[2000] IIS ftp-inlogrechten - Windows clients

zaterdag 2 augustus 2003 12:10

Acties:

Topicstarter

Ik probeerde gisteren in IIS5 een ftp-site aan te maken en een gebruiker dan toegang te geven tot die ftp-site.

Het betreft hier een normaal aangemaakte gebruiker, die alleen in de groep domain users valt. Eventueel zou ik dit nog in een aparte groep kunnen zetten.

Echter, volgens dit artikel moet ik "log on locally" rechten toekennen aan gebruikers die ik via ftp in wil laten loggen.

Maar dit brengt toch enorme security-risks met zich mee, omdat iedereen dan ook fysiek op de server kan inloggen

zaterdag 2 augustus 2003 12:30

Acties:

Verwijderd

Klopt, daarom is het raadzaam om een 2e server neer te zetten die de IIS doet.

zaterdag 2 augustus 2003 12:35

Acties:

Verwijderd

Ik heb hier ook mee zitten prutsen in IIS 6 dan wel.
Ben toen overgestapt naar een alternatieve gratis ftp server.
Draait perfect nu op win2k3 en ik moet geen users aanmaken dus geen beveiligingsrisico's

cesarftp gebruik ik.

zaterdag 2 augustus 2003 12:36

Acties:

Dennis

Topicstarter

Ja ik zal in het geval dat het niet anders is op te lossen ook wel Serv-U gaan gebruiken, maar ik vind het wel raar.

zaterdag 2 augustus 2003 13:36

Acties:

Verwijderd

Hoe draai je een 3rd party FTP dan?

Ik heb 3rd party FTP software tot nu toe alleen als LocalSystem of als Administrator draaiende gehad, maar dat wil ik dus niet. Ik wil dat soort software als Domain Guest kunnen laten draaien.

Welke 3rd party FTP software kun je wel als Guest service laten draaien?

zaterdag 2 augustus 2003 13:42

Acties:

Verwijderd

Log in interactive kan ook dacht ik? not sure

zaterdag 2 augustus 2003 13:52

Acties:

Dennis

Topicstarter

Verwijderd schreef op 02 augustus 2003 @ 13:36:
Welke 3rd party FTP software kun je wel als Guest service laten draaien?

Onder welke account je de service draait maakt niks uit natuurlijk, het gaat hier om het inloggen. Natuurlijk mag je een service niet als guest laten draaien

.

zaterdag 2 augustus 2003 20:59

Acties:

Verwijderd

ddc schreef op 02 August 2003 @ 13:52:
[...]

Onder welke account je de service draait maakt niks uit natuurlijk, het gaat hier om het inloggen. Natuurlijk mag je een service niet als guest laten draaien .

Bepaalde services draai je gewoon als User vanuit security oogpunt.

Een 3rd party tool als service installeren -> mag alleen onder een useraccount draaien.

Lijkt me niet meer dan logisch

zaterdag 2 augustus 2003 21:11

Acties:

Zwelgje

ja wat heet security risk, kijk zolang als je geen terminal service aanbiedt op die server en dat ding alleen maar als FTP server dient (dus alleen poort 21 open) dan is er niks aan de hand

en ftp users hebben bij mij GEEN fysieke toegang tot de serverconsole

A wise man's life is based around fuck you

zaterdag 2 augustus 2003 23:38

Acties:

Verwijderd

zwelgje schreef op 02 augustus 2003 @ 21:11:
ja wat heet security risk, kijk zolang als je geen terminal service aanbiedt op die server en dat ding alleen maar als FTP server dient (dus alleen poort 21 open) dan is er niks aan de hand

en ftp users hebben bij mij GEEN fysieke toegang tot de serverconsole

Er zullen vast nog wel te ontdekken exploits zijn waarbij dat wel mogelijk is.

Daarom moet een 3rd party service onder een user/guest account draaien. Absoluut niet onder LocalSystem, ook niet als de betreffende server puur die ftp server host.