Как же всё таки настроить vsftpd??? Раз и навсегда.
Версия для печати

Конференция: Конференция iXBT.com (http://forum.ixbt.com/)
Форум: Программы: Unix-like системы (http://forum.ixbt.com/?id=76)
URL: http://forum.ixbt.com/topic.cgi?id=76:5061

Время GMT +03. Даты в формате dd.mm.yyyy.


stalker_2000, 16.01.2006 13:29
Итак. Имеем достаточно распространённую задачу - установить фтп на линукс/фрю. Желательно фтпшных юзеров не прописывать в passwd, даже с шелом /null. Требуется создать виртуальных юзеров (как в сквиде), дать им домашние каталоги, раздать права. Всё это даёт нам vsftpd. Мало того, он становится "выбором редакции" благодаря массе восхищенных возгласов в интернете о его защищенности от взломов.

Скачиваем последнюю версию vsftpd - 2.0.3. Открываем файл ./vsftpd-2.0.3/EXAMPLE/VIRTUAL_USERS/README. Не буду писать шаги, которые написаны там - они просты и понятны.
Суть в том, что авторизация виртуальных юзерова делается через pam. Вот тут и начинаются грабли, нормальный и внятный обход которых (судя по многодневным поискам в гуглах) похоже так и не был найден (как правило у народа либо всё работало сразу либо не заработало вообще). Суть граблей в том что на правильное имя/пароль приходит ответ "Login incorrect" (либо что-то подобное).
Насколько я понял дело в несоответствии версий библиотек BerkeleyDB.х.х. Все мои (и не только) попытки как-то решить эту проблему путем установок/удаления разных версий db как из сорцов так и из рпм-ов не принесли успеха.
Кто нибудь, ткните носом в нормальное решение этой проблемы (если таковое есть) либо есть предложение (подкупающее своей новизной ) вместе найти её решение и выложить где-то как фак. Сотни человеческих ДНК будут спасены .

Что есть на данный момент.
Есть работающий сервер с работающим сабжем и виртуальными юзерами. Довольно долго он работал у меня как анонимный фтп (после многочисленных неудачных попыток заканчивающихся описанным выше результатом). Потом вдруг у я попробовал ещё раз - и о чудо! Всё заработало, судя по всему случайно - я так и не понял что сделал. Система RH 9. Могу выдать любую информацию по версиям библиотек и пр.
Так же есть неудачные попытки настроить тот же фтп на Alt linux 2.2-2.4, Debian 3.1, FreeBSD 5.4. Аналогично могу выдать любую инфу по ним.

Слушаю ваши предложения.

1. romuald, 16.01.2006 15:44
Я тоже могу подтвердить, что в результате многочисленных экспериментов сделал вывод: кривизна рук тут не причем. Проблема скорее в отсутствии присутствия доки, описывающей правильную настройку.
Более того. В доках одной из последних версий vsftpd в тексте написано, что это дока от одной из первых версий.
Варианта два: 1. Ничего в настройке не изменилось. 2. В архив вложена устаревшая дока.

2. Yegg, 16.01.2006 16:58
stalker_2000
как вариант поставить proftpd - очень логичный фтп сервер, кучи возможностей из нужных тебе - это авторизация через SQL/ldap/pam/свои Passwd/group files, хорошая документация. ставить лучше стэйбл релиз - с их бетой были проблемы, на Fedora.

http://www.proftpd.org

насчет конкретно твоего случая, если есть возможность на этом сервере - то включи подробные логи (debug) - чтобы после каждого экшена все писал в лог файл, быстро найдешь в чем конкретно проблема - но очень похоже на то, что у сервиса нету доступа или прав доступа к базе/файлам авторизации. поэтому IMHO копать нужно в этом направление

3. stalker_2000, 16.01.2006 17:43
Yegg
как вариант поставить proftpd
был, взломали...

4. KB, 16.01.2006 18:00
stalker_2000
Если взломали, то старый был.
Последняя стабильная версия, 1.2.10, вышла в сентябре 2004.
Вывод: глюков и уязвимостей больше не обнаружено

5. Yegg, 16.01.2006 18:03
ну если это было давно, то учитывать этот фактор не стоит. обычно все уязвимости(которых не больше чем в vsftpd судя по багтрэкам) они быстро исправляют, тут конечно уже тогда лучше пробовать ставить 1.3RC3 - и в сборку включать только то,что тебе нужно. большая часть уязвимостей находят в модулях, а не в core - поэтому, чем меньше включено тем меньше шансов, что поломают.

Добавление от 16.01.2006 18:15:

KB
ProFTPD Shutdown Message Format String Vulnerability
Bugtraq ID: 14381
Class: Input Validation Error
CVE: CAN-2005-2390
Remote: Yes
Not Vulnerable: ProFTPD Project ProFTPD 1.3 .0rc2

поэтому всеже имхо пробовать собирать 1.3RC3 и смотреть на стабильность на конкретной ОС, хоть и неясно к чему приводит эта Vulnerability codexec или ddos - но в этом плане поспокойнее будет кандидат.

6. romuald, 17.01.2006 11:30
Люди! Я вот тоже слежу за темой. Спасибо, конечно за предложения перейти к proftp, но в теме вопрос именно по настройке VSFTP. Ибо о proftpd и так есть что почитать. А вот по конкретному сабжу в инете есть только вопросы. Ответов пока найти не удалось. Пожалуйста, не предлагайте использовать другой софт.

7. McSeem, 21.04.2006 13:11
Забавная штука... у меня работает vsftpd на OpenBSD3.2 ... анстривал его под разные нужды все классно все работает... сплошной рудеззз....
НО виртуальные не "завелись"... не получается найти приличный PAM модуль...

8. [B2R][SiDiX]MAD, 21.04.2006 13:40
2 All че все не по теме-то ?

stalker_2000,romuald http://www.opennet.ru/base/net/vsftpd_begin.txt.html <- читайте

http://www.unix.lviv.ua/index_rus.html?art/vsftpd.html <- вот ещё неплохо изложено по теме

9. stalker_2000, 21.04.2006 14:22
[B2R][SiDiX]MAD
Спасибо за ссылки но они уже были прочитаны вдоль и поперёк но ответа на ГЛАВНЫЙ вопрос:
Суть граблей в том что на правильное имя/пароль приходит ответ "Login incorrect" (либо что-то подобное)
там нет и в помине.

10. [B2R][SiDiX]MAD, 22.04.2006 23:23
stalker_2000 - а так пробовал ? http://gentoo-wiki.com/HOWTO_vsftpd#Virtual_Users

11. Kotjara, 24.04.2006 09:54
romuald
цитата:
Ответов пока найти не удалось. Пожалуйста, не предлагайте использовать другой софт.
Не ждите других советов, если у вас за столько времени не получилось ничего, может всё таки имеет смысл переход на что то более документированое и 100% рабочее?

12. [B2R][SiDiX]MAD, 25.04.2006 00:31
Kotjara - гы... vsftpd пожалуй лучший FTP сервер из того что имеется на данный момент, лично я бы не стал с него переходить ... на что-то более документированное.

что-то автор замолчал

13. stalker_2000, 25.04.2006 14:18
[B2R][SiDiX]MAD
что-то автор замолчал
не замолчал просто все идеи уже исчерпаны... А кроме возни с фтп у меня есть ещё и другая работа. А за ссылку спасибо, это уже интереснее. Потому как вариант с некриптоваными паролями меня слегка напрягает. Попробую - сообщу о результатах.

Kotjara
Не ждите других советов, если у вас за столько времени не получилось ничего, может всё таки имеет смысл переход на что то более документированое и 100% рабочее?
Наступить на те же грабли второй раз? Вроде ж писал уже:
как вариант поставить proftpd
был, взломали...

Опять поставить какой нибудь профтп и потом трястись что бы его не взломали? Морочить голову с обновлениями??? Спасибо за второй виндовс

14. Kotjara, 25.04.2006 14:38
stalker_2000
Установлен, работает 5 лет. Не взломан (3 раза тьфу)
Интересно было бы послушать как его сломали у Вас?
Не поминайте windows всуе, или у Вас proftpd под windows был установлен?

15. stalker_2000, 25.04.2006 15:00
Kotjara
Установлен, работает 5 лет. Не взломан (3 раза тьфу)
Мне нравятся такие доводы. Железно. Неопроверждимо. Раз у меня не взломали, то нигде не взломают. Железно. У меня дома стоит непропатченая ХП. Уже 3 года. Тоже не взломали. А я-то парюсь. Поставлю её на сервак, проблемы как рукой снимет.
Сколько народу знает твой айпишник? Я думаю меньше чем у нас. И никакие "тьфу" не помогут.

Интересно было бы послушать как его сломали у Вас?
Ничего интересного, эксплоитом. Дело в другом. Как показали дальнейшие события это было нечто заказное и массированое, на всех фронтах. Когда переставли сервак атаки не прекратились, пришлось даже перейти с канала 2 мбит на 64 кбит, потому что траффика наделали попытками подключения Дальше взялись за сайт, сломали гостевую.
Из этого только один вывод - зачем лишний раз подставлятся? Забот и так хватает.

16. romuald, 25.04.2006 15:55
У меня так и не получилось заструячить на vsftpd виртуальных юзеров. Не смог я его подружить с PAM-модулями. Из ситуации вышел следующим образом:
Поставил еще одну машину в локальной сети, на которой vsftpd + реальные юзеры (те что в /etc/passwd).
И с помощью правил файервола все входящие соединения, (которые лезут на 21 порт) перенаправляю на эту выделенную машину с ФТП.

Добавление от 25.04.2006 16:06:

Машина на которой vsftpd кроме фтп больше ничего не умеет и не знает. Более того. У нее нет никуда доступа. Так что даже если ее поломают - флаг им в руки.
А на машине, которая торчит интерфейсом в интернет, нет никаких сервисов и нет живых пользователей кроме рута и админа. Т.е. чисто маршрутизатор с файерволом + считалка траффика.
Система работает пока еще нормально. :-)
Хотя сам понимаю, что это решение внедрил из-за кривых рук. :-)
Но настроить vsftpd с виртуальными юзерами так и не получилось... :-(

17. Kotjara, 25.04.2006 17:01
stalker_2000
цитата:
Мне нравятся такие доводы. Железно. Неопроверждимо. Раз у меня не взломали, то нигде не взломают.
Ткните мне пальцем где я утверждал что proftpd невозможно взломать? Не кажется ли Вам что при большом желании, ну и наличии энной суммы зеленью, Ваш vsftpd взломают не менее оперативно чем proftpd?
цитата:
Железно. У меня дома стоит непропатченая ХП. Уже 3 года. Тоже не взломали. А я-то парюсь. Поставлю её на сервак, проблемы как рукой снимет.
Сказано от большого ума . У меня дома тоже XP и тоже непатченая, правда и интернета нет, так что Ваш довод о том что Ваша ХРюше круче всех *nix-ов вместе взятых не канает.
цитата:
Сколько народу знает твой айпишник? Я думаю меньше чем у нас.
Не сомневаюсь, наверняка меньше ~70, но сканят, а потом ломятся постоянно.
цитата:
И никакие "тьфу" не помогут.
Правильно, зато помогает ограничение по кол-ву подключений, у реальных пользователей, со стороны proftpd, ананизмусов не держим. Так же можно ограничивать кол-во одновременных подключений firewall-ом.
цитата:
Ничего интересного, эксплоитом.
Вовремя не пропатчились? Разработчикам это дело отослали? Похоже что ломали Вас целенаправленно т.к. знали что proftpd установленый под Вашу ось не патчен.
цитата:
Дело в другом. Как показали дальнейшие события это было нечто заказное и массированое, на всех фронтах. Когда переставли сервак атаки не прекратились, пришлось даже перейти с канала 2 мбит на 64 кбит, потому что траффика наделали попытками подключения
кстати от DoS vsftpd Вас не спасёт.
цитата:
Дальше взялись за сайт, сломали гостевую.
И что? Теперь ищете самую "секурную гостевуху"?
цитата:
Из этого только один вывод - зачем лишний раз подставлятся? Забот и так хватает.
Кабель обрубите
Поймите, Ваша проблема не решается заменой одно демона ftp на другой.

18. stalker_2000, 25.04.2006 17:43
Kotjara
Начинать игру в "кто-кого-перецитирует-до-первого-бана" не буду и не старайся
Единственное что могу прокомментировать:

Сколько народу знает твой айпишник? Я думаю меньше чем у нас.
Не сомневаюсь, наверняка меньше ~70, но сканят, а потом ломятся постоянно.

а у нас - несколько тысяч... Чувствуется разница? И смысл в том что взлом был целенаправленный, а не то что какие-то ламеры "посканили и почуствовали себя кулхацкерами".

Не кажется ли Вам что при большом желании, ну и наличии энной суммы зеленью, Ваш vsftpd взломают не менее оперативно чем proftpd?
Не кажется. Не те масштабы.

Вовремя не пропатчились? Разработчикам это дело отослали? Похоже что ломали Вас целенаправленно т.к. знали что proftpd установленый под Вашу ось не патчен.
Версия была старая. Эксплоит был стандартный, антивирусом определился

19. romuald, 25.04.2006 17:53
Именно потому, что проблема не решиться заменой одного демона на другой. НАРОД!!! Не рекламируйте тут плизз другие демоны. Разговор идет конкретно о VSFTPD.
Переубеждать никого не собираюсь, но мое мнение таково:
vsftpd и proftpd - это как юникс и виндовс. В винде ведь те-же проблемы. Сначала сделана основа на скорую руку с дырками и критическими ошибками. Потом на нее налепливается куча полезностей и вкусностей. А потом находятся дырки. Потом делаются заплатки, потом заплатки на заплатки, а потом защита от отклеивания заплаток, а потом заплатка на защиту от отклеивания заплаток, и.т.д. И все это следствие ошибок сделанных в самом начале. По моему мнению vsftpd как раз изначально сделан с наименьшим количеством ошибок в отличие от proftpd.
Может быть я ошибаюсь, но на всякий случай именно по причине наличия большого количества заплаток не собираюсь переходить на proftpd.
Так что призываю еще раз. Пишите, плизз, сюда только о VSFTPD. А о других (которые безусловно не хуже) почитаем в другом месте.

20. Kotjara, 26.04.2006 08:45
stalker_2000
цитата:
Начинать игру в "кто-кого-перецитирует-до-первого-бана" не буду и не старайся
Не я первый начал, да мне это и не нужно.
цитата:
а у нас - несколько тысяч... Чувствуется разница?
samba, sourceforge, хотя что это я? Почитайте здесь (http://proftpd.org/sites.html) кто им пользуется. Кстати подобный же список для vsftpd грешит т.с. неточностями, в частности по FreeBSD.
romuald
цитата:
vsftpd и proftpd - это как юникс и виндовс
Ой не смешите мои тапки. В ядре Linux да и не только в нём сколько дыр? А сколько уязвимостей найдено в ProFTPD? Так же не забудьте вспомнить как быстро были сделаниы патчи/выпущены новые версии после нахожждения этих дыр. IMHO если админ знал об уязвимости, но палец о палец не ударил, чтобы пропатчить, то это уже проблема в админе а не в разработчике.
цитата:
vsftpd как раз изначально сделан с наименьшим количеством ошибок в отличие от proftpd
Это Ваше IMHO а не непреложный факт. Насчёт ошибок читаем здесь (ftp://vsftpd.beasts.org/users/cevans/untar/vsftpd-2.0.4/Changelog)
Не забываем что в Linux и *BSD патчат и ядра. И не всегда это ошибки в софте, бывает что и глюки в железе.
Ну да ладно, vsftpd неплох пользуйтесь если хотите, только распальцовки о "более большой безопасности" оставьте, ей богу это непрофессионально.
Всего хорошего.

21. stalker_2000, 26.04.2006 10:59
Kotjara
С твоей энергией тебе нужно на форумах АМД вс ИНТЕЛ и АТИ вс НВИДИА тусоваться Сам такой был, горячий и молодой

22. Kotjara, 26.04.2006 13:03
stalker_2000 в моё инфо гляньте, это я насчёт "горячий и молодой". Просто надо чётко понимать откуда ноги торчат и уши растут , а энергию я в основном на семью и основную работу трачу.

23. ABCStore, 27.04.2006 21:49
Изначально вопрос был про ".../фрю". Так поставьте jail и не парьтесь. Зачем отдельную машину заводить или еще что-то дополнительно?

ABC

24. [B2R][SiDiX]MAD, 27.04.2006 22:27
stalker_2000 - чё нить получилось с виртуальными юзерами ? А то я тоже озадачился этим вопросом...

25. stalker_2000, 28.04.2006 11:31
[B2R][SiDiX]MAD
чё нить получилось с виртуальными юзерами ? А то я тоже озадачился этим вопросом...
Некогда даже попробовать С дурацкими принтерами вожусь целый день, то мажут то не печатают, а тут ещё надо бэкап настраивать
В ближайшее время обязательно выделю время и помудрю и сообщю сюда о результатах

26. Meijin, 16.05.2006 15:38
есть вот такое решение (может кому и поможет

#при ответе с клиента на правильное имя/пароль "Login incorrect" (либо чего-то подобного)
в случае прописки следующих записей в vsftpd.conf :
chroot_list_file=/etc/vsftpd.chroot_list
или .. /etc/vsftpd.banned_emails
может каких других (такого уже не знаю)..
необходимо физическое наличие данных файлов в каталоге, если их нет, то нужно создать их вручную, хотя бы нулевой длины.

27. BestWeb, 20.11.2006 22:21
А как vsftpd заставить пускать к себе анонимных пользователей ?

В конфиге:
anonymous_enable=YES

У меня на клиенте такое сообщение:
500 OOPS: vsftpd: cannot locate user specified in 'ftp_username':ftp

В логе вот что:
Mon Nov 20 21:50:59 2006 [pid 145] [anonymous] FAIL LOGIN: Client "10.10.10.10"

28. AckCmd, 20.11.2006 22:31
BestWeb
цитата:
ftp_username
This is the name of the user we use for handling anonymous FTP. The home directory of this user is the root of the anonymous FTP area.

Default: ftp
Подозреваю, что у Вас такого юзера в системе нет

29. BestWeb, 20.11.2006 22:55
AckCmd

Пользователя ftp создал.
Теперь мне клиент вот что пишет: 500 OOPS: vsftpd: refusing to run with writable anonymous root

30. AckCmd, 20.11.2006 23:07
цитата:
Create a home directory for the anonymous FTP user. SuSE conventionally uses /srv/ftp, and other distributions use /var/ftp, but it can be whatever you like. Again, this directory should be owned by root and should not be writable by anyone else.

Create an anonymous FTP user account, such as ftp, and make sure its home directory is set to the one you created in the previous step. Your system already may have such an account. The anonymous ftp user should not be able to write in its home directory, and it should never own any files or directories.
[...]
To avoid this error:
500 OOPS: vsftpd: refusing to run with writable anonymous root

# chmod u-w /srv/ftp
# mkdir /srv/ftp/pub
# chown ftp:ftp /srv/ftp/pub

The first line takes care of the root directory being not writable.
The second line creates a directory.
The third line changes the owner to the user and group ftp.

The ftp root directory MUST NOT be owned by ftp for security reasons (it should be root:root).
(c) http://www.linuxjournal.com/article/7520

Перевод нужен?

31. BestWeb, 20.11.2006 23:27
AckCmd

Не все так просто... У меня vsftp работает на "недожелезе" под BusyBox v1.1.3. А там многих команд нет. И все работает несколько иначе

32. AckCmd, 20.11.2006 23:34
упс. В общем смысл в том, что анонимный пользователь (ftp в данном случае) не должен быть владельцем корневой директории ftp (той, куда попадет анонизмус при подключении к фтп - то есть его home), и не должен иметь права на запись в эту директорию. А вот как этого добиться в контексте busybox - это сорри, не в курсе. Может попробовать переназначить ему home на директорию, удовлетворяющую этим требованиям?

33. BestWeb, 21.11.2006 00:01
Под админом я vsftp настроил.
А вот с anonymous'ом проблемы...
Одним словом анонимный пользователь должен _только_ видеть и иметь право переписывать себе файлы из этой директории /opt/home/share

Кому, куда и какие права раздавать ?

Я так понимаю относительно пользователя ftp, который анонимный

34. AckCmd, 21.11.2006 10:03
/opt/home/ - хом-директория узера FTP, ее владелец - root, для всех кроме root она readonly.
/opt/home/share - опять же владелец root, пермишены на усмотрение.
При входе анонизмус попадет в /opt/home/, но работать сможет только с /opt/home/share
Я так понимаю.

35. BestWeb, 21.11.2006 12:53
AckCmd

Все настроил.
Фишка была в том, что при добавлении юзера ftp надо было ему указывать домашнюю директорию именно в том месте подмонтированного hdd. На которое не претендует (не использует) система BusyBox (а она во флеш памяти живет и частично юзает подмонтированный hdd).

36. sickboy, 26.04.2007 21:14
А вот и моя проблема с виртуальными юзерами в vsftpd.
Конфиг:

listen=YES

local_enable=YES
connect_from_port_20=YES
write_enable=YES

anonymous_enable=NO
anon_world_readable_only=NO

pasv_promiscuous=YES
pasv_min_port=31000
pasv_max_port=41000

nopriv_user=nobody
hide_ids=YES
ls_recurse_enable=YES
ftp_username=ftp
force_dot_files=YES
chroot_local_user=YES
local_umask=022

local_max_rate=300000
max_per_ip=25

idle_session_timeout=600
data_connection_timeout=120
accept_timeout=1200
connect_timeout=1200

xferlog_enable=YES
xferlog_file=/var/log/vsftpd.log

dirmessage_enable=YES
ftpd_banner=l2 FTP service.

guest_enable=YES
guest_username=virtftp
user_config_dir=/etc/vsftpd/users.conf/
virtual_use_local_privs=YES
pam_service_name=vsftpd

# cat users_list
testftp
12345qaz

# db4.2_load -T -t hash -f /etc/vsftpd/users_list /etc/vsftpd/vsftpd_logins.db

# cat /etc/pam.d/vsftpd
auth required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_logins crypt=hash
account required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_logins crypt=hash

Виртуальных пользователей пускает, локальных нет, пишет:
В ответ пишет:
530 Login incorrect.

37. stalker_2000, 27.04.2007 09:56
sickboy
не забыл прописать их сюда:
код:

[root@server etc]# cat /etc/vsftpd.user_list
# vsftpd userlist
# If userlist_deny=NO, only allow users in this file
# If userlist_deny=YES (default), never allow users in this file, and
# do not even prompt for a password.
# Note that the default vsftpd pam config also checks /etc/vsftpd.ftpusers
# for users that are denied.


и убрать отсюда:
код:
[root@server etc]# cat /etc/vsftpd.ftpusers
# Users that are not allowed to login via ftp

root
bin
daemon
adm
lp
sync
shutdown
halt
mail
news
uucp
operator
games
nobody

?

Добавление от 27.04.2007 10:01:

sickboy
Да, и ещё, у мну где-то глубоко сидит мысль о том, что когда-то, где-то я читал, будто нельзя одновременно пользовать и виртуальных и реальных юзеров. Впрочем, возможно мне это приснилось

38. sickboy, 27.04.2007 16:25
stalker_2000
Да, все уканное выше прописал, но похоже не в этом проблема.
Опытном путем понял, что локальных юзеров перестает пускать при указании опции pam_service_name=vsftpd, в логах вообще пусто, может надо что в конфиге PAM подкрутить?

39. stalker_2000, 27.04.2007 17:05
sickboy
логично, ведь в этом файле ты указываешь откуда брать имена/пароли
Тебе обязательно надо и локальные и виртуальные?

40. sickboy, 27.04.2007 17:15
stalker_2000
Да.

Вообще мне нужно реализовать дополнительные FTP логины, т.е. помимо FTP входа для локальных юзеров, нужно несколько логинов, под которыми можно зайти в тот же домашний каталог локального юзера.
Может есть другие FTP серверы, реализующие подобный функционал?

41. Smithson, 27.04.2007 18:32
sickboy
нужно несколько логинов, под которыми можно зайти в тот же домашний каталог локального юзера.
Создаешь реального юзера и назначаешь ему тот же домашний каталог. В unix это не запрещено. А дальше даешь какие надо права на этот каталог каким надо пользователям.

42. sickboy, 27.04.2007 18:49
цитата:
Smithson:
нужно несколько логинов, под которыми можно зайти в тот же домашний каталог локального юзера.
Создаешь реального юзера и назначаешь ему тот же домашний каталог. В unix это не запрещено. А дальше даешь какие надо права на этот каталог каким надо пользователям.
Да, вариант хороший, но это создаст неудобства в том, что файлы будут создаваться не от владельца исходного домашнего каталога, а от того дополнительного юзера.

И самое главное, права на домашний каталог 0700, и другой (дополнительный) юзер ни при каких условиях не сможет зайти туда.

43. Smithson, 28.04.2007 10:19
sickboy
И самое главное, права на домашний каталог 0700, и другой (дополнительный) юзер ни при каких условиях не сможет зайти туда.
Сделать права 0770 и собрать всех юзеров в одну группу религия не позволяет?

44. sickboy, 28.04.2007 12:07
цитата:
Smithson:
Сделать права 0770 и собрать всех юзеров в одну группу религия не позволяет?

Нет, это делать никак нельзя. Иначе любой юзер сможет зайти к кому угодно.

Но, это я уже обошел через ACL'и, осталось только сделать, чтобы файлы загружались от имени владельца самого каталога /home/test1

45. uefa, 27.06.2007 12:31
Все отлично получилось с одновременной настройкой вирт и локальных пользователей
Базовая система Ubuntu Server 7.04
/etc/pam.d/vsftpd
код:

account sufficient /lib/security/pam_userdb.so db=/etc/vsftpd_login
@include common-account
@include common-session
auth required pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed
auth sufficient /lib/security/pam_userdb.so db=/etc/vsftpd_login
@include common-auth
auth required pam_shells.so

/etc/vsftpd.conf
код:

listen=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
user_config_dir=/etc/vsftpd.d
connect_from_port_20=YES
chroot_local_user=YES
secure_chroot_dir=/var/run/vsftpd
pam_service_name=vsftpd

/etc/vsftpd.d/<real-user-name>
код:

anon_upload_enable=YES
anon_world_readable_only=NO
anon_other_write_enable=YES
anon_mkdir_write_enable=YES

/etc/vsftpd.d/<virtual-user-name>
код:

guest_enable=YES
guest_username=virtual

anon_upload_enable=YES
anon_world_readable_only=NO
anon_other_write_enable=YES
anon_mkdir_write_enable=YES

46. AntonTo, 21.07.2007 17:58
Господа, а каким образом настроить, чтобы определенные пользователи могли входить только с определенных IP адресов?

=====
Уже сам разобрался через tcp_wrappers. Можно каждому IP назначить свой config файл.

47. SuSt, 05.08.2007 18:15
uefa
А кто такой в Вашем примере /etc/ftpusers и что там прописано?

48. DarkDragon, 11.09.2007 14:44
В FreeBSD 6.2 отсутствует pam-модуль pam_userdb.so, соотвественно в vsftpd не удается запустить виртуальных пользователей. Как можно выкрутиться из этой ситуации? Может какой нибудь другой pam-модуль использовать?

49. ZugDuk, 11.10.2007 14:20
Дурной это ваш vsftpd. Как я замаялся его настраивать.

50. stalker_2000, 12.10.2007 10:09
ZugDuk
А что, собственно не получается?

51. ZugDuk, 12.10.2007 10:36
А вот как сделать, чтобы anonymous заходил на сервер и ему сразу открывалась папочка в которую можно записывать?

Если я деалаю записываемой anon_root, то получаю ту самую мессагу "refusing to run writable anonymous root". Конечно можно создать еще подпапку и сделать ее записываемой, но это лишний клик мышкой получается. В других прогах (например proftpd) такой глупости нет.

Плюс к этому еще:
Логи пишет неинформативно.
Плохо документирован. В нормальной проге прямо в конфиге в комментариях нужно давать инфу, достаточную для настройки и использования. Здесь же мне пришлось облазать пол инета, чтобы выяснить особенности использования этого демона.

52. stalker_2000, 12.10.2007 10:53
ZugDuk
Не знаю, зачем лазить по всему инету, когда всё нужное тут (http://vsftpd.beasts.org/vsftpd_conf.html)

А вот как сделать, чтобы anonymous заходил на сервер и ему сразу открывалась папочка в которую можно записывать?
Читаем доку по ссылке выше и видим следующее:
anon_root
This option represents a directory which vsftpd will try to change into after an anonymous login. Failure is silently ignored.

Дальше читаем второй пост темы и делаем выводы. По мойму так должно получится, хотя я бы на твоём месте не парился насчет лишних кликов мышкой

53. ZugDuk, 12.10.2007 12:42
Нет, твой пост - лирика.
man tftpd.conf я прочитал в самый первый день своих мучений с этим серваком, так что ссылаться на него в инете смысла нет.
То же про мою задачу. Если ее решение есть, скажи как это сделать. Если его нет, то мне просто останется пилить proftpd (который тормозит и лагает)

Добавление от 12.10.2007 13:37:

Все, снес я этот vsftp ко всем чертям. Достал он меня.
proftpd все открывает, а тормоза и лаги были из за того, что было написано UseIPv6 = on. Заменил на off и теперь все летает.

54. rulik00, 26.11.2007 10:07
Я при настройку vsftpd пользовался этим: http://sudouser.com/?page_id=8
Все пошло с первого раза.
Debian 4.0 (etch)

55. DarkDragon, 04.03.2008 21:46
Можно как то vsftpd научить не различать регистр в именах файлов? Т.е чтобы somefile.txt и SOMEFILE.TXT ftp-демон считал одним и тем же файлом.

56. renton, 12.03.2008 19:33
цитата:
AntonTo:
Господа, а каким образом настроить, чтобы определенные пользователи могли входить только с определенных IP адресов?

=====
Уже сам разобрался через tcp_wrappers. Можно каждому IP назначить свой config файл.

Если через hosts.allow, то получится только доступ с определенных IP адресов.
А как быть в случае:

> чтобы определенные пользователи могли входить только с определенных IP адресов?

57. C.A.R.C.A.S.S., 13.03.2008 10:49
Для этого существует специальный мод vsftpd+ - http://vsftpd.devnet.ru/rus

58. renton, 17.03.2008 21:00
цитата:
renton:
цитата:
AntonTo:
Господа, а каким образом настроить, чтобы определенные пользователи могли входить только с определенных IP адресов?

=====
Уже сам разобрался через tcp_wrappers. Можно каждому IP назначить свой config файл.
Если через hosts.allow, то получится только доступ с определенных IP адресов.
А как быть в случае:

> чтобы определенные пользователи могли входить только с определенных IP адресов?

Сделал очень просто, через pam_access:

# cat /etc/pam.d/ftp
auth required pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed
account required pam_access.so accessfile=/path_to_ftp_access.conf
auth include system-auth
account include system-auth
session include system-auth

59. SuSt, 18.03.2008 12:33
renton
http://bogdanovich.ru/ibf/topic1043.html

Смотри последнее сообщение на том форуме.

60. t4k, 03.08.2010 16:37
Коллеги, а как сделать, чтобы локальные пользователи не могли шастать по всей ФС?

61. stalker_2000, 03.08.2010 16:40
t4k
т.е.?

62. t4k, 03.08.2010 17:06
stalker_2000, пользователи могут пройти по дереву каталогов до "/", а такого быть не должно.

63. stalker_2000, 03.08.2010 17:17
м.б. у вас не прописаны домашние директории? конфиг в студию

64. t4k, 03.08.2010 18:01
stalker_2000, уже разобрался, вначале chroot_local_user не заработала из-за SELinux.

65. nejtr0n, 06.04.2013 14:43
Ответ по сабжу.
Столкнулся с этой проблеммой на Debian squeeze.
Задача была решена путем составления /etc/pam.d/vsftpd из 2 строк.
Это оказалось важным. При любых других сочетания сервер выдавал злополучное
код:
530 Login incorrect.

Причем первая строка обязательно начинается с
код:
auth required

, а вторая с
код:
account required

Для примера выкладываю свой /etc/pam.d/vsftpd
vi /etc/pam.d/vsftpd
auth required pam_mysql.so user=vsftpd passwd=ti99pcfm host=localhost db=vsftpd table=accounts usercolumn=username passwdcolumn=pass crypt=2
account required pam_mysql.so user=vsftpd passwd=ti99pcfm host=localhost db=vsftpd table=accounts usercolumn=username passwdcolumn=pass crypt=2
Вычитано сдесь:
http://www.lissyara.su/articles/freebsd/programms/vsftpd+mysql+virtual_users/

66. Dmitry Klimenko, 21.10.2016 16:50
Не ругайте сильно за некропостинг, но я бился с новым vsftpd неделю и помог только вот такой способ отсюда agapoff.name/vsftpd-oops.html


4. Четвёртый хороший способ – это воспользоваться трудами доброго человека, который создал PPA на launchpad’e, куда положил собственную сборку vsftpd 2.3.5, в которую бэкпортнул опцию allow_writeable_chroot. Поставить отсюда сборку можно так:

1. sudo add-apt-repository ppa:thefrontiergroup/vsftpd
2. sudo apt-get update
3. sudo apt-get install vsftpd

Ну и дальше, соответственно, помогла опция allow_writeable_chroot=YES.



URL: http://forum.ixbt.com/topic.cgi?id=76:5061

Время GMT +03. Даты в формате dd.mm.yyyy.