Hallo Liste, ich bräuchte mal einen kleinen Tip, wie ich einem ftp-user (ist eine mir weitgehend fremde Person) den Zugang zu seinem ~/.. unterbinden kann? Ich habe nämlich gerade festgestellt, dass man überall Leserechte hat, und das kann ja wohl nicht sinn der Sache sein. am liebsten wäre mir sowas in der Art ln -s ~/.. ~/. damit er nicht mehr rauskommt (.. führt wieder in das gleiche Verzeichnis zurück :-) oder gar ein chmod -x ~/.. ersteres geht nicht, weil schon vorhanden, letzteres geht nicht, weil sonst ladet er beim einloggen in / (login-shell ist /bin/false) Wer kann mir helfen? Grüße Raphael Becker -- _ _ Powered by SuSE___ ___ _ | | (_)_ _ _ ___ __ |_ ) |_ ) / | | |__| | ' \ || \ \ / / / _ / / _| | |____|_|_||_\_,_/_\_\ /___(_)___(_)_| -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
Raphael Becker wrote:
... Nachtrag: und bitte kein RTFM oder man ftpaccess! ich habe die manpage gelesen und bin über die option "guestgroup" gestolpert, aber irgendwie werde ich aus der Sache nicht schlau. Kann ich damit was ausrichten? Wenn ja (wovon ich ausgehe) wie? Folgendes habe ich schon versucht (lauf man ftpaccess): ich habe eine Gruppe "ftpguest" angelegt. In diese Gruppe habe ich die betreffende Person gesteckt. In der Datei /etc/ftpaccess habe ich die Zeile "guestgroup ftpguest" hinzugefügt (am Ende). Laut "man ftpacess" soll man nun die Datei /etc/passwd konfigurieren und die Zeile des (schon vorhandenen accounts) wie folgt umändern: guest1:<passwd>:<UID>:<GID>:<Beschreibung des Users>:/ftp/./incoming:/etc/ftponly. Das soll angeblich chroot("/ftp") bewirken und anschliessend nach "/incoming" wechseln. Der User soll dann nur bis zum "realen /ftp" hochkommen und dieses als "/" wahrnehmen. In der Theorie ganz schön, unklar ist noch, was /etc/ftponly für eine Datei sein soll (keine manpage und auch nicht vorhanden). Ich habe ersatzweise /bin/false eingetragen (geht nämlich, wenn man ohne guestgroup arbeitet. ------------ Nochmal zur Erinnerung: ich habe jemandem einen FTP-Zugang zu meinem Server gegeben, damit er dort seine Sachen anbieten kann (ich will einen kleinen mirror hosten). Ich habe aber keine Lust, dass derjenige sich mein ganzes System ansehen kann und suche nach einer Möglichkeit seinen Zugang nur bis nach ~ftp/ zu geben (in meinem Fall ist das /usr2/ftp), der Zugang nach /usr2 (bzw ~ftp/..) soll verhindert werden. Danke schonmal Grüße Raphael P.S. Es handelt sich um ein SuSE 5.3 System -- _ _ Powered by SuSE___ ___ _ | | (_)_ _ _ ___ __ |_ ) |_ ) / | | |__| | ' \ || \ \ / / / _ / / _| | |____|_|_||_\_,_/_\_\ /___(_)___(_)_| -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
Hallo,
Raphael Becker wrote:
... Nachtrag:
und bitte kein RTFM oder man ftpaccess!
ich habe die manpage gelesen und bin über die option "guestgroup" gestolpert, aber irgendwie werde ich aus der Sache nicht schlau. Kann ich damit was ausrichten? Wenn ja (wovon ich ausgehe) wie?
Folgendes habe ich schon versucht (lauf man ftpaccess):
ich habe eine Gruppe "ftpguest" angelegt. In diese Gruppe habe ich die betreffende Person gesteckt. In der Datei /etc/ftpaccess habe ich die Zeile "guestgroup ftpguest" hinzugefügt (am Ende).
Hier fehlt noch ein Eintrag in ftpaccess: " class local guest * "
Laut "man ftpacess" soll man nun die Datei /etc/passwd konfigurieren und die Zeile des (schon vorhandenen accounts) wie folgt umändern: guest1:<passwd>:<UID>:<GID>:<Beschreibung des Users>:/ftp/./incoming:/etc/ftponly.
Das soll angeblich chroot("/ftp") bewirken und anschliessend nach "/incoming" wechseln. Der User soll dann nur bis zum "realen /ftp" hochkommen und dieses als "/" wahrnehmen. Richtig, Wurde aber auch eine ftpdir-Umgebung in /ftp installiert (mit bin, etc, lib usw?)
In der Theorie ganz schön, unklar ist noch, was /etc/ftponly für eine Datei sein soll (keine manpage und auch nicht vorhanden). Ich habe ersatzweise /bin/false eingetragen (geht nämlich, wenn man ohne guestgroup arbeitet.
ich verwende hier /bin/passwd, damit kann man wenigstens sein Passwort aendern ;-) MfG Hans FOertsch -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
At 21:05 15.02.99 +0100, Raphael Becker wrote:
Raphael Becker wrote:
... Nachtrag:
und bitte kein RTFM oder man ftpaccess!
am besten Du holst Dir den ProFtpd, dann gibst Du die Zeile "DefaultRoot ~" in dessen config, an und schon bleiben alle in ihrem homeverzeichnis ! Und Du mußt bei proftpd nicht einmal ein bin oder etc darin anlegen ! www.proftpd.org und servus Hans Klein -- <A HREF="http://www.net-con.net"><A HREF="http://www.net-con.net</A">http://www.net-con.net</A</A>> -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
Raphael Becker wrote: Fazit: Ich habe es inzwischen gelöst (danke an Hans, sein Tip hat als erstes auf Anhieb geklappt), es lag an einer fehlen den Zeile in der ftpaccess (die Sache mit "class" und so). Da ich unabhängig sehr oft den Hinweis auf ProFTP bekommen habe (auch per PM), werde ich mir das nochmal anschauen, vorerst gehts aber noch so. Danke Gruß Raphael Becker -- _ _ Powered by SuSE___ ___ _ | | (_)_ _ _ ___ __ |_ ) |_ ) / | | |__| | ' \ || \ \ / / / _ / / _| | |____|_|_||_\_,_/_\_\ /___(_)___(_)_| -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
beckerra@rumms.uni-mannheim.de,Internet schreibt:
Da ich unabhängig sehr oft den Hinweis auf ProFTP bekommen habe (auch per PM), werde ich mir das nochmal anschauen, vorerst gehts aber noch so.
Egal ob wuftpd oder proftpd, auf jeden Fall erst bei SuSE das Update holen. Sicherheitslücke !! mfg Dirk Orlet dor@dmb-sll.de -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
moin.. bei suse liegt doch proftpd 1.2.0pre1 (gestern noch jedenfalls), der hat aber auch noch den buffer overflow bug, soweit ich informiert bin. auf www.proftpd.org liegt 1.2.0pre2, den wuerde ich auf alle faelle vorziehen. falls ich mich irre, vergesst die mail :) ciao Am/Um 10:50 16.02.1999 +0100 schrieben Sie:
beckerra@rumms.uni-mannheim.de,Internet schreibt:
Da ich unabhängig sehr oft den Hinweis auf ProFTP bekommen habe (auch per PM), werde ich mir das nochmal anschauen, vorerst gehts aber noch so.
Egal ob wuftpd oder proftpd, auf jeden Fall erst bei SuSE das Update holen. Sicherheitslücke !!
mfg Dirk Orlet dor@dmb-sll.de -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
-- Deutscher Paritätischer Wohlfahrtsverband Heinrich-Hofmann-Str. 3 60528 Frannkfurt/Main Matthias Strack 069/6706-256 -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
Hi Du brauchst "proftpd". Damit laesst sich das auf einfachste Weise bewerkstelligen. Da kannst Du einem User eine FTP-Umgebung anbieten, die "chrooted" ist. Als Shell kannst Du ihm einfach /bin/false geben. Ich schlage vor, Du schaust Dir das mal an. Ach - und es gibt auch ein "Virtual Hosting" HOWTO (heisst evtl. etwas anders). Gibts auf jedem LDP-Mirror. Da wird unter anderem auch auf solche Dinge eingegangen. Thomas T h o m a s L i n d e n | "Bequemlichkeit ist irrelevant" <A HREF="mailto:tom@daemon.de">mailto:tom@daemon.de</A> | Seven of Nine, Voyager On Mon, 15 Feb 1999, Raphael Becker wrote:
Date: Mon, 15 Feb 1999 21:05:53 +0100 From: Raphael Becker <beckerra@rumms.uni-mannheim.de> To: SuSE Mailinglist <suse-linux@suse.com> Subject: Re: ftp-Zugang
Raphael Becker wrote:
... Nachtrag:
und bitte kein RTFM oder man ftpaccess!
ich habe die manpage gelesen und bin über die option "guestgroup" gestolpert, aber irgendwie werde ich aus der Sache nicht schlau. Kann ich damit was ausrichten? Wenn ja (wovon ich ausgehe) wie?
Folgendes habe ich schon versucht (lauf man ftpaccess):
ich habe eine Gruppe "ftpguest" angelegt. In diese Gruppe habe ich die betreffende Person gesteckt. In der Datei /etc/ftpaccess habe ich die Zeile "guestgroup ftpguest" hinzugefügt (am Ende). Laut "man ftpacess" soll man nun die Datei /etc/passwd konfigurieren und die Zeile des (schon vorhandenen accounts) wie folgt umändern: guest1:<passwd>:<UID>:<GID>:<Beschreibung des Users>:/ftp/./incoming:/etc/ftponly.
Das soll angeblich chroot("/ftp") bewirken und anschliessend nach "/incoming" wechseln. Der User soll dann nur bis zum "realen /ftp" hochkommen und dieses als "/" wahrnehmen.
In der Theorie ganz schön, unklar ist noch, was /etc/ftponly für eine Datei sein soll (keine manpage und auch nicht vorhanden). Ich habe ersatzweise /bin/false eingetragen (geht nämlich, wenn man ohne guestgroup arbeitet.
------------
Nochmal zur Erinnerung: ich habe jemandem einen FTP-Zugang zu meinem Server gegeben, damit er dort seine Sachen anbieten kann (ich will einen kleinen mirror hosten). Ich habe aber keine Lust, dass derjenige sich mein ganzes System ansehen kann und suche nach einer Möglichkeit seinen Zugang nur bis nach ~ftp/ zu geben (in meinem Fall ist das /usr2/ftp), der Zugang nach /usr2 (bzw ~ftp/..) soll verhindert werden.
Danke schonmal Grüße Raphael
P.S. Es handelt sich um ein SuSE 5.3 System -- _ _ Powered by SuSE___ ___ _ | | (_)_ _ _ ___ __ |_ ) |_ ) / | | |__| | ' \ || \ \ / / / _ / / _| | |____|_|_||_\_,_/_\_\ /___(_)___(_)_| -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
-- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
participants (6)
-
beckerra@rumms.uni-mannheim.de -
dmb_linux@dmb-sll.de -
Hans.Foertsch@kronach.baynet.de -
hansi.klein@net-con.net -
matthias.strack@paritaet.org -
thomas@daemon.de