Toon posts:

[proftpd]Beveiliging instellen wil niet

Pagina: 1
Acties:
  • 32 views sinds 30-01-2008

vrijdag 12 december 2003 21:46

Acties:
  • The Specialist
  • Registratie: Augustus 2001
  • Laatst online: 15-10-2025

The Specialist

tja...

Topicstarter
Ik had behoefte aan een ftp servertje voor snelle bestandsuitwisseling.
Nu heb ik dus proftpd geinstalleerd op mijn Debian machine (Woody 3.0, kernel 2.4.22).
Standaard staat proftpd ingesteld om naar de home-dir van de ingelogde user te gaan (/home/[user]) . Wanneer ik echter een directory hoger wil (/home) dan kan dat gewoon. Zo kan ik helemaal terug tot aan de root enzo, en dat is dus NIET de bedoeling. Hoe kan ik dit dichtspijkeren zodat de user gebonden is aan alleen zijn home-dir en niet hoger?
Tevens heb ik een symlink aangemaakt in de home-dir van de user eric zodat ik snel naar een andere dir kan gaan (/var/www/dalbum/pictures), maar ook hier heb ik hetzelfde probleem. Hoe kan ik er voor zorgen dat ik ook hier binnen de directory 'pictures' blijf en niet hoger kan?
Ik heb me al wezenloos gezocht op internet, maar sommige dingen zijn gewoon te moeilijk geschreven en ik snap er dan ook de ballen niet van. Is er iemand die mij simpel uit kan leggen wat ik moet doen om de problemen op te lossen?

Die directory pictures is overigens wel uitgestippeld in de proftpd.conf:

code:
1
2
3
4
5
6

<Directory /var/www/dalbum/pictures>
  <Limit All>
  AllowUser eric
  DenyUser All
  </Limit>
</Directory>

[ Voor 10% gewijzigd door The Specialist op 12-12-2003 21:48 ]

Programming is like sex, one mistake, and you have to support it for life
my software never has bugs....it just develops random features

vrijdag 12 december 2003 22:01

Acties:
  • rvm
  • Registratie: November 2000
  • Niet online

rvm

Dit in je proftpd.conf zetten:
code:
1

DefaultRoot ~

Daarmee beperk je de user tot z'n eigen homedir.

vrijdag 12 december 2003 22:07

Acties:
  • The Specialist
  • Registratie: Augustus 2001
  • Laatst online: 15-10-2025

The Specialist

tja...

Topicstarter
rvm schreef op 12 december 2003 @ 22:01:
Dit in je proftpd.conf zetten:
code:
1

DefaultRoot ~

Daarmee beperk je de user tot z'n eigen homedir.
Mjah, dat had ik dus al geprobeerd (sorry dat ik het niet vermeld heb), maar dan kan ik mijn SymLink naar die /var/www nie meer gebruiken.

Programming is like sex, one mistake, and you have to support it for life
my software never has bugs....it just develops random features

vrijdag 12 december 2003 22:09

Acties:
  • Vae Victis
  • Registratie: April 2001
  • Laatst online: 12:21

Vae Victis

Dark Lord of the Sith

The Specialist schreef op 12 december 2003 @ 22:07:
Mjah, dat had ik dus al geprobeerd (sorry dat ik het niet vermeld heb), maar dan kan ik mijn SymLink naar die /var/www nie meer gebruiken.
Probeer mount -o bind.

vrijdag 12 december 2003 22:14

Acties:
  • Sendy
  • Registratie: September 2001
  • Niet online

Sendy

Ja, wat wil je nou? Wel of niet uit je homedir ;)

Anders geef je alle dirs geen toegang, behalve de homedirs en die /var/www/ dir. Dat kan je met zo'n <Directory> oplossen.

vrijdag 12 december 2003 22:21

Acties:
  • The Specialist
  • Registratie: Augustus 2001
  • Laatst online: 15-10-2025

The Specialist

tja...

Topicstarter
Sendy schreef op 12 december 2003 @ 22:14:
Ja, wat wil je nou? Wel of niet uit je homedir ;)

Anders geef je alle dirs geen toegang, behalve de homedirs en die /var/www/ dir. Dat kan je met zo'n <Directory> oplossen.
Mjah hoe? Want daar kom ik dus juist niet uit!!!

Nogmaals even duidelijk uitleggen wat ik wil:

Users die inloggen moeten gewoon gelijk in hun home-dir staan en mogen vanuit daar geen directory omhoog (dus naar /home). Vanuit die home-dir moet je echter WEL SymLinks kunnen volgen. Die dir's van die SymLinks moet ik ook kunnen beveiligen zodat je persé binnen die directory moet blijven (stel SymLink gaat naar /var/www/downloads, dan mag hij vanuit daar niet naar /var/www).

Programming is like sex, one mistake, and you have to support it for life
my software never has bugs....it just develops random features

vrijdag 12 december 2003 22:26

Acties:
  • zeroxcool
  • Registratie: Januari 2001
  • Laatst online: 20-02 14:43

zeroxcool

Je gaat dus access geven op de ~ dir van iedere user. Ook wil je dat users in /var/www/{username} kunnen, mits ik alles goed begrepen heb?

Dan kijk je bij de volgende pagina's:
http://www.proftpd.org/do...fig_ref_ShowSymlinks.html
http://www.proftpd.org/do...config_ref_Directory.html
http://www.proftpd.org/do...ked/config_ref_Limit.html
misschien wel de belangrijkste:
[google=+proftpd +user +follow +symlinks]

Daar wordt je denk ik wel wijzer van...

[ Voor 9% gewijzigd door zeroxcool op 12-12-2003 22:28 ]

zeroxcool.net - curity.eu

vrijdag 12 december 2003 22:34

Acties:
  • The Specialist
  • Registratie: Augustus 2001
  • Laatst online: 15-10-2025

The Specialist

tja...

Topicstarter
ZeRoXcOoL schreef op 12 december 2003 @ 22:26:
Je gaat dus access geven op de ~ dir van iedere user. Ook wil je dat users in /var/www/{username} kunnen, mits ik alles goed begrepen heb?

Dan kijk je bij de volgende pagina's:
http://www.proftpd.org/do...fig_ref_ShowSymlinks.html
http://www.proftpd.org/do...config_ref_Directory.html
http://www.proftpd.org/do...ked/config_ref_Limit.html
misschien wel de belangrijkste:
[google=+proftpd +user +follow +symlinks]

Daar wordt je denk ik wel wijzer van...
Heb ik gezegd dat users in /var/www/[user] moeten kunnen? Dacht het niet ;)
Ik heb alleen gezegd dat ik een symlink heb die verwijst naar /var/www/dalbum/pictures en dat die beveiligd moet worden zodat je alleen binnen die directory moet blijven
Quotje uit config_ref_Limit.html:
<Limit> command restrictions should not be confused with file/directory access permission.
En zoals ik al in een van de vorige posts vermelde kom ik er niet aan uit (Limit/Directory)...

Ik heb intussen de halve oplossing gevonden door stom toeval
Ik wist dat ik met limit bepaalde commando's kon "blokkeren". Toevallig zag ik bij het omhoog gaan in een directory-structuur het commando CDUP voorbij vliegen.
Heb dus nu in mijn <Directory> gedeelte erbij staan:
code:
1
2
3

<Limit CDUP>
  DenyAll
</Limit>


Nu heb ik alleen het probleem dat ik nergens meer CDUP kan doen, waar ik ook sta in de directory pictures...

[ Voor 41% gewijzigd door The Specialist op 12-12-2003 23:39 ]

Programming is like sex, one mistake, and you have to support it for life
my software never has bugs....it just develops random features

vrijdag 12 december 2003 23:50

Acties:
  • The Specialist
  • Registratie: Augustus 2001
  • Laatst online: 15-10-2025

The Specialist

tja...

Topicstarter
Ik heb nu eindelijk de oplossing gevonden. Dit heb ik nu in mijn <Directory> onderdeel staan en het werkt! Waarom, ik heb geen idee want het is zo onlogisch als maar zijn kan! :? :? :?

code:
1
2
3
4
5
6
7
8
9

<Directory /var/www/dalbum/pictures>
  <Limit ALL>
    AllowUser eric
    DenyUser All
  </Limit>
  <Limit CDUP>
    AllowAll
  </Limit>
</Directory>


Wat er dus nu gebeurd is:

Via een SymLink uit mijn home-dir ga ik naar /var/www/dalbum/pictures
In die directory kan ik niet 1 level in directory's omhoog (naar /var/www/dalbum/), maar als ik in die directory een andere directory aanmaak (bijv. test) en ik ga daar naartoe (dus /var/www/dalbum/pictures/test), dan kan ik wel 1 dir up (naar /var/www/dalbum/pictures), precies zoals ik het wou!

[ Voor 41% gewijzigd door The Specialist op 12-12-2003 23:54 ]

Programming is like sex, one mistake, and you have to support it for life
my software never has bugs....it just develops random features

zaterdag 13 december 2003 01:15

Acties:
  • blaataaps
  • Registratie: Juli 2001
  • Niet online

blaataaps

Opgelost, en dit had wel gevonden kunnen worden denk ik :)
Pagina: 1

Dit topic is gesloten.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq