[OpenBSD] Authenticatie van pure-ftpd instellen - Linux en overige clients

zondag 23 november 2003 16:32

Acties:

Topicstarter

Ik hoop dat dit topic niet te simpel is, hoewel het mij dan waarschijnlijk wel een goed antwoord oplevert (of een snel slot, da's eigenlijk niet de bedoeling). Tot nu toe heb ik het antwoord nog niet kunnen vinden in documentatie en/of zoekmachines, vandaar dit topic.

Ik heb een OpenBSD 3.4 server waarop ik een FTP server wil draaien. Ik gebruik daarvoor pure-ftpd uit de ports tree. Ik wil eigenlijk 1 algemene user die alleen in zijn of haar homedir kan uploaden/downloaden, maar niet door het hele file-systeem kan rondzwerven, en een paar users (die login hebben op mijn server) die dat wel mogen. Pure-ftpd heeft daarvoor de -a switch. Ik heb daarom een groep aangemaakt waarin de users zitten die het hele filesysteem mogen bekijken en die achter de -a gezet, dat werkt prima.

Nu rest mij dus de algemene toegang, iets dat ik maar niet goed voor elkaar krijg. Ik wil namelijk een user die geen shell-toegang heeft, maar wel FTP toegang. Als ik een user aanmaak met als shell 'nologin' is dat eerste geregeld, maar geeft pure-ftpd de user geen toegang tot de FTP server.

Hoe zorg ik ervoor dat ik een user krijg die geen shell-toegang heeft, maar wel FTP toegang tot enkel zijn/haar homedir? Ik zie vast iets over het hoofd maar ik kom er niet uit.

zondag 23 november 2003 16:46

Acties:

Verwijderd

Waarom gebruik je geen pure-ftpd virtual user(s) hiervoor? Die mapt een of meedere virtual users op 1 fysieke systeem user (zonder shell access). Dit gebruik ik om ftp access te bieden op mijn dmz server. Zie pure-pw en puredb.

[ Voor 15% gewijzigd door Verwijderd op 23-11-2003 16:48 ]

zondag 23 november 2003 17:01

Acties:

Verwijderd

Voeg `/sbin/nologin' toe aan `/etc/shells'.

[ Voor 19% gewijzigd door Verwijderd op 23-11-2003 17:02 ]

zondag 23 november 2003 18:41

Acties:

Verwijderd

Dat chroot'en (in homedir locken) en FTP-only kan met zowel OpenBSD-ftpd en PureFTPd. IIRC kreeg ik nadat ik dit programma had geinstalleerd na make install een aantal adviezen met wat ik moest doen RTFM moest ik doen). Ook voorbeeld config files. Nadat ik die had doorgelezen kon ik eenvoudig het een en ander instellen.

Wat ik had gedaan is de LDAP DB backend aangezet. Daarna in de DB het een en ander aangepast en voila users konden inloggen terwijl OpenSSH standaard niet met LDAP kan authen. Ipv LDAP kun je ook MySQL of PureFTPd's eigen database kiezen, da's geheel aan jou. Check even die Makefile van PureFTPd, daar zitten nog een paar andere opties in die je misschien aan wilt (no_banner bijv).

En tenslotte misschien verstandig om je af te vragen waarom je niet OpenBSD-ftpd wilt gebruiken... mgoed, jouw bak.

maandag 24 november 2003 01:01

Acties:

TripleM

Topicstarter

Verwijderd schreef op 23 november 2003 @ 16:46:
Waarom gebruik je geen pure-ftpd virtual user(s) hiervoor? Die mapt een of meedere virtual users op 1 fysieke systeem user (zonder shell access). Dit gebruik ik om ftp access te bieden op mijn dmz server. Zie pure-pw en puredb.

Dat klinkt interessant. Ik ga daar eens naar kijken, bedankt

Verwijderd schreef op 23 november 2003 @ 17:01:
Voeg `/sbin/nologin' toe aan `/etc/shells'.

# Ftpd will not allow users to connect who are not using
# one of these shells.

Inderdaad, dat zou het op moeten lossen. En omdat het geen echte shell is, kan men niet via SSH inloggen, toch?

Verwijderd schreef op 23 november 2003 @ 18:41:
En tenslotte misschien verstandig om je af te vragen waarom je niet OpenBSD-ftpd wilt gebruiken... mgoed, jouw bak.

No special reason eigenlijk. Ik zocht een FTPd en ik kende PureFTPd van naam. Hij is vrij eenvoudig, zou makkelijk te configureren zijn

en hij is ook secure.

maandag 24 november 2003 01:13

Acties:

TripleM

Topicstarter

-edit- Ik geef het op. Het werkte, toen weer niet, nu toch weer wel. Ik ben gewoon ongeduldig en het is te laat.

Dank jullie wel allemaal, het is gelukt met virtual users. Ideaal systeem, alleen jammer dat je 'echte' accounts op je systeem niet kunt linken aan een virtual user, alleen kopieren naar. Nu heb je namelijk eigenlijk toch 2 wachtwoorden voor en virtual user die ook 'gewoon' kan inloggen op het systeem. Maar ach..

[ Voor 255% gewijzigd door TripleM op 24-11-2003 01:51 ]

maandag 24 november 2003 03:36

Acties:

Verwijderd

Op zich ben ik daar blij mee. Want de passwords voor FTP kunnen normaal gesproken gesniffed worden (je kunt de authenticatie en/of data transer zo maken dat het wel encrypted wordt) terwijl dat bij gewone SSH accounts niet het geval is. Je kunt de auteur of mailinglijst van PureFTPd mailen. Frank Denis is een OpenBSD gebruiker, misschien weet hij raad.

PAMAuthentication kun je vergeten want OpenBSD maakt geen gebruik van PAM; OpenBSD maakt gebruik van BSD_Auth.

However, werkt UnixAuthentication niet? Die heeft het wel over /etc/shadow dus.. ik vrees van niet...

# Please note that LDAPConfigFile, MySQLConfigFile, PAMAuthentication and
# UnixAuthentication can be used only once, but they can be combined
# together. For instance, if you use MySQLConfigFile, then UnixAuthentication,
# the SQL server will be asked. If the SQL authentication fails because the
# user wasn't found, another try # will be done with /etc/passwd and
# /etc/shadow. If the SQL authentication fails because the password was wrong,
# the authentication chain stops here. Authentication methods are chained in
# the order they are given.

maandag 24 november 2003 13:13

Acties:

Verwijderd

TripleM schreef op 24 november 2003 @ 01:13:
-edit- Ik geef het op. Het werkte, toen weer niet, nu toch weer wel. Ik ben gewoon ongeduldig en het is te laat.

Dank jullie wel allemaal, het is gelukt met virtual users. Ideaal systeem, alleen jammer dat je 'echte' accounts op je systeem niet kunt linken aan een virtual user, alleen kopieren naar. Nu heb je namelijk eigenlijk toch 2 wachtwoorden voor en virtual user die ook 'gewoon' kan inloggen op het systeem. Maar ach..

Die twee wachtwoorden kun je toch gewoon syncen? Als je ze alle twee dezelfde wachtwoorden geeft, is dat ook geen probleem :-)

Pagina: 1

Reageer