Vraag & Antwoord

OS Linux

[FC3] Ftp server met verschillende users

28 antwoorden
  • Hallo allemaal, Vanavond maar weer eens met de server in de weer geweest. Fedora Core 3 geinstalleerd, webserver etc draait als een trein. Nu de ftp toegang nog. Ik heb proftpd geinstalleerd, maar ik kan er niet achter komen hoe ik users toevoeg (in /etc/proftpd.conf). Of moet dat ergens anders? Ik dacht namelijk dat het hier moest aangezien hier ook de informatie voor "anonymous " staat, dit heb ik echter verwijderd, want ik wil geen anonymous op mijn ftp hebben. Ik wil een stuk of 5 aparte users aanmaken (voor vrienden en mezelf) zodat we elk in een eigen map komen na het inloggen en elk verschillende rechten / quota's etc hebben. Ik heb de docs van linux.org gelezen en example configs op proftpd.org bekeken maar ik kan er niet wijs uit worden. Wie weet hoe het moet? Alvast bedankt!! Grt, Lennard
  • Moet het zo http://www.debianhowto.de/howtos/en/proftpd/proftpd_howto.html ?
  • Proftp users voeg je gewoon toe met useradd of adduser. Wat wel handig is om ze als shell /bin/false te geven. Deze fake shell moet wel in /etc/shells gedefinieerd zijn ;)
  • Bedankt voor jullie reacties. Ik begrijp dat bij Linux een ftp-user eigenlijk gewoon een "account" heeft op de linux computer? Dit is heel anders dan we van Windows gewend zijn, maar het klinkt eigenlijk wel aannemelijk. Is het handig dat ik een aparte groep maak, of kan ik gewoon alle users toevoegen aan de groep "nogroup"? En dan nog een laatste domme vraag: Hoe benader ik die ftp-server dan? Want mijn apache draait op http://192.168.123.2:2824 maar ik nam aan dat ftp dan ftp://192.168.123.2(:21) was, dit geeft een foutmelding.. Moet ik nog ergens aan initrd toevoegen dat proftpd boot bij het opstarten zonder dat er een gebruiker is aangelogd? MVG, Lennard
  • [quote:ef53a7be09="SAPPhIRE"]Bedankt voor jullie reacties. Ik begrijp dat bij Linux een ftp-user eigenlijk gewoon een "account" heeft op de linux computer? [/quote:ef53a7be09] Ja [quote:ef53a7be09="SAPPhIRE"] Dit is heel anders dan we van Windows gewend zijn, maar het klinkt eigenlijk wel aannemelijk. Is het handig dat ik een aparte groep maak, of kan ik gewoon alle users toevoegen aan de groep "nogroup"? [/quote:ef53a7be09] Ik zou ze niet aan de nogroup groep toevoegen. Maar maak een aparte groep aan. [quote:ef53a7be09="SAPPhIRE"] En dan nog een laatste domme vraag: Hoe benader ik die ftp-server dan? Want mijn apache draait op http://192.168.123.2:2824 maar ik nam aan dat ftp dan ftp://192.168.123.2(:21) was, dit geeft een foutmelding.. Moet ik nog ergens aan initrd toevoegen dat proftpd boot bij het opstarten zonder dat er een gebruiker is aangelogd? MVG, Lennard[/quote:ef53a7be09] Draait Proftpd wel?
  • > nam aan dat ftp dan ftp://192.168.123.2(:21) was klopt > dit geeft een foutmelding. staat je firewal wel open voor ftp (poort 21 is niet genoeg; ook 20 is nodig) ?
  • [quote:8f59378277="m3ssi4h"]Proftp users voeg je gewoon toe met useradd of adduser. Wat wel handig is om ze als shell /bin/false te geven. Deze fake shell moet wel in /etc/shells gedefinieerd zijn ;)[/quote:8f59378277] Nooit gehoord van virtual users onder proftpd? je gaat toch geen sys users aanmaken voor een ftp server?
  • [quote:3e9a927f4f="KayJay"]je gaat toch geen sys users aanmaken voor een ftp server?[/quote:3e9a927f4f] Waarom niet? Voor de meeste UNIX'es en ftpd's is dat anders heel normaal. Je gaat toch niet je users voor elke service in aparte lijsten onderbrengen?? In IIS moest je nog je ook je users voor een website toevoegen als systeemusers indertijd (geen IIS meer gezien sinds de NT tijd trouwens).
  • [quote:6fadf2d70f="KayJay"][quote:6fadf2d70f="m3ssi4h"]Proftp users voeg je gewoon toe met useradd of adduser. Wat wel handig is om ze als shell /bin/false te geven. Deze fake shell moet wel in /etc/shells gedefinieerd zijn ;)[/quote:6fadf2d70f] Nooit gehoord van virtual users onder proftpd? je gaat toch geen sys users aanmaken voor een ftp server?[/quote:6fadf2d70f] Het gaat hier om 5 users dus net zoals Tekkie zei dat is in dat geval heel gebruikelijk om in de *NIX wereld dan ook 5 accounts aan te maken ;) Ik zou wel eens willen weten wat daar zo vreemd aan is :-? ?
  • Het is vreemd omdat je voor 5 users geen 5 systeem users aan hoeft te maken. JE gaat op een machine met 5000 e-mail accounts toch ook geen 5000 systeem users aanmaken? laat staan dat je dat voor 500 ftp users oid doet. Zo gebruikelijk is het maken van systeem users voor dit soort services dus niet. Daar zijn virtual users voor bedacht. maar deze gewoon in een tekstbestand kan kliederen á la /etc/passwd. Of in een SQL database maar dat is weer een andere discussie. Maak je een systeem user aan, moet je andere zaken dichttimmeren omdat die user toevallig ook e-mail , een ssh toegang heeft. of pop3 toegang.. zit je weer in andere files te wroeten. Doe het dan in één keer goed. het rolbased authenticatie systeem van NT (AD) is overigens niet te vergelijken met het rechtensysteem van ene UNIX. Het wordt tijd dat Gnu/Linux eens een fatsoenlijk default role based authenticatie systeem krijgt Dan had je dit gelazer niet gehad
  • Ik vind persoonlijk nogal een verschil zitten tussen 5 users of 500 of 5000 users. In het geval van dat soort grote aantallen geef ik je inderdaad gelijk. Maar voor 5 users vind ik het nogal onzin. Misschien wil de topic starter later nog eens andere services aan die 5 gebruikers aanbieden en dan is het toch wel makkelijk dat je 5 gewone user accounts hebt. Maar goed de topic starter beslist. User autorisatie is binnen Proftpd mogelijk met de onderstaande modules: * mod_auth_unix Handles normal authentication via /etc/passwd, /etc/group * mod_auth_file Handles the AuthUserFile and AuthGroupFile directives, for storing user account information in other files * mod_ldap Handles user account information stored in LDAP directories * mod_radius Handles user account information provided by RADIUS servers * mod_sql Handles user account information stored in SQL tables
  • Maar oh wee als iemand een workstation onbeveiligd op het internet hangt dan zijn we wel ineens paranoia? :roll: elke user heeft een wachtwoord en is dus vatbaar voor een kraak met een virtuele gebruiker ben je net iets veiliger bij zo'n kraak één van de eerste lessen op het gebied van beveliging is: verwijder zoveel mogelijk systeem users als deze niet nodig zijn. Elke gebruiker is een gebruiker te veel. Dus ook ftp (systeem) users
  • chroot() gebruiken misschien ?
  • [quote:aad8924fec="KayJay"]Maar oh wee als iemand een workstation onbeveiligd op het internet hangt dan zijn we wel ineens paranoia? :roll: [/quote:aad8924fec] Een goed beveiligde ftp server kan veiliger zijn dan een onbeveiligd workstation ;) [quote:aad8924fec="KayJay"] elke user heeft een wachtwoord en is dus vatbaar voor een kraak met een virtuele gebruiker ben je net iets veiliger bij zo'n kraak [/quote:aad8924fec] Kwestie van gewoon zorgen dat die 'normale' gebruikers niet veel kunnen op het systeem. Een goede admin heeft daar niet zoveel problemen mee ;) [quote:aad8924fec="KayJay"] één van de eerste lessen op het gebied van beveliging is: verwijder zoveel mogelijk systeem users als deze niet nodig zijn. Elke gebruiker is een gebruiker te veel. Dus ook ftp (systeem) users[/quote:aad8924fec] Een andere belangerijke beveiligings les is het goed overzichtelijk houden en goed beheersbaar houden van je systeem ;)
  • [quote:f948b0bc18="m3ssi4h"] Kwestie van gewoon zorgen dat die 'normale' gebruikers niet veel kunnen op het systeem. Een goede admin heeft daar niet zoveel problemen mee ;) [/quote:f948b0bc18] Ok..zet maar eens een ssh daemon open op die machine en zie dan er maar voor te zorgen dat die gebruikers niet veel kunnen. Nee dan wordt het overzichtelijk. kun je weer gaan klooien met /bin/false (wat lang niet op elke configuratie goed werkt overigens) Overigens.. het kost nog meer tijd en moeite ook, laat staan dat de kans op fouten ook nog eens groter is. Je moet systeembreed dingen extra gaan dichttimmeren terwijl dat met een virtuele user lang niet altijd nodig is. Waarom zou je die gok überhaupt nemen?? [quote:f948b0bc18] Een andere belangerijke beveiligings les is het goed overzichtelijk houden en goed beheersbaar houden van je systeem ;)[/quote:f948b0bc18] Tja het is nog overzichtelijker om gelijk maar als root te werken..heb je maar één user waar je alles mee kan. hiep hoera Overigens.. wat is er onbeheersbaar door ftp users op te slaan in een text file of sql database? Het is net zo snel in te voeren en die ftp users kunnen geen gebruik maken van andere services zoals ssh, pop, imap, smtp en andere zaken. 5 extra systeem users zijn 5 wachtwoorden te veel. Mocht je om wat voor reden dus een ssh er op draaien en even wat kleine dingetjes vergeten zijn, zoals een /bin/false of /etc/noshell, je rechten niet in orde hebben dan is een beetje gokken met wachtwoorden wel interessant.
  • In feite zou het goed zijn als die programma's PAM ondersteuning ingebouwd zouden hebben, in plaats van hun eigen virtual users mechanisme te bedenken. In PAM zitten allerlei mogelijkheden om authenticatie voor diverse services gescheiden te houden. Het lijkt in het begin even lastig om op te zetten, maar bijvoorbeeld active directory policies of nds vergen ook een hoop tijd om de initiele templates af te regelen. Veiligheid komt meestal niet op een plateautje aangedragen als het iets complexer word. En vergeet niet dat unix in eerste instantie een serverplatform is. Een ftpd als pureftpd heeft PAM, passwd en een eigen authenticatie mechanisme ingebouwd, plus een leuke grafische fontend voor KDE, als je dat allemaal wilt. http://www.pureftpd.org/ - kijk daar anders eens naar.
  • [quote:5f1754efd9="KayJay"]Ok..zet maar eens een ssh daemon open op die machine en zie dan er maar voor te zorgen dat die gebruikers niet veel kunnen. Nee dan wordt het overzichtelijk. kun je weer gaan klooien met /bin/false (wat lang niet op elke configuratie goed werkt overigens) [/quote:5f1754efd9] Het opzetten van chroot met Openssh ;) http://snakeshit.nl/documentatie/html/chrootssh.html
  • [quote:39a7796edc="Tekkie"]In feite zou het goed zijn als die programma's PAM ondersteuning ingebouwd zouden hebben, in plaats van hun eigen virtual users mechanisme te bedenken. In PAM zitten allerlei mogelijkheden om authenticatie voor diverse services gescheiden te houden. Het lijkt in het begin even lastig om op te zetten, maar bijvoorbeeld active directory policies of nds vergen ook een hoop tijd om de initiele templates af te regelen. Veiligheid komt meestal niet op een plateautje aangedragen als het iets complexer word. En vergeet niet dat unix in eerste instantie een serverplatform is. Een ftpd als pureftpd heeft PAM, passwd en een eigen authenticatie mechanisme ingebouwd, plus een leuke grafische fontend voor KDE, als je dat allemaal wilt. http://www.pureftpd.org/ - kijk daar anders eens naar.[/quote:39a7796edc] Dan praat je inderdaad al een klein beetje over een rol gebaseerd mechanisme. gebruiker x mag dit wel en dat niet. Er is niks tegen centraal opslaan van users en passwords, integendeel maar bij een Unix is dat veel te gevaarlijk waardoor nu veel gebruik gemaakt wordt met virtual users. PAM is een misschien straks het sleutelwoord voor dit soort zaken Ikzelf draai al jaren geen ftp server meer, hooguit voor privé doeleinden (één virtuele user op enkel LAN) maar moch ik ooit een ftp server opzetten zou deze met PAM moeten werken en de mogelijkheden moeten hebben van proftpd zoals virtual servers anders zullen het virtual users blijven. Voor zover ik weet is pureftpd een behoorlijk kale ftp server Maar wat wel grappig is, ook hier staat met koeienletters dat deze wel virtual users ondersteund... dat zegt toch wel wat ;)
  • Bedankt allemaal voor jullie wijze woorden. Ik heb in plaats van Proftpd nu VSFtpd omdat dat al standaard was geinstalleerd, en beter volgens een vriend die ik sprak. Het werkt nu "redelijk" maar ik vind de beveiliging wel van cruciaal belang. Ik heb nu 5 systeemusers maar die kunnen veel te veel. Anonymous staat nu uit, maar als 1 van die 5 gebruikers inlogt kan-ie zo naar een higher level gaan, iets wat ik niet wil. Ik heb daar nog geen oplossing voor bedacht. Zo kan elke user zien wat er zoal op mijn computer staat en dat wil ik niet. Het is de bedoeling dat, net als bij elk standaard webhosting bedrijf je gewoon na het succesvol inloggen één map krijgt, en niet naar hoger niveau kunt. Alle bestanden in deze map worden standaard ge-chmod op 755 door VSFTPD. Ik snap niet waarom die standaard 022 doet, lijkt me vrij onlogisch dat de eigenaar zelf de minste rechten heeft? Bovendien krijgt de gebruiker nu na het inloggen allemaal .file bestanden zoals .Xemacs en .Bluefish, en ik wil gewoon een lege map bij elke user. Dat komt waarschijnlijk omdat elke user na het inloggen in zijn /home komt waar die instellingen etc staan opgeslagen. Hoe pas ik dat aan. Ik heb de users aangemaakt met useradd naam -d /home/userX -p **** Ik wil dus dat elke user alleen maar een map moet krijgen die in de public directory van mijn webserver staat, dus bijvoorbeeld: http://mijnip:1234/members/pietje waar hij bestanden kan uploaden, verwijderen, renamen, verplaasen, mappen kan maken, etc, maar verder hoeven ze geen enkel recht op het systeem, dus virtuele users lijken me beter, zegmaar wat ik vroeg had bij FileZilla onder windows. Die gebruikers hebben ook alleen FTP rechten op 1 map en niet op de rest van de pc. Wie kan mijn vertellen hoe ik dit doe, of een tutorial geven. Alle tutorials die ik tot nu toe vind leggen namelijk alleen maar uit hoe je een ftp installeert, en gaan totaal NIET in op beveiliging, instellingen, voorzieningen, rechten, home directory's ,etc Ook wil ik graag weten hoe ik evt. een bepaalde map (bijv /home/lennard) kan mounten in /var/www/html/members/lennard. Ik kan namelijk [code:1:4e7c89bab3]mount /home/lennard /var/www/html/members/lennard[/code:1:4e7c89bab3] doen, maar dan krijg ik een foutmelding. Kan dit wel en wat doe ik fout?[/code]
  • wellicht biedt mijn (kleine) how to enig inzicht / hulp? http://www.fedora-nieuws.nl/document/ftp.html succes

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.