Toon posts:

[Ubuntu Server 8.0.4]Proftpd, per user verschillende map

Pagina: 1
Acties:

Onderwerpen

Ubuntu

maandag 11 augustus 2008 16:58

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Ik heb hier thuis al een tijdje een server draaien met daarop ubuntu server 8.0.4 server. hierop wil ik ook een ftp server op hebben. Hiervoor gebruik ik als software "proftpd" wel bekend bij de meeste van jullie denk :-).

Ik heb hier meerdere gebruikers: sven en site, de gebruiker "sven" moet verwijzen na het inloggen naar /home/FTP-shared (dit doet elke gebruiker) en de gebruiker "site" dient te verwijzen naar de map /var/www. Lijkt me opzich niet echt een heel lastig iets. Het lukt toch niet echt bij mij ! Ik heb volgens mij de config helemaal hoe het hoort, en heb dit gedaan volgens deze handleiding. en dit aangepast aan mijn wensen.


hieronder even de config file vanuit /etc/proftpd/proftpd.conf in de hoop dat jullie er een lichtje op zouden kunnen schijnen met jullie deskundig ook. Heb trouwens een beetje genade, ben nog niet zo een pro in het hele ubuntu, werk er nog niet zo heel lang mee.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185

#
# /etc/proftpd/proftpd.conf -- This is a basic ProFTPD configuration file.
# To really apply changes reload proftpd after modifications.
# 

# Includes DSO modules
Include /etc/proftpd/modules.conf

# Set off to disable IPv6 support which is annoying on IPv4 only boxes.
UseIPv6             on

ServerName          "server"
ServerType          standalone
DeferWelcome            off

MultilineRFC2228        on
DefaultServer           on
ShowSymlinks            on

TimeoutNoTransfer       600
TimeoutStalled          600
TimeoutIdle         1200

DisplayLogin                    welcome.msg
DisplayChdir                .message true
ListOptions                 "-l"

DenyFilter          \*.*/

# Use this to jail all users in their homes 
 DefaultRoot            /home/FTP-shared

# Users require a valid shell listed in /etc/shells to login.
# Use this directive to release that constrain.
# RequireValidShell     off

# Port 21 is the standard FTP port.
Port                21

# In some cases you have to specify passive ports range to by-pass
# firewall limitations. Ephemeral ports can be used for that, but
# feel free to use a more narrow range.
# PassivePorts                  49152 65534

# If your host was NATted, this option is useful in order to
# allow passive tranfers to work. You have to use your public
# address and opening the passive ports used on your firewall as well.
# MasqueradeAddress     1.2.3.4

# To prevent DoS attacks, set the maximum number of child processes
# to 30.  If you need to allow more than 30 concurrent connections
# at once, simply increase this value.  Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd)
MaxInstances            30

# Set the user and group that the server normally runs at.
User                proftpd
Group               nogroup

# Umask 022 is a good standard umask to prevent new files and dirs
# (second parm) from being group and world writable.
Umask               022  022
# Normally, we want files to be overwriteable.
AllowOverwrite          on

# Uncomment this if you are using NIS or LDAP via NSS to retrieve passwords:
# PersistentPasswd      off

# This is required to use both PAM-based authentication and local passwords
# AuthOrder         *mod_auth_pam.c mod_auth_unix.c

# Be warned: use of this directive impacts CPU average load!
# Uncomment this if you like to see progress and transfer rate with ftpwho
# in downloads. That is not needed for uploads rates.
#
# UseSendFile           off

# Choose a SQL backend among MySQL or PostgreSQL.
# Both modules are loaded in default configuration, so you have to specify the backend 
# or comment out the unused module in /etc/proftpd/modules.conf.
# Use 'mysql' or 'postgres' as possible values.
#
#<IfModule mod_sql.c>
# SQLBackend            mysql
#</IfModule>

TransferLog /var/log/proftpd/xferlog
SystemLog   /var/log/proftpd/proftpd.log

<IfModule mod_quotatab.c>
QuotaEngine off
</IfModule>

<IfModule mod_ratio.c>
Ratios off
</IfModule>


# Delay engine reduces impact of the so-called Timing Attack described in
# http://security.lss.hr/index.php?page=details&ID=LSS-2004-10-02
# It is on by default. 
<IfModule mod_delay.c>
DelayEngine on
</IfModule>

<IfModule mod_ctrls.c>
ControlsEngine        off
ControlsMaxClients    2
ControlsLog           /var/log/proftpd/controls.log
ControlsInterval      5
ControlsSocket        /var/run/proftpd/proftpd.sock
</IfModule>

<IfModule mod_ctrls_admin.c>
AdminControlsEngine off
</IfModule>

#
# Alternative authentication frameworks
#
#Include /etc/proftpd/ldap.conf
#Include /etc/proftpd/sql.conf

#
# This is used for FTPS connections
#
#Include /etc/proftpd/tls.conf

# A basic anonymous configuration, no upload directories.

# <Anonymous ~ftp>
#   User                ftp
#   Group               nogroup
#   # We want clients to be able to login with "anonymous" as well as "ftp"
#   UserAlias           anonymous ftp
#   # Cosmetic changes, all files belongs to ftp user
#   DirFakeUser on ftp
#   DirFakeGroup on ftp
# 
#   RequireValidShell       off
# 
#   # Limit the maximum number of anonymous logins
#   MaxClients          10
# 
#   # We want 'welcome.msg' displayed at login, and '.message' displayed
#   # in each newly chdired directory.
#   DisplayLogin            welcome.msg
#   DisplayFirstChdir       .message
# 
#   # Limit WRITE everywhere in the anonymous chroot
#   <Directory *>
#     <Limit WRITE>
#       DenyAll
#     </Limit>
#   </Directory>
# 
#   # Uncomment this if you're brave.
#   # <Directory incoming>
#   #   # Umask 022 is a good standard umask to prevent new files and dirs
#   #   # (second parm) from being group and world writable.
#   #   Umask               022  022
#   #            <Limit READ WRITE>
#   #            DenyAll
#   #            </Limit>
#   #            <Limit STOR>
#   #            AllowAll
#   #            </Limit>
#   # </Directory>
# 
# </Anonymous>
#VALID LOGINS
<Limit LOGIN>
AllowUser site
DenyALL
</Limit>

<Directory /var/www> 
Umask 022 022
AllowOverwrite off
        <Limit MKD STOR DELE XMKD RNRF RNTO RMD XRMD>
    DenyAll
        </Limit>
</Directory>

maandag 11 augustus 2008 17:03

Acties:
  • 0 Henk 'm!
  • MrOizo2005
  • Registratie: September 2003
  • Laatst online: 10-09 12:20

MrOizo2005

Als je de homedir van "site" veranderd dan komt hij daar wel standaard in.

edit: hmmm je hebt gelijk volgens mij werkt dat ook niet helemaal lekker dan, maar kan het altijd proberen

[ Voor 96% gewijzigd door MrOizo2005 op 11-08-2008 17:06 ]

Also known as Oizopower | When Life Gives You Questions, Google has Answers

maandag 11 augustus 2008 17:49

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
je kan niet /var/www homedir van gebruiker "site" maken aangezien /var/www toebehoort aan een andere gebruiker (ik dacht www, zou dat kunnen kloppen ?)

maandag 11 augustus 2008 17:55

Acties:
  • 0 Henk 'm!

Verwijderd

De manier waarop ik het altijd deed is door een mount --bind te gebruiken.

Als je een gebruiker site hebt (/home/site even aangenomen als homedirectory), doe je (op Ubuntu, op andere systemen mag je "sudo" weglaten als je root bent ;)):

code:
1

sudo mount --bind /var/www /home/site


De mount --bind gebruik je omdat proftpd erg strict is qua directories en realpath(). Symlinkjes gaan het probleem hier dus (helaas) niet oplossen.

Nadeel van deze aanpak is dat je die mount na iedere restart van de server opnieuw aan moet maken (tenzij je hem bij de standaard mounts zet natuurlijk)

maandag 11 augustus 2008 20:23

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Verwijderd schreef op maandag 11 augustus 2008 @ 17:55:
De manier waarop ik het altijd deed is door een mount --bind te gebruiken.

Als je een gebruiker site hebt (/home/site even aangenomen als homedirectory), doe je (op Ubuntu, op andere systemen mag je "sudo" weglaten als je root bent ;)):

code:
1

sudo mount --bind /var/www /home/site


De mount --bind gebruik je omdat proftpd erg strict is qua directories en realpath(). Symlinkjes gaan het probleem hier dus (helaas) niet oplossen.

Nadeel van deze aanpak is dat je die mount na iedere restart van de server opnieuw aan moet maken (tenzij je hem bij de standaard mounts zet natuurlijk)
maar wat doe je hier nou met dat commando ? mount je dan als het ware de map /var/www als /home/site ofzo :> ? en waarom zou je dit nou doen, is mij niet helemaal duidelijk 8)7

maandag 11 augustus 2008 21:31

Acties:
  • 0 Henk 'm!
  • Creepy
  • Registratie: Juni 2001
  • Laatst online: 17:46

Creepy

Tactical Espionage Splatterer

Je kan na je "DefaultRoot <directory>" een lijst opgeven met (uitzonderingen van) groupen voor die DefaultRoot. Dus iets als
code:
1

DefaultRoot /home/FTP-shared !site

De ! wil zeggen alles wat niet matched. Dus nu matchen alle users die niet als default group site hebben.

En daar direct onder een andere DefaultRoot voor de group site
code:
1

DefaultRoot /var/www/ site

Dit staat overigens netjes uitgelegd in de proftpd FAQ
n this example, all users who are members of group "users", but not members of group "staff" are jailed into /u2/public. If a user does not meet the group-expression requirements, they login as per normal (not jailed, default directory is their home). You can use multiple DefaultRoot directives to create multiple jails inside the same directive context. If two DefaultRoot directives apply to the same user, ProFTPD arbitrarily chooses one (based on how the configuration file was parsed).

[ Voor 62% gewijzigd door Creepy op 11-08-2008 21:33 ]

"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney

dinsdag 12 augustus 2008 15:41

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Creepy schreef op maandag 11 augustus 2008 @ 21:31:
Je kan na je "DefaultRoot <directory>" een lijst opgeven met (uitzonderingen van) groupen voor die DefaultRoot. Dus iets als
code:
1

DefaultRoot /home/FTP-shared !site

De ! wil zeggen alles wat niet matched. Dus nu matchen alle users die niet als default group site hebben.

En daar direct onder een andere DefaultRoot voor de group site
code:
1

DefaultRoot /var/www/ site

Dit staat overigens netjes uitgelegd in de Afbeeldingslocatie: http://www.proftpd.org/docs/faq/linked/faq-ch5.html#AEN524proftpd%20FAQ

[...]
Oke dat heb ik nu inderdaad verandert (had ik ook al eens gevonden trouwens, zeker wel gezocht!) maar nu krijg ik bij elke gebruiker "Login incorrect"

Afbeeldingslocatie: http://home.telfort.nl/sp.versluis/forums/FTP-failure.png


dit terwijl ik zeker weet dat de login goed is, want hij heeft wel een keer gewerkt. maar dan werkte weer de policy niet, het ligt dus ergens nog aan een regel die niet goed is in de config ! hetgeen wat ik nu heb
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173

#
# /etc/proftpd/proftpd.conf -- This is a basic ProFTPD configuration file.
# To really apply changes reload proftpd after modifications.
# 

# Includes DSO modules
Include /etc/proftpd/modules.conf

# Set off to disable IPv6 support which is annoying on IPv4 only boxes.
UseIPv6             on

ServerName          "server"
ServerType          standalone
DeferWelcome            off

MultilineRFC2228        on
DefaultServer           on
ShowSymlinks            on

TimeoutNoTransfer       600
TimeoutStalled          600
TimeoutIdle         1200

DisplayLogin                    welcome.msg
DisplayChdir                .message true
ListOptions                 "-l"

DenyFilter          \*.*/

# Use this to jail all users in their homes 
DefaultRoot         /home/FTP-shared !site
DefaultRoot         /var/www site

# Users require a valid shell listed in /etc/shells to login.
# Use this directive to release that constrain.
# RequireValidShell     off

# Port 21 is the standard FTP port.
Port                21

# In some cases you have to specify passive ports range to by-pass
# firewall limitations. Ephemeral ports can be used for that, but
# feel free to use a more narrow range.
# PassivePorts                  49152 65534

# If your host was NATted, this option is useful in order to
# allow passive tranfers to work. You have to use your public
# address and opening the passive ports used on your firewall as well.
# MasqueradeAddress     1.2.3.4

# To prevent DoS attacks, set the maximum number of child processes
# to 30.  If you need to allow more than 30 concurrent connections
# at once, simply increase this value.  Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd)
MaxInstances            30

# Set the user and group that the server normally runs at.
User                proftpd
Group               nogroup

# Umask 022 is a good standard umask to prevent new files and dirs
# (second parm) from being group and world writable.
Umask               022  022
# Normally, we want files to be overwriteable.
AllowOverwrite          on

# Uncomment this if you are using NIS or LDAP via NSS to retrieve passwords:
# PersistentPasswd      off

# This is required to use both PAM-based authentication and local passwords
# AuthOrder         *mod_auth_pam.c mod_auth_unix.c

# Be warned: use of this directive impacts CPU average load!
# Uncomment this if you like to see progress and transfer rate with ftpwho
# in downloads. That is not needed for uploads rates.
#
# UseSendFile           off

# Choose a SQL backend among MySQL or PostgreSQL.
# Both modules are loaded in default configuration, so you have to specify the backend 
# or comment out the unused module in /etc/proftpd/modules.conf.
# Use 'mysql' or 'postgres' as possible values.
#
#<IfModule mod_sql.c>
# SQLBackend            mysql
#</IfModule>

TransferLog /var/log/proftpd/xferlog
SystemLog   /var/log/proftpd/proftpd.log

<IfModule mod_quotatab.c>
QuotaEngine off
</IfModule>

<IfModule mod_ratio.c>
Ratios off
</IfModule>


# Delay engine reduces impact of the so-called Timing Attack described in
# http://security.lss.hr/index.php?page=details&ID=LSS-2004-10-02
# It is on by default. 
<IfModule mod_delay.c>
DelayEngine on
</IfModule>

<IfModule mod_ctrls.c>
ControlsEngine        off
ControlsMaxClients    2
ControlsLog           /var/log/proftpd/controls.log
ControlsInterval      5
ControlsSocket        /var/run/proftpd/proftpd.sock
</IfModule>

<IfModule mod_ctrls_admin.c>
AdminControlsEngine off
</IfModule>

#
# Alternative authentication frameworks
#
#Include /etc/proftpd/ldap.conf
#Include /etc/proftpd/sql.conf

#
# This is used for FTPS connections
#
#Include /etc/proftpd/tls.conf

# A basic anonymous configuration, no upload directories.

# <Anonymous ~ftp>
#   User                ftp
#   Group               nogroup
#   # We want clients to be able to login with "anonymous" as well as "ftp"
#   UserAlias           anonymous ftp
#   # Cosmetic changes, all files belongs to ftp user
#   DirFakeUser on ftp
#   DirFakeGroup on ftp
# 
#   RequireValidShell       off
# 
#   # Limit the maximum number of anonymous logins
#   MaxClients          10
# 
#   # We want 'welcome.msg' displayed at login, and '.message' displayed
#   # in each newly chdired directory.
#   DisplayLogin            welcome.msg
#   DisplayFirstChdir       .message
# 
#   # Limit WRITE everywhere in the anonymous chroot
#   <Directory *>
#     <Limit WRITE>
#       DenyAll
#     </Limit>
#   </Directory>
# 
#   # Uncomment this if you're brave.
#   # <Directory incoming>
#   #   # Umask 022 is a good standard umask to prevent new files and dirs
#   #   # (second parm) from being group and world writable.
#   #   Umask               022  022
#   #            <Limit READ WRITE>
#   #            DenyAll
#   #            </Limit>
#   #            <Limit STOR>
#   #            AllowAll
#   #            </Limit>
#   # </Directory>
# 
# </Anonymous>


Lijkt me toch niets mis mee ? maarja blijkbaar wel want anders werkte hij wel :p

woensdag 13 augustus 2008 11:36

Acties:
  • 0 Henk 'm!
  • Elwood Blues
  • Registratie: November 2001
  • Laatst online: 31-08 21:19

Elwood Blues

87167191

Volgens mij zit het probleem hem in het feit dat de map /var/www/html/ van user apache is, en niet van user site. Beetje klok-klepel verhaal, maar je zult dan dus wat met gebruikersgroepen moeten spelen (beide in de groep webmaster oid?) en dan wat met de rechten van de map moeten goochelen zodat zowel de user site als user apache de juiste toegang hebben tot de map en bestanden.

[ Voor 23% gewijzigd door Elwood Blues op 13-08-2008 11:40 ]

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq