwd for User Authentication
AuthUserFile /etc/ftpd.passwd

und die man-page für ftpasswd.

Patrick

[-mephisto-]

hm, danke. aber ich komm mit der konfiguration von dem ding ueberhaupt nicht klar ... (:?)

gibt es da ein gutes einsteiger howto?

thanks

[pdreker]

Nein, nicht dass ich wüsste aber es gibt eine FAQ (http://www.proftpd.org).

Ausserdem gibt es ein webmin Frontend für proftpd (apt-get install webmin-proftpd). Damit solltest Du den Server wenigstens zum laufen bekommen...

Patrick

[ktax]

das ist jetzt mal ein "rohling" die wichtigsten einstellungen, habe ich mal kommentiert. vielleicht kannst du damit ja was anfangen. wenn du diese allerdings benutzt, ist von WEBMIN stark abzuraten.

Code: Alles auswählen

servername "name" #name des servers
servertype standalone #damit du ihn manuell starten/stoppen kannst
serveradmin admin@server #deine e-mail addy
serverident on "ftp server ready" # steht beim kontaktieren drann
deferwelcome on
defaultserver on
displayconnect msgs/banner.msg #einfach ein text-banner
displaygoaway msgs/dead.msg #...wenn man den server verlaesst
displaylogin msgs/welcome.msg #begruessungstext
port 21 #standart port auf dem der server erreichbar ist
umask 022
user nobody
group nogroup
defaultroot ~ #nutzer in das verzeichnis einsperren (hier ~)

<directory /*>
allowoverwrite off
hiddenstor off
</directory>

classes on
class default limit 100
pathallowfilter "^[a-zA-Z0-9_.-]+" #erlaubte namen
pathdenyfilter "(\.ftp)|(\.ht) [a-z]+$" #verbotene...
denyfilter "%"
maxinstances 110
usereversedns on
identlookups off
timeoutstalled 120 #nach 2min ideling wird man gekickt

scoreboardpath /var/run/proftpd
transferlog /var/log/xferlog
logformat default "%h %l %u %t \"%r\" %s %b"
extendedlog /var/log/proftpd.log all default
requirevalidshell no

<Anonymous ~ftp>
user ftp
group nogroup
useralias anonymous ftp
maxclients 10 #anzahl der max. verbindungen
maxclientsperhost 3 "nur 3 connections pro host!"
displaylogin msgs/welcome.msg
authaliasonly on
requirevalidshell off

<directory pub/incoming>
umask 017
<limit stor cwd cdup> #das ist in pub/incoming erlaubt
allowall
</limit>
<limit read dirs rmd dele mkd> #...und das verboten
denyall
</limit>
</directory>
</anonymous> 

[Lockslay]

Hallo

das ist genau mein Thema.
ich versuche auch den proftpd Server einzustellen.
Er läuft zwar aber mit einstellungen die ich nicht verstehe.

Code: Alles auswählen

1
# Do a chroot for web-users (i.e. public or www group), but
# do not change root if the user is also in the users group...
#
DefaultRoot ~/public_html       public,!users
DefaultRoot ~/mnt/edonkey_share

Wenn ich mich per ftp einlogge als User kann ich in JEDES Verzeichnis obwohl ich doch durch ~ erzwingen soll das der User im Verzeichnis bleiben soll ?

2 Möchet ich auch gerne das meine Linux User KEINEN ftp Account haben.
sondern nur bestimmte Namen.
Könnt Ihr mir das bitte etwas genauer Erklären ?
Ob ich wie bei Samba die Namen und Passwort eintragen muss
, und die Einstzellung wer wohin darf habe ich auch nicht so richtieg
Verstanden.

Hoffe das Ihr mir weiterhelfen könnt

Lockslay

[pdreker]

Ich habe bei mir im Config File "DefaultRoot /services/ftp" stehen, und alle User landen in diesem Verzeichnis. Wenn man eingeloggt ist, und "pwd" absetzt bekommt man als Antwort "/", "cd .." ist zwar erfolgreich (gibt keinen Fehler), wechselt aber nicht in das übergeordnete Verzeichnis.

Läuft Dein ftpd vielleicht als Daemon (Config: ServerType standalone), und Du hast nach der Änderung den Daemon nicht neu gestartet (/etc/init.d/proftpd restart)?

Was die Autentifizierung der User ohne Account angeht: Einfach Config Option "AuthUserFile /etc/ftpd.passwd" (oder eine andere Datei Deiner Wahl) angeben. Danach kannst Du mit

Code: Alles auswählen

ftpasswd --passwd --file /etc/ftpd.passwd --home /seconddisk/ftp -name $USER_NAME --shell /bin/false --uid $FTP_UID --gid 1100

neue User anlegen, die nur in der ftpd.passwd stehen.

Dabei ist allerdings zu beachten, dass die $FTP_UID nicht mit einer Unix UserID kollidiert und für jeden User anders ist, und GID (GroupID) muss existieren. Dazu habe ich eine ganz normale Unix Group "leech" angelegt mit der GID 1100, in der sich alle FTP User dann befinden (damit kann man Permissions kontrollieren: Wenn ein File nicht Leserechte für group leech hat, kann man es nicht herunterladen.)

Im Prinzip legt man dabei ganz normale Unix User an, trägt diese aber nicht in die normalen System Dateien ein, sondern in eine eigene Datei von proftpd (daher auch die Shell Parameter usw.). Somit können diese User sich nicht bei SSH oder einem anderen Service anmelden, weil diese nicht in der Spezial Datei nachsehen...

Ich glaube jetzt ist die Verwirrung vollständig.

Mir ist gerade nochwas aufgefallen, könnte aber nur ein Missverständnis sein: "~" ist das Home Verzeichnis des entsprechenden User und hat nichts mit der Beschränkung selbst zu tun, sondern ist nur eine Abkürzung. Die Einschränkung erfolgt alleine durch die DefaultRoot Option.

Installier 'mal "proftpd-doc" und schau dann in "/usr/share/doc/proftpd-doc/Configuration.html". Ist zwar nur eine Reference, sollte aber die gröbsten Probleme aufklären.

Patrick