Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

OS Linux

Gebruikersmappen beveiligen in Red Hat 7.3

marenova2
4 antwoorden
  • Ik heb een server opgezet (server.ludimax.nl) waar nu Red Hat 7.3 op draait. Ik heb apache / php en webmin / usermin geinstalleerd. Ik kan via virtualmin in webmin nieuwe gebruikers aanmaken. Dan worden er automatisch een sql database, persoonlijke www directory enz. aangemaakt.
    Gebruikers kunnen via de ftp (ProFTPD) inloggen en bestanden uploaden. Nu is het probleem dat gebruikers ook in de directorys van andere gebruikers kunnen komen. Zelf boven de home directory kunnen gebruikers komen. Hoe kan ik dit beveiligen?

    Maarten
  • Plaats of uncomment de volgende regel in je proftpd.conf

    [code:1:7a706f4d3d]DefaultRoot ~
    [/code:1:7a706f4d3d]

    Succes
  • Dat staat al zo in het bestand. Dus dat is het probleem niet.
  • Dan pakken we het even anders aan.

    hier is mijn proftpd file van 1 van mijn FreeBSD bakjes hier is iedereen gelimiteerd tot zijn eigen home dir

    (proftpd 1.2.9)

    [code:1:6ee9a8ae40]
    # this is the ProFTPD configuration file

    ServerName "ProFTPD server"
    ServerIdent on "FTP Server ready."
    ServerAdmin root@localhost
    ServerType standalone
    #ServerType inetd
    DefaultServer on
    AccessGrantMsg "User %u logged in."
    #DisplayConnect /etc/ftpissue
    #DisplayLogin /etc/ftpmotd
    #DisplayGoAway /etc/ftpgoaway
    DeferWelcome off
    # Use this to excude users from the chroot
    DefaultRoot ~ !adm

    # Use pam to authenticate by default
    AuthPAMAuthoritative on

    # Do not perform ident nor DNS lookups (hangs when the port is filtered)
    IdentLookups off
    UseReverseDNS off

    # Port 21 is the standard FTP port.
    Port 21

    # Umask 022 is a good standard umask to prevent new dirs and files
    # from being group and world writable.
    Umask 022

    # Default to show dot files in directory listings
    ListOptions "-a"

    # See Configuration.html for these (here are the default values)
    #MultilineRFC2228 off
    #RootLogin off
    #LoginPasswordPrompt on
    #MaxLoginAttempts 3
    #MaxClientsPerHost none
    #AllowForeignAddres off # For FXP

    # Allow to resume not only the downloads but the uploads too
    AllowRetrieveRestart on
    AllowStoreRestart on

    # To prevent DoS attacks, set the maximum number of child processes
    # to 30. If you need to allow more than 30 concurrent connections
    # at once, simply increase this value. Note that this ONLY works
    # in standalone mode, in inetd mode you should use an inetd server
    # that allows you to limit maximum number of processes per service
    # (such as xinetd)
    MaxInstances 20

    # Set the user and group that the server normally runs at.
    User nobody
    Group nobody

    # This is where we want to put the pid file
    ScoreboardFile /var
    un/proftpd/proftpd.pid


    # Normally, we want users to do a few things.
    <Global>
    AllowOverwrite yes
    <Limit ALL SITE_CHMOD>
    AllowAll
    </Limit>
    </Global>

    # Define the log formats
    LogFormat default "%h %l %u %t \"%r\" %s %b"
    LogFormat auth "%v [%P] %h %t \"%r\" %s"

    # A basic anonymous configuration, no upload directories.
    <Anonymous ~ftp>
    # Uncomment the following line to allow anonymous access
    #RequireValidShell off
    User ftp
    Group ftp
    AccessGrantMsg "Anonymous login ok, restrictions apply."

    # We want clients to be able to login with "anonymous" as well as "ftp"
    UserAlias anonymous ftp

    # Limit the maximum number of anonymous logins
    MaxClients 10 "Sorry, max %m users – try again later"

    # Put the user into /pub right after login
    DefaultChdir /pub

    # We want 'welcome.msg' displayed at login, '.message' displayed in
    # each newly chdired directory and tell users to read README* files.
    DisplayLogin /welcome.msg
    DisplayFirstChdir .message
    DisplayReadme README*

    # Some more cosmetic and not vital stuff
    DirFakeUser on ftpadm
    DirFakeGroup on ftpadm

    # Limit WRITE everywhere in the anonymous chroot
    <Limit WRITE SITE_CHMOD>
    DenyAll
    </Limit>

    # An upload directory that allows storing files but not retrieving
    # or creating directories.
    <Directory uploads/*>
    AllowOverwrite no
    <Limit READ>
    DenyAll
    </Limit>

    <Limit STOR>
    AllowAll
    </Limit>
    </Directory>

    # Don't write anonymous accesses to the system wtmp file (good idea!)
    WtmpLog off

    # Loggin for the anonymous transfers
    ExtendedLog /var/log/proftpd/access.log WRITE,READ default
    ExtendedLog /var/log/proftpd/auth.log AUTH auth

    </Anonymous>

    [/code:1:6ee9a8ae40]

    Toch zou die regel Defaultroot ~ genoeg moeten zijn maar goed

    Herstart je de deamon wel na een configuratie verandering.??
    Dit is niet bedoelt omdat ik denk dat je stom bent maar in Linux *BSD worden de meeste veranderingen pas doorgevoerd als je de deamon opnieuw start, dit in tegenstelling tot windows waar de meeste veranderingen gelijk actief zijn.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.