Hallo *, gibt's in dieser Liste Leute, die sich mit Brettern auskennen? Insbesondere wie man selbige von Köpfen entfernt? Ich spiele gerade ein bisschen mit 'nem ftp-Server. Ziel ist es, nur bestimmten Benutzern Zugriff auf diesen Server zu geben. Ich trage die Leute in /etc/passwd ein, gebe ihnen als shell /bin/false und als ~ /usr/local/ftp/pub. Klappt, bis auf die Tatsache, dass diese Benutzer nicht ge-chroot-ed werden. Weder bei wu-ftp noch bei proftp. Ich habe mir mal die How-Tos angesehen, aber da gibt's den chroot-Modus immer nur für anonymous ftp, und das will ich ja nun wieder nicht. Hat hier jemand eine Idee? Martin -- when in danger or in doubt, run in circles, scream and shout! pgp-key: via wwwkeys.de.pgp.net, key id is 0x21eec9b0
Martin Borchert wrote:
Hallo *,
gibt's in dieser Liste Leute, die sich mit Brettern auskennen? Insbesondere wie man selbige von Köpfen entfernt?
Ich spiele gerade ein bisschen mit 'nem ftp-Server. Ziel ist es, nur bestimmten Benutzern Zugriff auf diesen Server zu geben. Ich trage die Leute in /etc/passwd ein, gebe ihnen als shell /bin/false und als ~ /usr/local/ftp/pub. Klappt, bis auf die Tatsache, dass diese Benutzer nicht ge-chroot-ed werden. Weder bei wu-ftp noch bei proftp.
Klar geht das bei ProFTP: DefaultRoot /usr/local/ftp/pub public,users <-- das Ausrufezeichen vor users entfernen. --
From : Rene Broichmann Registered Linux User EMail: rene.broichmann@gmx.de Number 127912 ICQ : 31520373
Am 06-Sep-2001 wuchtete Martin Borchert folgendes in die Tasten:
[...] Ich spiele gerade ein bisschen mit 'nem ftp-Server. Ziel ist es, nur bestimmten Benutzern Zugriff auf diesen Server zu geben. Ich trage die Leute in /etc/passwd ein, gebe ihnen als shell /bin/false und als ~ /usr/local/ftp/pub. Klappt, bis auf die Tatsache, dass diese Benutzer nicht ge-chroot-ed werden. Weder bei wu-ftp noch bei proftp. [....]
Der Eintrag DefaultRoot ~/ is aber schon in deiner *ftp.conf vorhanden oder ? -- 7:41pm up 18 days, 8:36, 2 users, load average: 0.45, 0.20, 0.11 Experience is that marvelous thing that enables you recognize a mistake when you make it again. -- F. P. Jones
Am Donnerstag, 6. September 2001 19:44 schrieb Schneider Christian:
Am 06-Sep-2001 wuchtete Martin Borchert folgendes in die Tasten:
[...] Ich spiele gerade ein bisschen mit 'nem ftp-Server. Ziel ist es, nur bestimmten Benutzern Zugriff auf diesen Server zu geben. [...] Klappt, bis auf die Tatsache, dass diese Benutzer nicht ge-chroot-ed werden. Weder bei wu-ftp noch bei proftp. [....] Der Eintrag DefaultRoot ~/ is aber schon in deiner *ftp.conf vorhanden oder ?
Schönes Gefühl, wenn der Schmerz nachlässt... Danke. Martin -- when in danger or in doubt, run in circles, scream and shout! pgp-key: via wwwkeys.de.pgp.net, key id is 0x21eec9b0
Am Donnerstag, 6. September 2001 19:58 schrieb Martin Borchert:
Am Donnerstag, 6. September 2001 19:44 schrieb Schneider Christian:
Am 06-Sep-2001 wuchtete Martin Borchert folgendes in die Tasten:
[...] Ich spiele gerade ein bisschen mit 'nem ftp-Server. Ziel ist es, nur bestimmten Benutzern Zugriff auf diesen Server zu geben.
[...]
Klappt, bis auf die Tatsache, dass diese Benutzer nicht ge-chroot-ed werden. Weder bei wu-ftp noch bei proftp. [....]
Der Eintrag DefaultRoot ~/ is aber schon in deiner *ftp.conf vorhanden oder ?
Schönes Gefühl, wenn der Schmerz nachlässt... Danke.
chroot geht nur, wenn der daemon als root läuft. Wenn du ihn als non-root Prozess laufen hast und chroot einsetzen willst, musst du den Kernel entsprechen patchen. Such dazu mal im LKML-Archiv. War ein langer thread...
Martin
Robert
Hallo Robert Szentmihalyi, Am Donnerstag, 6. September 2001 um 20:21 schriebst Du:
DefaultRoot ~/ chroot geht nur, wenn der daemon als root läuft. Wenn du ihn als non-root Prozess laufen hast und chroot einsetzen willst, musst du den Kernel entsprechen patchen.
kann ich so nicht bestätigen und weiss aber auch nicht wieso es dennoch läuft. Mein proftpd Server hat folgende Config (+ paar weitere Zeilen): # Set the user and group that the server normally runs at. User nobody Group nogroup [...] DefaultRoot ~ !users und klappt wunderbar. ps -aux ergibt: stonki@linux:~ > ps -aux | grep proftpd nobody 17596 0.0 0.7 2660 1464 ? S 08:11 0:03 proftpd: user - pxxxxxxxx.dip.t-dialin.net: RETR xxx-xxxx.xxx stonki 18605 0.4 0.9 2816 1748 ? S 09:26 0:00 proftpd: stonki - router.xxxx.de: IDLE user ist nicht bei mir eingetragen, sondern wird über eine mysql db verwaltet, läuft als nobody geCHROOTed. wenn ich mich als user einlogge, läuft proftpd unter meiner ID. CHROOT klappt auch (obwohl ich es bei mir nicht habe). Gleichwohl steht unter http://pdd.sourceforge.net/userguide/linked/x317.html genau das was Du gesagt hast, ich werde mal nachfragen in der ML, wieso es dennoch klappt. cu stonki deutsche Nano (mini wäre übertrieben) Doku zu proftpd (liste der anweisungen): www.stonki.myftp.org/proftpd-doc/proftpd-doc.php -- The More I See, The More I Know. The More I Know, The Less I Understand
Die Loesung: für wu.ftpd alle User die chrooted rein sollen mit der direktive guestuser <USERNAME> oder die Usre in eine Gruppe und dann guestgroup <GROUPNAME> aber achtung nicht vergessen sachen wie /bin/ls,... sollten auch in das verzeichnis kopiert werden, da die user sonst nix sehen werden!!! lg wolfgang -----Original Message----- From: Martin Borchert [mailto:martin.borchert@gmx.de] Sent: Thursday, September 06, 2001 7:20 PM To: suse-linux@suse.com Subject: ftp-Benutzer chrooten Hallo *, gibt's in dieser Liste Leute, die sich mit Brettern auskennen? Insbesondere wie man selbige von Köpfen entfernt? Ich spiele gerade ein bisschen mit 'nem ftp-Server. Ziel ist es, nur bestimmten Benutzern Zugriff auf diesen Server zu geben. Ich trage die Leute in /etc/passwd ein, gebe ihnen als shell /bin/false und als ~ /usr/local/ftp/pub. Klappt, bis auf die Tatsache, dass diese Benutzer nicht ge-chroot-ed werden. Weder bei wu-ftp noch bei proftp. Ich habe mir mal die How-Tos angesehen, aber da gibt's den chroot-Modus immer nur für anonymous ftp, und das will ich ja nun wieder nicht. Hat hier jemand eine Idee? Martin -- when in danger or in doubt, run in circles, scream and shout! pgp-key: via wwwkeys.de.pgp.net, key id is 0x21eec9b0 -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
participants (6)
-
Homer J Simpson -
Martin Borchert -
Rene Broichmann -
Robert Szentmihalyi -
Schneider Christian -
Stefan Onken