Problem z PROFTPD

[helliste]

Witam, na początku przepraszam jeżeli napisałem w złym dziale, ale przejdźmy do rzeczy:

Na dedyku (serwer dedykowany) stoi Debian 4. wraz z nim (hmm, defaultowo?) zostało zainstalowane ProFtpD. Niby wszystko ok (pomijając fakt że nie mogę na ftp się zalogować jako root choć usunąłem wpis z ftpusers), ftp chodzi. Lecz nie ejst do końca tak jak chce, bo owy użytkownik ma jeszcze dostęp do shella, a ja chce dać mu tylko ftp. Niby rozwiązanie proste - zmienić mu powłokę na false lub null. Wpisuje usermod -s /bin/false tomek lub usermod -s /bin/null tomek i wraz z dostępem do shella user traci również ftp...

Może mi ktoś pomóc?

A może lepiej dla root'a użyć sftp?

M.

A co do usera to możesz dać /dev/null lub nologin w ustawieniach powłoki.

M.

[helliste]

A może lepiej dla root'a użyć sftp?

M.

Można więcej info? Wiesz, jestem newbie...

Kurde, mam jakiegoś niedorobionego debiana? Zmieniłem na /dev/null, w progsie do ftp rozłączyło i już... nie połączyło ponownie.

"usermod -s /dev/null psychol"

"Status:   Connected with 85.25.141.172. Waiting for welcome message...
Response:   220 FTP Server ready.
Command:   USER psychol
Response:   331 Password required for psychol.
Command:   PASS ******
Response:   530 Login incorrect.
Error:   Unable to connect!"

A możesz powiedzieć jak zrobić to nologin? Bo mi sie coś zdawało ze w passwd widziałem takie "coś", ale chodzi mi o to czy jest taka komenda?

EDIT: zedytowałem passwd, tak to wygląda "psychol:x:1001:65534:,,,:/home/psychol:/usr/sbin/nologin" i nadal nic :? jest ktoś w stanie mi pomóc?

U mnie nologin jest w /sbin/nologin mam nadzieję, że sprawdziłeś u siebie?!

Zobacz to:
http://www.onlamp.com/pub/a/bsd/2001/06/28/Big_Scary_Daemons.html

M.

[helliste]

Tak, sprawdzałem... Dałem na nologin to shell nie działał (pisało coś ze konto wyłączone), ale ftp również -.-

ja mam to w usr/sbin/nologin, na shellu mam wtedy

Kod: [Zaznacz]

[SSH] Protocol Version 2 (OpenSSH_4.3p2 Debian-9)
[SSH] Cipher: aes128-cbc

Logged in (password)

Linux foxtrot352.host1.pl 2.6.18-5-k7 #1 SMP Wed Sep 26 18:29:20 UTC 2007 i686
Last login: Mon Oct  8 18:02:45 2007 from staticline41301.toya.net.pl
Linux foxtrot352.host1.pl 2.6.18-5-k7 #1 SMP Wed Sep 26 18:29:20 UTC 2007 i686
This account is currently not available.


[SSH] INFO: DISCONNECT

Ale oczywiście ftp też nie działa, później przejrzę dokładnie stronkę i zobaczę co dalej

Tu jeszcze coś jest:
http://www.castaglia.org/proftpd/doc/contrib/ProFTPD-mini-HOWTO-Authentication.html

M.

U mnie zmiana w /etc/passwd na /bin/false rozwiązała problem.

M

I możesz zobaczyć tu:
http://www.cyberciti.biz/tips/linux-prevent-normal-users-from-logging-into-system.html

M.

[xavery]

A czy zmieniając domyślny shell dla tego usera masz go zdefiniowanego w /etc/shells? Przy autentykacji często stosowany jest moduł pam_shells.so (chociaż znając Debiana może on się nazywać zupełnie inaczej:) ) który sprawdza shell użytkownika w /etc/shells i jeśli tam go nie ma (a shella typu nologin może nie być) to odmawia autentykacji.

[helliste]

U mnie zmiana w /etc/passwd na /bin/false rozwiązała problem.

przeczytaj pierwszy post, pisałem o tym że nie działa... właśnie powinno a nie śmiga

Kod: [Zaznacz]

foxtrot352:/etc# cat shells
# /etc/shells: valid login shells
/bin/csh
/bin/sh
/usr/bin/es
/usr/bin/ksh
/bin/ksh
/usr/bin/rc
/usr/bin/tcsh
/bin/tcsh
/usr/bin/esh
/bin/bash
/bin/rbash
/usr/bin/screen

I VIM'em dodałem /home/psychol i nadal nic... jest jeszcze ktoś w stanie mi pomóc? Już zaczyna mi brakować sił, muszę mieć to skonfigurowane... w ostateczności zmienię system (choć bardzo nie chcę), jak tak to jaki polecacie? Red Hat'a?

A próbowałeś vsftpd? Popularny jest. Ja używam na openSUSE.

M.

[xavery]

# /etc/shells: valid login shells
...

I VIM'em dodałem /home/psychol i nadal nic...

/home/psychol to, jak domniemywam, katalog domowy. A plik /etc/shells zawiera listę ważnych _powłok_. Powinien zawierać pełne ścieżki dostępu do powłok których posiadacze mogą się logować np. przez ftp. Nie dodawaj zatem katalogu domowego, lecz plik fałszywej powłoki np. /usr/sbin/nologin czy jak to tam masz.

[ultr]

Generalnie jeżeli user ma mieć tylko ftp, to dodawanie go do całego systemu a potem odcinanie od wszystkich usług poza ftp jest co najmniej nieeleganckie. A często powoduje problemy i jednym może zadziałać, a innym nie. Wpływa na to masa czynników, jak np. wspomniany PAM i jego konfiguracja - różna dla różnych dystrybucji.

Dlatego polecałbym zainteresować się wirtualnymi kontami dla ftp. Konto takie istnieje tylko dla serwera ftp i logowanie następuje z prawami pewnego dedykowanego do tego celu usera.

Tutaj jest sporo na ten temat: http://www.castaglia.org/proftpd/doc/contrib/ProFTPD-mini-HOWTO-VirtualUsers.html
i link z powyższej strony:
http://www.castaglia.org/proftpd/doc/contrib/ProFTPD-mini-HOWTO-AuthFiles.html

Krótko:
Tworzysz usera obsługującego ftp (np ftp, grupa ftp, uid:999, gid:999). Konfigurujesz proftpd zgodnie z tymi stronkami, a w pliku userów ftpa umieszczasz odpowiednie wpisy pamiętając o nadaniu różnych katalogów domowych i zabronieniu wyjścia ponad nie.
Katalogi domowe tworzysz jako user ftp, albo ustawiasz w konfigu CreateHome, czyli ich automatyczne tworzenie, przy pierwszym logowaniu. Więcej na stronie dokumentacji ProFTPD: http://www.proftpd.org/docs/
Możesz też pobawić się, aby tylko grupa wirtualnych userów miała takie ustawienia jak ograniczenie do katalogu domowego. Więcej na stronie dokumentacji.

Polecam najprostszy sposób, czyli stworzenie pliku z danymi użytkowników ftp, choć można bawić się w wykorzystanie MySQL.

[helliste]

xavery, dzięki Ci bardzo! Dodałem tam /bin/false i już wszystko śmiga dziękuję również innym za udział w dyskusji.

Pozdrawiam całą ekipę linux.pl