Toon posts:

[ssh]shell disablen. /etc/passwd methode werkt niet

Pagina: 1
Acties:

maandag 11 november 2002 20:10

Acties:

Verwijderd

Topicstarter
TJah in de search zei men verander
/bin/bash
naar
/bin/true
om SSH te limiten. Werkt prima voor ssh, maar t enige vervelende is dan dat ftp-acces, ik gebruik proftpd, niet meer mogelijk is?

maandag 11 november 2002 20:14

Acties:
  • _nethack
  • Registratie: September 2000
  • Laatst online: 16-05 20:09

_nethack

We're all MAD here

Je kunt in je proftpd.conf opgeven of de daemon moet controleren of de user een geldige shell heeft. Als je dat uit zet moet ie het wel doen.
Manpages/documentatie lezen dus :)

Sometimes you just have to sit back, relax, and let the train wreck itself

maandag 11 november 2002 20:28

Acties:

Verwijderd

Topicstarter
ow shit sorry. tjah komt ervan als je winhoos ftp gewend bent. my apoligies

maandag 11 november 2002 20:48

Acties:

Verwijderd

Topicstarter
toch nog probleem:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32

# This is a basic ProFTPD configuration file (rename it to
# 'proftpd.conf' for actual use.  It establishes a single server
# and a single anonymous login.  It assumes that you have a user/group
# "nobody" and "ftp" for normal operation and anon.

ServerName                      "rentserver.nl ftp server"
ServerType                      standalone
DefaultServer                   on
RequireValidShell               off
# Port 21 is the standard FTP port.
Port                            21
# Umask 022 is a good standard umask to prevent new dirs and files
# from being group and world writable.
Umask                           022

# To prevent DoS attacks, set the maximum number of child processes
# to 30.  If you need to allow more than 30 concurrent connections
# at once, simply increase this value.  Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd)
MaxInstances                    30

# Set the user and group that the server normally runs at.
User                            nobody
Group                           nobody

# Normally, we want files to be overwriteable.
<Directory /*>
  AllowOverwrite                on
</Directory>
~


RequireValidShell off

ik dacht dat dat regeltje het zou moeten oplossen maar hij doet het nog steeds niet. wat doe ik fout?

maandag 11 november 2002 21:05

Acties:
  • Blaasvis
  • Registratie: November 2001
  • Laatst online: 15-05 14:52

Blaasvis

Cidora \o/

code:
1
2
3
4
5
6
7
8
9
10
11

<Anonymous ~private>
AnonRequirePassword off
User private
Group private
RequireValidShell off
<Directory *>
<Limit WRITE>
DenyAll
</Limit>
</Directory>
</Anonymous>


je moet per user de shell valideren of niet ;)

Freedom is everything you need ; <moto-moi|afk> ik verkloot het gewoon nooit :P

maandag 11 november 2002 21:09

Acties:

Verwijderd

Topicstarter
dan worden dat heeelllll wat rules maken :?

kan dat niet in het global gedeelte anders schiet het alsnog niet op....stel chellow draait proftpd op de bakken voor het ftpen dan zullen ze toch niet 100000 directives aanmaken neem ik aan?

w8 ff ik zie wat moment -- lamaar

maandag 11 november 2002 21:13

Acties:
  • _nethack
  • Registratie: September 2000
  • Laatst online: 16-05 20:09

_nethack

We're all MAD here

Net even getest, het mag gewoon in het global deel hoor. Let wel op dat je na het wijzigen van de config de daemon restart (als proftpd als daemon draait that is, draait ie vanuit inetd dan hoeft dat niet)

Sometimes you just have to sit back, relax, and let the train wreck itself

maandag 11 november 2002 21:14

Acties:

Verwijderd

Topicstarter
ik kreeg een dikke error, kan je ff je proftpd.conf posten voor me?

maandag 11 november 2002 21:15

Acties:
  • deadinspace
  • Registratie: Juni 2001
  • Laatst online: 17-05 14:06

deadinspace

The what goes where now?

Of je voegt /bin/true toe aan /etc/shells, waardoor het als "geldige shell" telt. Zo heb je nog het onderscheid:

/bin/bash -> user mag zowel met ssh als met ftp inloggen
/bin/true -> user kan alleen ftp-en
/bin/false -> user kan niet ftp-en of ssh-en (maar wel nog evt mail enzo)

maandag 11 november 2002 21:16

Acties:
  • _nethack
  • Registratie: September 2000
  • Laatst online: 16-05 20:09

_nethack

We're all MAD here

Sure...
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34

ServerName                      "Inode"
ServerType                      standalone
DeferWelcome                    off

ShowSymlinks                    on
MultilineRFC2228                on
DefaultServer                   on
ShowSymlinks                    on
AllowOverwrite                  on
RequireValidShell               off

TimeoutNoTransfer               600
TimeoutStalled                  600
TimeoutIdle                     1200

DisplayLogin                    welcome.msg
DisplayFirstChdir               .message
LsDefaultOptions                "-l"
DenyFilter                      \*.*/

Port                            21

MaxInstances                    30

User                            nobody
Group                           nogroup

<Directory /*>
  # Umask 022 is a good standard umask to prevent new files and dirs
  # (second parm) from being group and world writable.
  Umask                         022  022

  AllowOverwrite                on
</Directory>

(Dit is zo'n beetje de standaard Debian Woody proftpd config)

Sometimes you just have to sit back, relax, and let the train wreck itself

maandag 11 november 2002 21:16

Acties:

Verwijderd

Topicstarter
ik heb /bin/true gebruikt en juist dat werkte niet......das et hele vreemde

t wordt steeds vreemder

Resolving host name rentserver.nl...
Connecting to (rentserver.nl).
Connected to (rentserver.nl) -> IP: 81.17.46.189 PORT: 21.
Socket connected waiting for login sequence.
220 ProFTPD 1.2.6 Server (ProFTPD Default Installation) [rentserver.nl]
USER sander
331 Password required for sander.
PASS (hidden)
530 Login incorrect.
Cannot login waiting to retry...

das mn ftp log

proftpd.conf

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

# This is a basic ProFTPD configuration file (rename it to
# 'proftpd.conf' for actual use.  It establishes a single server
# and a single anonymous login.  It assumes that you have a user/group
# "nobody" and "ftp" for normal operation and anon.

ServerName                      "rentserver.nl ftp server"
ServerType                      standalone
DefaultServer                   on
#Port 21 is the standard FTP port.
Port                            21
# Umask 022 is a good standard umask to prevent new dirs and files
# from being group and world writable.
Umask                           022
RequireValidShell               off
# To prevent DoS attacks, set the maximum number of child processes
# to 30.  If you need to allow more than 30 concurrent connections
# at once, simply increase this value.  Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd)
MaxInstances                    30

# Set the user and group that the server normally runs at.
User                            nobody
Group                           nobody

# Normally, we want files to be overwriteable.
<Directory /*>
  AllowOverwrite                on
</Directory>


ik zet servername op rentserver.nl en me log geeft gortdroog weer dat het de defaultinstall proftpd is???

maandag 11 november 2002 21:28

Acties:

Verwijderd

Welk OS? Op OpenBSD gebruik je /sbin/nologin daarvoor.

Daarnaast: staat de /bin/true en /bin/false entries in /etc/shells ? Dat moet wel.

Je kunt ook in sshd_config zeggen dat alleen bepaalde users mogen SSHen en de rest niet.

maandag 11 november 2002 21:34

Acties:

Verwijderd

Topicstarter
os redhat linux 8


[root@rentserver root]# cd /bin/true
-bash: cd: /bin/true: Not a directory
[root@rentserver root]# cd /bin
[root@rentserver bin]# ls
arch date gettext mkdir rmdir true
--KNIP
[root@rentserver bin]# cd true
-bash: cd: true: Not a directory
[root@rentserver bin]#

met andere woorden true bestaat :)

maandag 11 november 2002 21:51

Acties:

Verwijderd

Misschien stom maar heb je de proftpd deamon gerestart. :)

Jammer unex :P

maandag 11 november 2002 21:52

Acties:

Verwijderd

zie post van apt-get

maandag 11 november 2002 22:12

Acties:

Verwijderd

Ja hij bestaat maar staat ie ook in /etc/shells?
cat /etc/shells en staat daar /bin/true in?

maandag 11 november 2002 22:16

Acties:

Verwijderd

Verwijderd schreef op 11 november 2002 @ 21:09:
dan worden dat heeelllll wat rules maken :?

kan dat niet in het global gedeelte anders schiet het alsnog niet op....stel chellow draait proftpd op de bakken voor het ftpen dan zullen ze toch niet 100000 directives aanmaken neem ik aan?

w8 ff ik zie wat moment -- lamaar
Nop, toen ik er zat (oude a2000 net) babbelde de ncftpd server met een ldap cluster :)

dinsdag 12 november 2002 03:13

Acties:
  • sebas
  • Registratie: April 2000
  • Laatst online: 16-12-2025

sebas

* sebas limiteerd de users die wel mogen ssh'en in /etc/ssh/sshd_config, geeft alleen sommige users een valid shell en heeft RequireValidShell off.
De enige manier om van buitenaf direct een shell te krijgen is ssh, werkt dus alleen voor sommige users. Daarnaast krijgen ook alleen die users een validshell. Hiervoor moet proftpd wel weten dat ze ook mogen ftp'en zonder valid shell.

Everyone complains of his memory, no one of his judgement.

dinsdag 12 november 2002 09:04

Acties:
  • _nethack
  • Registratie: September 2000
  • Laatst online: 16-05 20:09

_nethack

We're all MAD here

Verwijderd schreef op 11 November 2002 @ 21:16:

ik zet servername op rentserver.nl en me log geeft gortdroog weer dat het de defaultinstall proftpd is???
Dat geeft waarschijnlijk dus aan dat proftpd niet de door jou gewijzigde configuratie gebruikt. Kijk eens of je in de opstartscripts (/etc/init.d/proftpd of iets dergelijks) kunt terugvinden welk config bestand hij gebruikt.
En nogmaals; zorg ervoor dat je de daemon herstart na het bewerken van de configuratie!! (/etc/init.d/proftpd restart)

Sometimes you just have to sit back, relax, and let the train wreck itself

dinsdag 12 november 2002 09:07

Acties:

Verwijderd

je moet dan wel de "shell" in dit geval /bin/true toevoegen aan het lijstje met welke shells er worden ondersteunt....

zie man shell

het bestand waar we over praten is /etc/shell

dinsdag 12 november 2002 14:21

Acties:

Verwijderd

Topicstarter
voila done

was de /etc/shells vergeten

o ja en dat voorbeeldje van chello was natuurlijk wat overdreven :P maar de bedankt voor de hulp mensen weer wat wijzer geworden :) nog paar kleine dingetjes en dan snap ik alles van linux voor wat ik nodig heb :)

dinsdag 12 november 2002 14:54

Acties:

Verwijderd

Verwijderd schreef op 12 november 2002 @ 09:07:

het bestand waar we over praten is /etc/shell
Voor de geoeie orde: /etc/shells

dinsdag 12 november 2002 15:08

Acties:

Verwijderd

Topicstarter
even vraagje tussen door, heeft iemand ervaring met http://www.freevsd.org/ ? :)

dinsdag 12 november 2002 15:24

Acties:

Verwijderd

Probeer het. :) Linux is ook proberen namelijk

Er is zelfs een RPM versie dus voor redhat wordt het helemaal makkelijk :)

dinsdag 12 november 2002 15:35

Acties:

Verwijderd

Topicstarter
eerst dan maar ff proberen op bak hier thuis voordat k me server fuck :P
Pagina: 1
Reageer