Avaleht
uus teema   vasta Tarkvara »  Linux & UNIX »  FTP kasutaja ligipääs ühele kaustale? märgi kõik teemad loetuks
märgi mitteloetuks
vaata eelmist teemat :: vaata järgmist teemat
Hinnavaatlus :: Foorum :: Uudised :: Ärifoorumid :: HV F1 ennustusvõistlus :: Pangalink :: Telekavad :: HV toote otsing
autor
sõnum Saada viide sõbrale.  :: Teata moderaatorile teata moderaatorile
otsing:  
laurixx
HV vaatleja

liitunud: 27.07.2009
sõnum 24.12.2011 12:45:07 FTP kasutaja ligipääs ühele kaustale? vasta tsitaadiga
Sai loodud kasutaja oma root kaustaga, kuidas anda kasutajale ligipääs ainult ühele kindlale kaustale? Praegu on nii,et kasutaja visatakse oma root kausta küll, aga siiski on võimalus veel edasi tagasi seal puus liikuda.
Kommentaarid: 1 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 1
tagasi üles
vaata kasutaja infot saada privaatsõnum
troglodyte
Kreisi kasutaja
troglodyte

liitunud: 09.08.2002
sõnum 24.12.2011 14:17:09 vasta tsitaadiga
Tavaliselt FTP serverid pakuvad kasutaja chrootimise võimalust, kuidas täpsemalt seda teha sõltub kasutatavast FTP serveri tarkvarast
_________________
ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn
Kommentaarid: 34 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 34
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
Dogbert
HV Guru
Dogbert

liitunud: 03.05.2004
sõnum 24.12.2011 14:43:14 vasta tsitaadiga
Kas nüüd peab andma lahendused kõigile eksisteerivatele ftp serveritarkvaradele?

vsftpd puhul määrab juurkataloogi muutuja local_root

Kui tahetakse anda juurikaks kasutaja kodukataloog, siis local_root=/home/$USER

Kui tahetakse anda mingi kasutaja kodukataloogis olev alamkataloog, siis local_root=/home/$USER/katalooginimi
Kasutaja ei saa enda juurkataloogist ülespoole "ronida", alamkataloogid on aga loomulikult ligipääsetavad. vsftp ei luba ka sümboolseid linke, mille target asub väljaspool juurkataloogi (mõni muu ftp server võib seda lubada, vsftp aga mitte: http://radu.cotescu.com/vsftpd-and-symbolic-links/ )

Kui tahad kasutajad piirata üheainsa kataloogiga, siis tee igaühe kodukataloogi alamkataloog, nimega näiteks ftp, sel juhul local_root=/home/$USER/ftp

ja keelad neil alamkataloogide loomise cmds_denied=MKD - sel juhul on nad piiratud sellesama oma isikliku ftp kataloogiga.

Kui tahad kõik kasutajad ühte ja samasse ftp kataloogi kupatada, siis tee neile ühine rootkataloog kuhugi, näiteks /home/ftp ja local_root=/home/ftp

Et lokaalsed kasutajad üldse sisse pääseksid, peab olema local_enable=YES
_________________
Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus.
Kommentaarid: 33 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 32
tagasi üles
vaata kasutaja infot saada privaatsõnum
laurixx
HV vaatleja

liitunud: 27.07.2009
sõnum 24.12.2011 14:58:55 vasta tsitaadiga
SFTP Ubuntu 10 peal jooksmas.
Kommentaarid: 1 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 1
tagasi üles
vaata kasutaja infot saada privaatsõnum
Fukiku
Kreisi kasutaja
Fukiku

liitunud: 06.11.2003
sõnum 24.12.2011 15:18:04 vasta tsitaadiga
laurixx kirjutas:
SFTP Ubuntu 10 peal jooksmas.
SFTP != FTP. SFTP sättungeid peaks saama sshd_config failist sättida. sftp chroot config otsing google's oleks ilmselt abiks.
_________________
Foxic is just a simple fox
Enne kui sa küsid oma küsimuse - küsi seda vannipardilt! Rangelt soovitatav enne programmeerimise alafoorumisse uue teema tegemist.
Kommentaarid: 2 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 2
tagasi üles
vaata kasutaja infot saada privaatsõnum
Dogbert
HV Guru
Dogbert

liitunud: 03.05.2004
sõnum 24.12.2011 19:44:45 vasta tsitaadiga
Kui tal tõepoolest see ssh serveri peal töötab, kas see ei eelda mitte seda, et kõigil kasutajatel on ka ssh terminali sisselogimise võimalus? On seda ikka mõistlik lubada, kui ainult FTP-d tarvis on tegelikult? icon_neutral.gif Mul hakkab küll väike mõtteline hoiatustuli plinkima selle peale.
Kui kasutaja saab terminali sisse, siis on tema tegutsemist juba tunduvalt raskem kuhugi raamidesse suruda, jääb muidugi chrootimise ja individuaalsete binaaride ja teekide kogude ehitamise võimalus (mis on võrratult keerulisem võrreldes FTP seadistamisega) ja sellegipoolest on see riskantne, aga on seda jama ikka tarvis üldse?

Ühesõnaga, laurixx, on sul ainult FTP-d (SFTP-d) vaja kasutajatele pakkuda tegelikult?
_________________
Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus.
Kommentaarid: 33 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 32
tagasi üles
vaata kasutaja infot saada privaatsõnum
Fukiku
Kreisi kasutaja
Fukiku

liitunud: 06.11.2003
sõnum 25.12.2011 02:38:58 vasta tsitaadiga
Dogbert kirjutas:
Kui tal tõepoolest see ssh serveri peal töötab, kas see ei eelda mitte seda, et kõigil kasutajatel on ka ssh terminali sisselogimise võimalus? On seda ikka mõistlik lubada, kui ainult FTP-d tarvis on tegelikult? icon_neutral.gif Mul hakkab küll väike mõtteline hoiatustuli plinkima selle peale.
Kui kasutaja saab terminali sisse, siis on tema tegutsemist juba tunduvalt raskem kuhugi raamidesse suruda, jääb muidugi chrootimise ja individuaalsete binaaride ja teekide kogude ehitamise võimalus (mis on võrratult keerulisem võrreldes FTP seadistamisega) ja sellegipoolest on see riskantne, aga on seda jama ikka tarvis üldse?

Ühesõnaga, laurixx, on sul ainult FTP-d (SFTP-d) vaja kasutajatele pakkuda tegelikult?
Ma lihtsalt peaasjalikult viitasin faktile, et kui inimene räägib SFTP-st, siis tegemist on SSH otsa ehitatud failivahetus protokolliga mitte tavalise FTP-ga.. Väga põgusal guugeldamisel tundus, et põhimõtteliselt õnnestub täitsa konfida vist ka sedasi, et üle ssh saab ainult sftp-d teha - terminali sessiooni loomine aga hoopiski ära keelata.

Viimasel ajal tundub mulle, et inimestele pigem meeldib FTP ära keelata, kui krüpteerimata protokoll ja soosida pigem SFTP või SCP kasutamist, kuigi iseenesest saab ka seda FTP-d krüpteeritult rääkida FTPS nime all.

Aga tegelikult olen ma siiski paras diletant vist selles valdkonnas..
_________________
Foxic is just a simple fox
Enne kui sa küsid oma küsimuse - küsi seda vannipardilt! Rangelt soovitatav enne programmeerimise alafoorumisse uue teema tegemist.
Kommentaarid: 2 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 2
tagasi üles
vaata kasutaja infot saada privaatsõnum
Dogbert
HV Guru
Dogbert

liitunud: 03.05.2004
sõnum 25.12.2011 18:04:20 vasta tsitaadiga
vsftpd-ga saab väga hästi SFTP-d kasutada, ei pea SSH serverit vägistama. ssl_enable=YES ja rsa_cert_file=<pem-formaadis sertifikaat>
See on tõsi, et FTP, vähemalt anonüümne ja kirjutusõigusega FTP ei ole kuigi hea mõte - liiga palju tekitab süsteemi sissemurdmisvõimalusi.
vsftpd on väidetavalt selles suhtes üks turvalisemaid lahendusi - ftp server, mis just turvalisust esmajärjekorras silmas pidades loodud:
About vsftpd kirjutas:
vsftpd was designed and implemented from the ground up with security in mind.

It fixes fundamental design flaws present in most installations of wu-ftpd, proftpd and even bsd-ftpd by not over-using the dangerous root user.
It makes use of powerful security facilities such as capabilities and chroot.
It employs secure coding techniques to make buffer overflows a solved problem.
It is written by someone who is a vulnerability researcher.


Panen siia näiteks hästi lihtsa vsftpd konfi, mida ise kasutan (lisasin mõned selgitavad kommentaarid):
connect_from_port_20=NO # välistab active mode kasutamise ja lubab vsftpd-l töötada vähemate privileegidega - s.o turvalisem
# listen port on viidud pordile 62021
listen_port=62021
#ftp_data_port=20
listen=YES
local_enable=YES # lülitab sisse autentimise
pasv_enable=YES # passive mode lubamine
pasv_min_port=62020 # data portide algus
pasv_max_port=62020 # data portide lõpp (antud juhul kasutatakse ühtainsat porti)
port_enable=NO # PORT käsu keelamine
anonymous_enable=NO # anonüümsete kasutajate keelamine
# if chroot_local_user is set to YES, this becomes a list of users
# who are NOT chrooted
#chroot_list_enable=YES
chroot_local_user=YES # kuna kohalikel kasutajatel on lokaalvõrgus Samba kasutajana nagunii lokaalse kasutaja profiil olemas, siis ei tekita see lisaprobleeme. Kui FTP oleks eesmärk omaette ja kasutajad vähem usaldusväärsed, siis tuleks teha virtuaalsed kasutajad lokaalsete asemel (vt man vsftpd.conf)
#
mdtm_write=YES
#
# chroot jail location specified on per-user basis, derived from their
# home directory /etc/passwd.
passwd_chroot_enable=NO
local_root=/home/$USER/documents # kasutaja juurkataloog
ssl_enable=YES # SFTP sisselülitamine
force_local_logins_ssl=YES # kasutajate autentimine ainult üle krüpteeritud ühenduse (väldib plain-text paroolide saatmist), nö FTPS explicit ühendus
force_local_data_ssl=YES # andmed ainult krüpteeritud ühendustega
use_localtime=YES
# if userlist_deny=NO users will be denied login unless explicitly listed
# in the file specified in userlist_file
userlist_deny=NO
userlist_enable=YES # lubatud on vaid kasutajad failist /etc/vsftpd.user_list
write_enable=YES
dual_log_enable=YES
xferlog_enable=YES
xferlog_std_format=NO
#log_ftp_protocol=YES
max_clients=10 # kokku 10 kasutajat korraga
max_per_ip=4 # igaühele kuni 4 ühendust korraga
#cmds_allowed=AUTH_TLS,ABOR,CWD,LIST,NLST,PORT,PASV,PWD,QUIT,PBSZ,PROT,RETR,SIZE,TYPE,HELP,NOOP
# Debian options
secure_chroot_dir=/usr/share/empty # tühi kataloog, kus write on keelatud
pam_service_name=vsftpd
rsa_cert_file=/root/serdid/key-cert.pem # sertifikaat SSL (SFTP) ühenduse jaoks


Lugeda kindlasti ka
man vsftpd.conf

Kui kasutajad on n-ö pool-anonüümsed - interneti kaudu registreerunud, keda isiklikult ei tunne, siis tuleb kindlasti kasutada virtuaalseid kasutajaid, mitte registreerida kasutajad kohalike kasutajatena.
http://www.debiantutorials.com/installing-vsftpd-using-text-file-for-virtual-users/ - kasutajad tekstifailina
http://jstr.se/archives/setting-up-vsftp-with-virtual-users-using-mysql-on-debian/ - kasutajad mysql andmebaasis (juhendis olev viga on parandatud allpool kommentaaris)

ja veel üks juhend, mida tasub lugeda: http://ubuntuforums.org/showthread.php?t=518293 (ettevaatust, see on väga vana, webmin osa tuleb ignoreerida kindlasti)
_________________
Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus.

viimati muutis Dogbert 26.12.2011 07:05:39, muudetud 1 kord
Kommentaarid: 33 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 32
tagasi üles
vaata kasutaja infot saada privaatsõnum
marqs
HV veteran
marqs

liitunud: 06.12.2001
sõnum 25.12.2011 19:17:01 vasta tsitaadiga
Dogbert kirjutas:
vsftpd-ga saab väga hästi SFTP-d kasutada, ei pea SSH serverit vägistama. ssl_enable=YES ja rsa_cert_file=<pem-formaadis sertifikaat> /../

Fukiku juba mainis, aga faililiigutmaine üle ssh, (scp, SFTP), ning TSL/SSL seljas olev FTP (FTPS) ei ole samad.
Esimesel juhul on märksõnadeks näiteks rssh ja scponly, mis kasutaja shelli välja vahetavad ning muu hulgas avavad serveri ka krüptitud rsync'ile ning unison'ile, svn'ile (scponly puhul). Ei julgeks väita, et tegu mingit pidi räpase häki või vägistamisega oleks.

Mis muidugi ei tähenda, et teemaalgatajal just vsftp tsl-ssl vihjest abi ei peaks olema.
_________________
0xDEAD
0xBEEF
Kommentaarid: 28 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 27
tagasi üles
vaata kasutaja infot saada privaatsõnum
Dogbert
HV Guru
Dogbert

liitunud: 03.05.2004
sõnum 26.12.2011 07:08:23 vasta tsitaadiga
Sorry, ma ajasin tõepoolest segi SFTP ja FTPS-i. Minu viga.
Juhul kui teema algataja sama viga ei teinud, siis on minu juhised antud juhul kasutud.
_________________
Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus.
Kommentaarid: 33 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 32
tagasi üles
vaata kasutaja infot saada privaatsõnum
illukas
HV kasutaja

liitunud: 09.11.2006
sõnum 18.01.2012 21:00:09 vasta tsitaadiga
Fukiku kirjutas:

Ühesõnaga, laurixx, on sul ainult FTP-d (SFTP-d) vaja kasutajatele pakkuda tegelikult? Ma lihtsalt peaasjalikult viitasin faktile, et kui inimene räägib SFTP-st, siis tegemist on SSH otsa ehitatud failivahetus protokolliga mitte tavalise FTP-ga.. Väga põgusal guugeldamisel tundus, et põhimõtteliselt õnnestub täitsa konfida vist ka sedasi, et üle ssh saab ainult sftp-d teha - terminali sessiooni loomine aga hoopiski ära keelata.

On võimalik ja töötab hästi, veel parem on kui paned inimesed gruppidesse siis saavutad selle, et teatud grupid saavad ainult sftpd, osad ka shelli...

Üldiselt tasuks kasutada igal juhul krüpteeritud ühendusi alates sftp-st kuni imaps-ini
Kommentaarid: 2 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 2
tagasi üles
vaata kasutaja infot saada privaatsõnum mine selle kasutaja kodulehele
näita postitusi alates eelmisest:   
uus teema   vasta Tarkvara »  Linux & UNIX »  FTP kasutaja ligipääs ühele kaustale?
[vaata eelmist teemat] [vaata järgmist teemat]
 lisa lemmikuks
näita foorumit:  
 ignoreeri teemat 
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis



Hinnavaatlus ei vastuta foorumis tehtud postituste eest.