---

....eller også har jeg bare lavet en fejl. Det er nok det sidste, men så
er der sikkert nogle, som kan rette den! :)

Det går ud på, at jeg satte Proftpd op efter vejledningen på
http://www.gnuskole.dk/bog/proftpd.html

Når jeg genstarter Xinetd, så kører FTP'en ganske rigtigt også. Jeg
prøvede en nmap for at se om den var aktiv og det var den. Men når jeg
forsøger at få kontakt til den, skriver den blot:

"421 Service not available, remote server has closed connection".

Umiddelbart ville jeg gætte på et firewall problem, men jeg har været
inde i Lokkit og slået FTP til. Hvis jeg kører en
# iphains --list

Så er FTP også med i listen! Se selv:
"ACCEPT tcp -y---- anywhere anywhere any -> ftp".

Jeg vil gå ud fra, at Lokkit gør det korrekt, FTP er nummer tre i listen
fra oven og de regler, som står ovenover er til henholdsvis SSH og
HTTPD, så de burde ikke genere FTP.

Hvad mangler jeg at gøre?

Desuden har jeg lige nogle sikkerhedsmæssige overvejelser, som jeg gerne
vil høre andres mening om. I en perfekt verden kunne jeg godt tænke mig,
at jeg havde adgang til alle mine filer via FTP. Men pga. at FTP jo ikke
krypterer adgangskoder osv, så er jeg lidt nervøs for at åbne op for
hele herligheden. I proftpd har jeg begrænset brugerne til deres /home
dir, men jeg ved ikke om det er nok. Hvad er mulighederne for at skade
systemet? Er der nogle strategier, som jeg kan bruge for at mindske
skaderne?

Det eneste jeg har kørende er HTTPD, FTP og SSH. Samt den der SunRPC,
som jeg gerne vil af med, men ikke ved om systemet kan undvære. Lokkit
er desuden sat til "high security".

/Søren

--
Fjern "nospam" fra e-mailadressen, hvis du vil maile til mig!
www: http://www.sjl.dk/

---

Søren Jacob Lauritsen wrote
> ...eller også har jeg bare lavet en fejl. Det er nok det sidste, men
så
> er der sikkert nogle, som kan rette den! :)

Nå jeg fandt den selv. Hvis jeg lader Proftpd køre som Root, så virker
det, men er det særlig smart? Jeg mener, kan man ikke udnytte det?
Brugerne har kun adgang til deres /home/~user

Hvis jeg lader Proftpd køre som en anden user, så får jeg vel problemer
med at åbne port 21! Eller hvordan hænger det sammen?

/Søren

--
Fjern "nospam" fra e-mailadressen, hvis du vil maile til mig!
www: http://www.sjl.dk/

---

Søren Jacob Lauritsen wrote:

> Søren Jacob Lauritsen wrote
>> ...eller også har jeg bare lavet en fejl. Det er nok det sidste, men
> så
>> er der sikkert nogle, som kan rette den! :)
>
> Nå jeg fandt den selv. Hvis jeg lader Proftpd køre som Root, så virker
> det, men er det særlig smart? Jeg mener, kan man ikke udnytte det?
> Brugerne har kun adgang til deres /home/~user
>
> Hvis jeg lader Proftpd køre som en anden user, så får jeg vel
> problemer med at åbne port 21! Eller hvordan hænger det sammen?

Man plejer normalt at køre ftp-servere enten som root (dvs. de skifter
bruger straks der er logget ind) eller også binder man først til en
port og skifter bruger herefter.

Proftpd gør svjh det første...

Rasmus

--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
"Aren't you ashamed of yourself?"
"No, I have people to do that for me."
--------------------------------- [ moffe at amagerkollegiet dot dk ] --

---

Rasmus Bøg Hansen wrote
> Proftpd gør svjh det første...

Det læste jeg også et eller andet om...
Så det er ikke så farligt igen?

For resten er der så en som kan forklare, hvordan jeg opretter et dir,
som alle mine brugere kan se? Altså en slags fælles dir?

/Søren

--
Fjern "nospam" fra e-mailadressen, hvis du vil maile til mig!
www: http://www.sjl.dk/

---

Søren Jacob Lauritsen <devnull@nospam.sjl.dk> skrev i en
news:6fVF7.8569$Ip2.523792@news010.worldonline.dk...
> Rasmus Bøg Hansen wrote
> > Proftpd gør svjh det første...
>
> Det læste jeg også et eller andet om...
> Så det er ikke så farligt igen?
>
> For resten er der så en som kan forklare, hvordan jeg opretter et dir,
> som alle mine brugere kan se? Altså en slags fælles dir?


chmod a+rwx dir

hvor dir er det aktuelle du ønske at give alle ret til.

a - all
g - group
u - user

Jørn

---

Søren Jacob Lauritsen wrote:

> Rasmus Bøg Hansen wrote
>> Proftpd gør svjh det første...
>
> Det læste jeg også et eller andet om...
> Så det er ikke så farligt igen?

IMHO nej. På et eller andet punkt er den nødt til at være root for at
kunne binde til lave porte og at skifte bruger.

> For resten er der så en som kan forklare, hvordan jeg opretter et dir,
> som alle mine brugere kan se? Altså en slags fælles dir?

Et dir, som man skal logge særligt ind for at kunne se? Det kan gøres
med et (pseudo-)anonymt login.

Eller et dir som underkatalog til folks brugerkataloger? Hvis folks
brugerkataloger er chroot'ede, er du nødt til at lave bind-mounts
(eller nogle andre fiks-fakserier). Er de ikke gør du det ved at give
alle eksekverings- og læseret:

chmod og+rx dir

Rasmus

--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
Life is that property, which a being will lose as a result of falling
out of a cold and mysterious cave 30 miles above ground level.
- HitchHikers Guide to the Galaxy, Douglas Adams
--------------------------------- [ moffe at amagerkollegiet dot dk ] --

---

Rasmus Bøg Hansen wrote
> Eller et dir som underkatalog til folks brugerkataloger?

Det er et dir, som ligger et bestemt sted (f.eks. /home/pub), men
optræder i alle brugernes kataloger. Så det ser ud for brugeren som om,
at det er et underkatalog for deres katalog. De kan bare ikke slette
det.

Kataloget skal kun optræde, når de er logget på FTP'en. Dvs. jeg vil
nødig skulle lave et link til kataloget, hvis det kan undgås.

> Hvis folks brugerkataloger er chroot'ede, er du nødt til at lave
bind-mounts
> (eller nogle andre fiks-fakserier).

Det forstår jeg ikke! :) Hvordan kan jeg kontrollere dette?

/Søren

---

Søren Jacob Lauritsen <devnull@nospam.sjl.dk> skrev i en
news:dPBG7.878$Q3.55165@news010.worldonline.dk...

>
> Kataloget skal kun optræde, når de er logget på FTP'en. Dvs. jeg vil
> nødig skulle lave et link til kataloget, hvis det kan undgås.

Dvs. at proftpd skal oprette linket når en bruger logger ind, og fjerne det
igen når forbindelsen nedlægges. Netop det "smarte" ved at ftp serveren kan
afvikle en masse programmer har vist været årsag til at wuftp har haft mange
sikkerhedsproblemer, og dette er bevidst fravalgt med proftpd (afaik).
Derfor tror jeg ikke det kan lade sig gøre direkte. Er der noget galt ved at
dine brugere har et fast symbolsk link fra deres homedir til et pub-dir
uafhængigt af om de er telnet/ftp ind ?

Jørn

---

Jørn Hundebøll wrote
> Derfor tror jeg ikke det kan lade sig gøre direkte. Er der noget galt
> ved at dine brugere har et fast symbolsk link fra deres homedir
> til et pub-dir uafhængigt af om de er telnet/ftp ind ?

Nej egentlig ikke, jeg troede bare, at FTP-serveren på samme måde som
webserveren kunne sættes til at lave en slags alias for et katalog, når
brugerne var logget på!

Men hvis det kan klares med et symbolsk link, så gør jeg da bare det! Er
der noget jeg skal være specielt opmærksom på, sikkerhedsmæssigt, ved
den løsning?

For resten så har brugerne ikke adgang via telnet, det tør jeg
simpelthen ikke slå til!

/Søren

--
Fjern "nospam" fra e-mailadressen, hvis du vil maile til mig!
www: http://www.sjl.dk/